Ovaj tutorial ce vam objasniti kako kriptirati tvrdi disk i sacuvati vase podatke od napada.
UPOZORENJE!
Morate imat kernel verzije 2.6.16 ili vece da bi ste mogli uciniti kriptiranje.
Da biste provjerili verziju kernela upisite u konzolu:
uname -r
Ovaj proces ce vam obrisati sve podatke sa tvrdog diska koji mislite kriptirati.
Preporucam backup!!!!!!
Necemo puno pricati o teoriji pa odmah prelazimo na kriptiranje tvrdog diska.
Koristit cu root pristup u cijelom procesu kriptiranja. Da bi ste postali root morate upisati sljedece u konzolu:
1: za sudo korisnike: sudo -i - zatraziti ce vas lozinku i poslje upisivanja biti cete root
2: za su korisnike: su - zatraziti ce vas lozinku i poslje upisivanja biti cete root
Da biste uopce krenuli sa kriptiranjem trebati ce vam program cryptsetup.
Vjerojatno se nalazi u vasem repozitorju pa ga mozete skinuti pomocu ove komande:
apt-get install cryptsetup - za apt-get based sustave (Ubuntu...)
pacman -S cryptsetup - za pacman based sustave (Arch....)
1: Pripremanje tvrdog diska za kriptiranje.
Sada cemo dodati nasumicne podatke na tvrdi disk tako da ce biti nemoguce saznati koliko tocno podataka imate na tvrdom disku.
Proces ce uzeti dosta vremena tako da mozete pogledati koji film ili slicno. Zavisi i od velicine tvrdog diska.
dd if=/dev/urandom of=/dev/ime_vaseg_tvrdog_diska
(morate upisati tocno ime jeli moze doci do gadnih stvari ako krivo upisete)
Ime tvrdog diska vam je nesto ovakvo: hda, hdb, sdb, sdb, hdc...
To mozete provjeriti uz mnogo programa. Evo opisa za program QTParted(apt-get install qtparted).
Kad otvorite program s lijeve strane pisati ce vam vasi tvrdi diskovi.
npr.
/dev/sda
/devsdb
To znaci da pod "ime_vaseg_tvrdog_diska" trebate upisati sdb ili sda ovisno o tome koji tvrdi disk zelite kriptirati.
Da bi ste saznali koji je pravi disk jednostavno pritisnite na njega i vidjecete particije koje su na njemu.
Ako na disku koji ste pritisnuli ima swap i druge particije znaci da tu nesmijemo dirati inace nam sistem odlazi kvragu.
Ja koristim "sdb" vi samo promijenite u vasu.
Kada zavrsi "proces nasumicnog upisa podataka" dobiti ce te prikaz nesto slican ovome:
username@hostname:/dev$ dd if=/dev/urandom of=/dev/sdb
dd: writing to `/dev/sdb': No space left on device
xxxxxxxxxxxx+x records in
xxxxxxxxxxxx+x records out
xxxxxxxxxxxx bytes (xxx GB) copied, xxxxxxxx seconds, xxx MB/s
Ovi x-evi ce na kraju predstavljati brojke vaseg tvrdog diska(velicinu, brzinu zapisa, trajanje zapisa...)
2: Pokretanje potrebnih modula.
Da bi uspjesno zavrsili kriptiranje moramo pokrenuti neke module.
Upisite u konzolu:
modprobe aes
modprobe dm-crypt
modprobe dm_mod
Ako zelite da se ovi moduli sami pokrecu za vrijeme pokretanja sustava dodajte ovo u /etc/modules:
(koristite bilo koji text editor umjesto moje komande vim, bilo bi prekomplicirano za pocetnika. npr, kate, kwrite....)
vim /etc/modules
Dobiti ce te ovaj file:
# /etc/modules: kernel modules to load at boot time.
#
# This file contains the names of kernel modules that should be loaded
# at boot time, one per line. Lines beginning with "#" are ignored.
fuse
lp
# ovo sam ja dodao, tako treba izgledati i kod vas
aes
dm-crypt
dm_mod
Za Arch linux otvorite /etc/rc.conf
vim /etc/rc.conf
Dobiti ce te ovaj file (Ovo je samo dio file-a. Inace je ovo konfiguracijski file samog Arch linux-a u kojemu se mogu pokretati moduli i sl.):
# Modules to load at boot-up (in this order)
# - prefix a module with a ! to blacklist it
#
MODULES=(mii slhc via-rhine ac97_bus snd-mixer-oss snd-pcm-oss snd-seq-oss snd-seq-device snd-seq-midi-event snd-seq snd-page-alloc snd-pcm snd-rawmidi snd-timer snd snd-mpu401-uart snd-ac97-codec snd-via82xx soundcore aes dm-crypt dm_mod)
Tako izgleda moj "MODULES" dio file-a, vi trebate samo dodati aes, dm-crypt, dm_mod ako ste Arch korisnik.
Sad smo gotovi sa pokretanjem modula za vrijeme startanja sustava. :)
2: Izrada kriptiranog tvrdog diska.
UPOZORENJE!! Tvrdi disk mora biti unmountan ako zelite uspjeti sa sljedecom komandom, ako nije dobiti ce te error slican ovome:
Check kernel for support for the aes-cbc-essiv:sha256 cipher spec !
Da unmountate tvrdi disk ucinite sljedece u konzoli:
umount /put/do/diska
Ako ste sigurni da je disk unmount-an mozete ucinit sljedece:
cryptsetup luksFormat /dev/sdb
Traziti ce vas da upisete lozinku koju zelite da imate za izabrani tvrdi disk. Preporucam nesto ovako: x3#2pL(/%2Dc&5!
Zasto tako tesku lozinku? Jer je enkripcija sigurna koliko je sigurna vasa lozinka. :)
3: Mapiranje kriptiranog tvrdog diska.
U konzolu unesite:
cryptsetup luksOpen /dev/ime_vaseg_tvrdog_diska ime_uredjaja
Ime uredjaja mozete staviti sto hocete, ja cu u daljenjem procesu koristiti "data" npr. /dev/sdb data .
Sada je tvrdi disk mapiran u: /dev/mapper/data
4: Formatiranje kriptiranog tvrdog diska - izrada file system-a.
U konzolu unesite:
mkfs.ext3 /dev/mapper/data
Ova komanda napravi file system pod imenom ext3. Takva vrsta file system-a ima podrsku za Journaling. Journaling vam omogucuje zastitu od slucajno izgubljenih podataka. npr. ako vam se desi da nestane struje i racunalo se ugasi, a vi niste spremili ono sto ste radili nemorate se nista brinuti, jer kad ponovno upalite racunalo sa njime ce vam se vratiti svi podatci koje niste spremili. :)
5: Kreiranje mount tocke.
Kreirajmo "mount" tocku - mount tocka je direktorij gdje ce se nalaziti podatci s tvrdog diska kada ga mount-amo:
mkdir /data
6: Mount-anje tvrdog diska.
Sada cemo mount-ati nas tvrdi disk na proslo stvorenu mount tocku:
mount /dev/mapper/data /data
Kriptiranje tvrdog diska je gotovo. Mozemo ga koristit za spremanje podataka i ostalog sadrzaja koji zelimo da bude zasticen.
7: Unmount-anje tvrdog diska
Za unmountanje ucinite sljedece:
umount /data
UPOZORENJE! Ispred /data je UMOUNT ne UNMOUNT. To je jedna od cestih gresaka novih linux korisnika.
Te poslje unmount-a ucinite ovo:
cryptsetup luksClose data
8: Mountanje tvrdog diska.
Ako unmount-ate tvrdi disk mozete ga ponovno mount-ati pomocu ovog postupka:
1:
cryptsetup luksOpen /dev/sdb data
2:
mount /dev/mapper/data /data
To bi bilo to sa izradom kriptiranog tvrdog diska.
Ne preuzimam odgovornost za mogucu stetu, izgubljene podatke te svu ostalu stetu koja moze nastati prilikom ovog procesa.
EDIT: Zaboravio sam reci da kriptiramo tvrdi disk sa AES 256 bit-nom enkripcijom.
Mozete koristiti 128 ili 192 bit-nu enkripciju. AES 256 bit-na enkripcija je standardizirana za ovaj program.
Znaci ona je default. Ove enkripcije od 128, 192, 256 bit-a su prihvacene i standardizirane
od NIST-a(National Institue od Standards and Technology of United States(Nacionalni institut za standarde i tehnologiju SAD-a)).