| Издательский дом ООО "Гейм Лэнд" | ЖУРНАЛ ХАКЕР #90, ИЮНЬ 2006 г. |
Нам есть, что скрывать
Михаил Емельченков
Хакер, номер #090, стр. 090-104-5
Устанавливаем openssl:
debian# apt-get install openssl
gentoo# emerge openssl
Создаем ключ длиной 256 бит:
# cat /dev/urandom | head –c 32 > /home/michael.key
Создаем шифрованный home-раздел:
# dd if=/dev/urandom of=/dev/sdb1 bs=1M
# cat /home/michael.key | cryptsetup create michael /dev/sdb1
# mke2fs -j /dev/mapper/michael
# dmsetup remove michael
Шифруем ключ, которым зашифрован диск:
# cat /home/michael.key | openssl aes-256-ecb > /home/michael.key
В запросе на ввод пароля пишем пароль логина.
Далее происходит процесс настройки, он такой же, как и с шифрованием без ключа, за исключением одной строчки:
# vi /etc/security/pam_mount.conf
volume michael crypt - /dev/sdb1 /home/michael cipher=aes aes-256-ecb /home/michael.key
Раздел в виде файла на диске
Для начала необходимо создать файл заранее определенного размера, предположим, 50 Мб.
# touch cryptdisk
# shred -n1 -s50M cryptdisk
Желательно затереть cryptdisk именно таким способом, так как в результате получится набор случайных данных, и нельзя будет точно узнать, сколько реальной информации хранится в этом файле. Настало время создать шифрованный раздел посредством loopback-устройства:
# losetup /dev/loop0 ~/cryptdisk
# cryptsetup -y create mydisk /dev/loop0
# mkreiserfs /dev/mapper/mydisk
# mkdir /mnt/mydisk
# mount /dev/mapper/mydisk /mnt/mydisk
Зашифрованный раздел теперь доступен через /mnt/mydisk. После завершения работы с приватными данными его следует размонтировать, а затем удалить loopback-устройство, как показано ниже:
# umount /mnt/mydisk
# cryptsetup remove mydisk
# losetup -d /dev/loop0
При желании можно написать небольшой скрипт, который будет выполнять написанные выше команды автоматически.
CD
На прилагаемом к журналу CD/DVD ты найдешь скрипты linuxrc и devmap_mknod.sh.
INFO
Учти, что использование шифрования ведет к некоторой потере производительности системы.
INFO
В FreeBSD (начиная с версии 5.0) для схожих целей используется GBDE - GEOM Based Disk Encryption, GELI (начиная с 6.0). В NetBSD (начиная с версии 2.0) используется CGD - Cryptographic Device Driver.
WWW
На сайте www.citforum.ru/security/cryptography/ можно найти статьи о криптографии, электронной подписи и программе GnuPG.
