rendszer titkosítás

Ubuntu Linux

Üdv mindenkinek!

Egyéb dolog miatt indokolttá vált utánanéznem a titkosításnak a merevlemezeken. Az elképzelésem a következő lenne :

Egy ubuntu linuxot futtató notebookom van, meg volt egy windowsos asztali gépem amig el nem vitték :)

A notebookra szeretném megcsinálni a titkosítást, hogy sd kártya , vagy usb kulcs nélkül ne induljon el, illetve az adatok anélkül ne legyenek visszanyerhetőek.

Ugye ehhez az kell hogy bootkor a kernel támogassa a titkosítást, és valahogy le is tudja olvasni a kulcsokat az usbről vagy az sd-ről. olvastam pár doksit a truectyptről (és ezzel is szeretném megcsinálni) de mind arról szólt hogy egy merevlemezt letitkosítunk és kész. Nekem viszont a teljes rendszert kéne átültetni.

Van valakinek ez irányú tapasztalata? vagy esetleg pár szó hogy merre induljak el ?

előre is köszönöm!

device

  • 1965 megtekintés

( blackluck v | 2009. 11. 09., h – 13:17 )

Ha laptopra kell titkositas akkor ujak tobbsegeben mar van lehetoseg winchesterben hw-es titkositasra amit biosban lehet beallitani. egyszeru, biztonsagos es nem terheli a geped.
Ha megis sw-es kellene akkor pl cryptsetup (lenyege h particiot lehet vele titkositani es arra kell masolni adatokat), ubuntu-nal asszem alternativ telepito lemezen van csak ennek opcioja (vagy az lvm ilyen, mar nem tudom), amivel telepiteskor beallithatod h kodolva legyenek a particiok es ahhoz mi legyen a jelszo amit neked rendszer indulaskor kell megadni (persze ez lehet kulcs is kesobb amit pendrive-rol, netrol toltesz be neki, vagy csak inditasz egy dropbear ssh-t hogy tavolrol is ki tudd kodolni, ha annyira mazochista lennel laptop eseteben :).

--
Don't Panic if you see me laughing,
that's not a bug, just a feature.

( magyarver | 2009. 11. 09., h – 14:52 )

Szerintem a debian telepítőjénél profibban semmi se készítt profibban titkosított merevlemezt. (nem végez hanyag munkát (véletlen adatokkal való feltöltés) és kedvedre csemegézhetsz a titkosító algoritmusok és kulcsméretek között)
Ez egyébként ahogy blackluck is mondta, az ubuntu alternate telepítőbe is benne van.
Ubuntuval nekem van egy olyan rossz tapasztalatom, hogy szétlehet szopatni nagy fájlok (4-5 GB) másolgatásával, ezt csak tetézi a titkosítás, igaz régi vinyó volt amin ezt teszteltem...
Ja még valami: usb-n tartani a kulcsot nem biztos,hogy szerencsés dolog .. - nehogy egyszer te se férj hozzá a gépedhez:D

( log69 | 2009. 11. 09., h – 18:39 )

usb-n szerintem se tárold. Inkább egy jelszó, gondolom nem a kormány ellenében szeretnéd titkosítani :)

vagy csináld azt, hogy a /home -ot külön fizikai partícióra teszed, majd csak azt titkosítod loop-aes -sel, és felcsatoláskor kér jelszót, esetedben boot-kor, nem nagy macera megcsinálni sem.

Mert egyébként ha a györkeret is akarod titkosítani, akkor kell külön /boot partíció, meg lvm-es lenne a többi.

Tudtommal loop-aes gyorsabb is, legalábbis azt olvastam több helyen hogy nem okoz akkora load-ot mint a crypto. de fixme

egyetertek...

7 eve titkositom az adataimat loop-aes-sel es meg soha semmi gondom nem volt

loop-aes mar csak azert is jo meg assemblerben irodott es tenyleg ez a leggyorsabb
probaltam kerneleset is de az vagy 30%-kal lassabb volt ugyanolyan feltetelek mellett.

egyebkent lvm nem kell feltetlenul hozza...

"usb-n szerintem se tárold."

Pedig ott erdemes, kernellel es initramfs-el egyutt.

"Tudtommal loop-aes gyorsabb is"

Lehet, viszont amikor legutobb neztem, tamadhato volt watermark attack-el, masreszt a kulcsgeneralasi algoritmusban is vannak furcsasagok, amivel eleg jol lehet gyorsitani a brute force-olast.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

( the_manni | 2009. 11. 09., h – 19:19 )

Mi teljesen ugyanígy csináljuk, képekben:
http://kuparinen.org/martti/comp/ubuntu/en/cryptolvm.html

Ubuntu _alternate_ install cd kell hozzá, a sima gui-ssal régebben legalábbis nem lehetett. A lényege, h egy cryptsetuppal felcsatolt titkosított partícióra teszel lvm-et, ezzel a titkosított partíciót további partíciókra bontod. Ez azért jó, mert csak egyszer kell jelszó. Én mondjuk nem szoktam külön home-ot csinálni, csak a gond van vele, de swapra mindenképp szükség van pl hibernáláshoz, és az nem árt ha titkosított ugyie. Hibernálásból való felálláskor kéri a jelszót stb.

A cryptsetup/luks párosítás azért jó, mert több jelszót is tud kezelni tehát elvileg telepítés után képessé lehet tenni usb kulccsal való működésre is, hallottam ilyet, de nemtom hogy kell. Más majd elmondja. Azért usb kulcs esetén gondolom jó ha van egy fallback jelszó arra az esetre, ha a pendrive meghótt, vagy véletlen leformázza az ember. :) Jobb félni mint megijedni.

Performance-ban nem vesz vissza sokat, persze valamennyit biztos. Mérést nem végeztem, de truecryptnél gyorsabb szerintem. A win-es partícióra viszont az talán a legjobb, ha be akarod mountolni linux alatt is. Viszont ott a boot managerrel gondok lehetnek, ha teljes rendszer titkosítást csinálsz vele, asszem csak a win-es bootmanagert támogatja (régebben legalábbis így volt), abból kellett a grub-ot indítani.

( eax | 2009. 11. 09., h – 19:21 )

"vagy esetleg pár szó hogy merre induljak el ?"

Valahogy igy (gentooval es dmcrypt-el). Nem bonyolult, annyi a trukk benne, hogy at kell irni az initramfs-t, hogy mount elott allitsa be a titkositast.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

( device | 2009. 11. 20., p – 01:52 )

Jelentem jelentkezem!

Megcsináltam a titkosított partíciót a következő módon. Leszedtem a vinyóról azt az ext3 partíciót amit be akartam titkosítani egy másik vinyóra. A megüresedett vinyón csináltam egy 200mb os elsődleges ext4 es particiót a /bootnak , a többi pedig dm-crypt filerendszer. Jó hosszú jelszóval, ahogy az ubuntu_alternate is mondja. Ezután lvm kötetekre osztottam a titkosítottat a / és swap lett belőle. Felment rá az oprendszer, aztán miután felment, annak rendje és módja szerint parasztosan visszamásoltam az adatokat felülirva a friss installt. Csodák csodájára el is indult, és szépen kérte a jelszót, két hibaüzenetet leszámítva semmi az égegyadta világon nem volt semmi baja.

Igenám most nekem nem elég a jelszó, én nekem muszáj bonyolítanom. Key-file-t akarok egy usb-n , vagyis inkább egy sd kártyán ami szépen a laptop elején csücsül.

Le is generáltam a key-t , be is toltam a titkosított filerendszerbe mint elfogadható kulcsot.

Átírtam a crypttabot, az fstabot létrehoztam a kulcsot tartalmazó kártyákat...... mi volt még ... ezen oldal szerint jártam el tulajdonképpen :

http://wejn.org/how-to-make-passwordless-cryptsetup.html#ed5e44ec607a37…

az etc/initramfs-tools ban beirtam a modulokat amiket berántana a kártyaolvasóhoz, legeneráltam a kellő verziószámú initramfs-t... aztán kalap kabát. Nem olvassa be csak kéri a jelszót.

Viszont ha már lebootolt a rendszer és umountolom az sdkártyát, valamint console-ból indítom a scriptet :


# Key file in the disk
KEYFILE=root.key

# # # # # CODE # # # # #
MD=/tmp-mount

if [ "x$1" = "x" -o "x$1" = "xnone" ]; then
KEYF=$KEYFILE
else
KEYF=$1
fi

USBLOAD=0
FSLOAD=0
MMCLOAD=0
cat /proc/modules | busybox grep usb_storage >/dev/null 2>&1
USBLOAD=$?
cat /proc/modules | busybox grep $PARTTYPE >/dev/null 2>&1
FSLOAD=$?
cat /proc/modules | busybox grep mmc >/dev/null 2>&1
MMCLOAD=$?

#Check if all the required modules have been already loaded
if [ $USBLOAD -gt 0 ] || [ $FSLOAD -gt 0 ] || [ $MMCLOAD -gt 0 ]; then
modprobe usb_storage
modprobe mmc_core
modprobe ricoh_mmc
modprobe mmc_block
modprobe sdhci
modprobe $PARTTYPE
fi

OPENED=0

ls -d /sys/block/sd* >/dev/null 2>&1
SDS=$?

if [ $SDS -eq 0 ]; then
echo "Trying to get the keyfile from physical keychain ..." >&2
mkdir -p $MD

# Try getting file from SD Card
echo "> Looking for keyfile in SD Card ..." >&2
mount /dev/mmcblk0p1 $MD -t $PARTTYPE -o ro 2>/dev/null

if [ -f $MD/$KEYF ]; then
cat $MD/$KEYF
umount $MD 2>/dev/null
OPENED=1
else
echo "> Could not find keyfile in SD Card ..." >&2
fi
umount $MD 2>/dev/null

# Try getting file from USB Device
if [ $OPENED -eq 0 ]; then
echo "> Now looking for keyfile in USB disk(s)..." >&2
# Sleep to allow USB drive to be recognised
sleep 7
for SFS in /sys/block/sd*; do
DEV=`busybox basename $SFS`
F=$SFS/${DEV}1/dev
if [ 0`cat $SFS/removable` -eq 1 -a -f $F ]; then
echo "> Trying device: $DEV ..." >&2
mount /dev/${DEV}1 $MD -t $PARTTYPE -o ro 2>/dev/null
if [ -f $MD/$KEYF ]; then
cat $MD/$KEYF
umount $MD 2>/dev/null
OPENED=1
break
fi
umount $MD 2>/dev/null
fi
done
fi
fi

# Could not read from physical token. So ask manual input for passphrase.
# read -s -r PASSPHRASE
if [ $OPENED -eq 0 ]; then
echo "> FAILED to find keyfile from a physical keychain ..." >&2
echo -n "Try to enter your passphrase: " >&2
read -s -r PASSPHRASE
echo -n "$PASSPHRASE"
echo -e "\n> Attempting to use provided passphrase ..." >&2
else
echo "Success loading keyfile from the keychain!" >&2
fi

Ha consoleból indítom, boot után umountolva az sd kártyát, simán müxik és kiirja hogy megtalálta a kulcsot. Viszont bootoláskor nem. Ötlet esetleg valami?

Előre is köszi

device