EncryptedFilesystemUsingLUKS » Cronologia » Versione 7
Amministratore Truelite, 08-08-2006 13:03
| 1 | 1 | Amministratore Truelite | [[TracNav(TOC)]] |
|---|---|---|---|
| 2 | = Come creare un filesystem cifrato usando LUKS = |
||
| 3 | |||
| 4 | [http://luks.endorphin.org/ LUKS] è un acronimo di "Linux Unified Key Setup" e si propone come lo standard per la crittografia dei dischi in sistemi linux (e non solo), offrendo un formato standard "on-disc", la possibilità di avere più di una coppia chiave-passphrase per l'accesso ed una gestione sicura di tutte le chiavi. |
||
| 5 | |||
| 6 | Un disco criptato con LUKS, nel caso lo si sia formattato con una filesystem compatibile (es. vfat) è accessibile anche dai sistemi Windows, usando [http://www.freeotfe.org/ FreeOTFE]. |
||
| 7 | 2 | Amministratore Truelite | |
| 8 | 7 | Amministratore Truelite | La macchina utilizzata al momento della scrittura di questa guida è utilizza una distribuzione GNU/Linux Ubuntu 6.06, relase "Dapper Drake" con kernel 2.6.15; è necessaria una versione di cryptsetup compilata con il supporto LUKS, molto probabilmente la versione attualmente presente in Debian Sid/Unstable dovrebbe andare bene, mentre credo che quella di Sarge non abbia il supporto necessario; è comunque possibile verificare la compatibilità lanciando il comando {{{cryptsetup --help}}} e controllando la presenza delle opzioni relative a LUKS. |
| 9 | 2 | Amministratore Truelite | |
| 10 | 7 | Amministratore Truelite | Nel caso in cui il comando non fosse presente, è sufficente installarlo con {{{apt-get install cryptsetup}}}. |
| 11 | 2 | Amministratore Truelite | |
| 12 | 7 | Amministratore Truelite | A questo punto è possibile iniziare il lavoro di preparazione del dispositivo, in questo caso una chiavetta USB da 128MB, rilevata dal sistema come {{{/dev/sda}}}. |
| 13 | 2 | Amministratore Truelite | |
| 14 | La prima cosa da fare è verificare l'affidabilità del dispositivo ed, al tempo stesso, riempire tutto lo spazio disponibile con dei dati casuali rendendo di fatto molto più difficoltosi degli eventuali tentativi di attacco e compromissione del filesystem cifrato che verrà creato in seguito. |
||
| 15 | Prima di iniziare, va tenuto presente il fatto che a seconda della dimensione del disco, questo processo può richiedere molte ore, quindi se dovete lanciarlo su di un disco molto grande, vi conviene farlo prima di andare a dormire. |
||
| 16 | |||
| 17 | {{{ |
||
| 18 | badblocks -c 10240 -s -w -t random -v /dev/sda |
||
| 19 | }}} |
||
| 20 | 3 | Amministratore Truelite | |
| 21 | Se siete particolarmente paranoici potete utilizzare {{{ "/dev/urandom" }}} come sorgente di dati casuali e riempirci il disco. La casualità dei dati sarà migliore rispetto a quella del metodo precedente, ma l'operazione farà un uso intensivo della CPU e richiederà molte ore. |
||
| 22 | Il comando da eseguire è: |
||
| 23 | {{{ |
||
| 24 | dd if=/dev/urandom of=/dev/sda |
||
| 25 | }}} |
||
| 26 | |||
| 27 | 7 | Amministratore Truelite | Successivamente va partizionato il disco. In questo caso l'obiettivo è di creare un'unica partizione che occupi tutto lo spazio disponibile e per farlo ci sono diverse alternative, sia da linea di comando come {{{fdisk}}} o {{{cfdisk}}} che grafiche come {{{gparted}}} e {{{qtparted}}}. |
| 28 | 4 | Amministratore Truelite | |
| 29 | 7 | Amministratore Truelite | Verrà quindi creata una nuova partizione, riconosciuta dal sistema come {{{/dev/sda1}}}. |
| 30 | 4 | Amministratore Truelite | |
| 31 | A questo punto è possibile cifrare la partizione con LUKS e poi "agganciarla" al device-mapper, in modo che dm-crypt possa presentarla in maniera "trasparente" al sistema. Sottolineo l'importanza della scelta di una passphrase abbastanza lunga e complessa poiché l'utilizzo di una frase corta e/o facilmente indovinabile vanificherebbe l'utilizzo della crittografia. |
||
| 32 | I comandi da eseguire sono quindi: |
||
| 33 | {{{ |
||
| 34 | cryptsetup --verbose --verify-passphrase luksFormat /dev/sda1 |
||
| 35 | |||
| 36 | cryptsetup luksOpen /dev/sda1 sda1 |
||
| 37 | }}} |
||
| 38 | |||
| 39 | 7 | Amministratore Truelite | Se tutto è andato a buon fine, l'esecuzione del comando {{{ls -l /dev/mapper/}}} dovrebbe restituire il seguente output, confermando l'avvenuto "aggancio" della partizione criptata al device mapper. |
| 40 | 4 | Amministratore Truelite | {{{ |
| 41 | total 0 |
||
| 42 | crw------- 1 root root 10, 63 Jul 16 01:34 control |
||
| 43 | brw-r----- 1 root root 253, 0 Jul 16 01:52 sda1 |
||
| 44 | }}} |
||
| 45 | 5 | Amministratore Truelite | |
| 46 | Va quindi creato un filesystem sulla partizione criptata: |
||
| 47 | {{{ |
||
| 48 | 6 | Amministratore Truelite | mkfs.ext3 -j -m 1 /dev/mapper/sda1 |
| 49 | 5 | Amministratore Truelite | }}} |
| 50 | |||
| 51 | e sarà possibile montarlo con |
||
| 52 | {{{ |
||
| 53 | mount /dev/mapper/sda1 /mnt |
||
| 54 | }}} |
||
| 55 | |||
| 56 | mentre i comandi per smontare filesystem e partizione criptata sono |
||
| 57 | {{{ |
||
| 58 | umount /mnt |
||
| 59 | cryptsetup luksClose /dev/mapper/sda1 |
||
| 60 | }}} |
||
| 61 | |||
| 62 | Le distribuzioni sufficentemente moderne usano hal, d-bus e gnome-volume-manager (o l'equivalente per KDE) per la gestione dei volumi disponibili nel sistema: quando viene collegata al sistema la chiavetta usb contenente la partizione crittografata con LUKS, questa viene riconosciuta e compare una finestra che chiede di inserire la passphrase. |
||
| 63 | Se la passphrase inserita è corretta, la partizione viene montata e sarà possibile utilizzarla normalmente da tutte le applicazioni. |