Egyszerű partíció titkosítás

Gyors és hatékony partíció titkosítás az adatvédelem egyik egyszerű megoldása. A fájlok, adatok Linux rendszeren történő védelmének egyik legjobb módja a merevlemez vagy a partíció titkosítás engedélyezése. A most bemutatott programmal lehetséges lesz egy teljes merevlemez vagy partíció titkosítása, amellyel minden ott található fájlt biztonságban tudhatunk. A megfelelő visszafejtő kulcs nélkül a kíváncsi szemek csak rejtélyes zagyvaságot, értelmetlen karakter halmazt látnak.

Miért partíció titkosítás?

Mert a felcsatolt és titkosított partíción minden adatod rejtve lesz. Így nem egyesével kell minden fájlt titkosítani, hanem a csatolás után a partíción automatikusan megkapod a védelmet. Így egyszerű és hatékony módja lehet ez az adatvédelemnek. Kikerüljük az emberi lustasági tényezőt: majd később levédem a fájlt jelszóval, de most nem érek rá…

Miért ne a partíciót titkosítsd?

Van pár ellenérv is a teljes merevlemez, vagy partíció titkosítási módok ellen. Az egyik egy jogos gondolat: ha elfelejted a jelszót, akkor az egész, a lemezen lévő adatállomány el fog tűnni számodra.
Sokan ezért szeretik a fájlok egyesével való titkosítását. Ha ott elvész a jelszó, akkor csak az adott egy fájl tartama tűnik el örökre.

A megoldás itt is a lehető legegyszerűbb: használjunk megfelelő jelszógenerálási módot és használjunk megfelelő jelszótároló eszközt.

LUKS a titkos lemez

Ebben az útmutatóban lépésről lépésre áttekintjük a LUKS használatát egy Linux partíció titkosításához. Függetlenül attól, hogy milyen Linux disztribúciót futtatsz, ezeknek a lépéseknek ugyanúgy kell működniük. Ennek ellenére keress rá a saját disztribúciód és a LUKS szóra, mert az ördög nem alszik.

Itt is ki kell emelni: egy partícióhoz, lemezhez nyúlunk, így az azon lévő adatok el fognak tűnni. Örökre. Az első lépésed mindenképp az adatmentés legyen, amikor az összes adatodat lemented.

A második lépés

A LUKS titkosításhoz kell egy program, aminek a neve: cryptsetup. Ez nagy valószínűséggel nem lesz fenn a gépeden, így telepíteni kell. Ami nem jelent gondot, mert a jobb disztribúciókban az alaptárolókban ott lesz. Így

A cryptsetup telepítése Ubuntu, Debian és Linux Mint rendszerre:

apt install cryptsetup

A CentOS, a Fedora , az AlmaLinux és a Red Hat rendszerre:

dnf install cryptsetup

Az Arch Linux és Manjaro rendszerre:

pacman -S cryptsetup

Ha véletlenül ezek (vagy más egyéb, a rendszerednek megfelelő) parancsok nem jutnak eszedbe azonnal, akkor olvass utánuk és tanuld meg. Bár lehet minden telepítésnél grafikus felületű telepítőt indítani, de nem feltétlen az a leggyorsabb módja. Főleg, ha azután terminálban dolgozunk tovább!

A titkosítani kívánt lemez kijelölése

Bár sokféle mód lekérdezhető a lemezstruktúra, mi most a

fdisk -l

paranccsal azonosítjuk be a lemezeket.

Ne lepődj meg, ha valami hiányzik, és hibajelet kapsz: sudo kell, de alapból igyekszem nem előírni soha a cikkekben, nehogy valami gondod legyen. Így kapsz egy hibát, majd átgondolod, mit is teszünk, és azután futtatod emelt joggal.

Tipp: ha nagyon kezdő vagy, akkor grafikus programmal is nézd meg a lemez pontos nevét.

Disk /dev/sdb: 1,82 TiB, 2000398934016 bytes, 3907029168 sectors
Disk model: SAMSUNG HD204UI
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: gpt
Disk identifier: D75531E7-3823-49C7-B3B6-96CD70C2BA55

Eszköz Start Vége Szektorok Size Típus
/dev/sdb1 2048 1953128447 1953126400 931,3G Linux filesystem
/dev/sdb2 1953128448 3907028991 1953900544 931,7G Linux filesystem

Ahogy látni a sok érdektelen adat után kiírja a lemez partíció neveit is: /dev/sdb1 és a /dev/sdb2. Én a /dev/sdb2 lemezt titkosítom most.

Most már a cryptsetup segítségével létrehozhatjuk a titkosítást, majd a partíciót. A parancs végrehajtásakor jelszót kell megadni. Ügyelj arra, hogy nagyon biztonságos, mégis emlékezetes jelszót válassz. Adataid elvesznek, ha elfelejted ezt a jelszót, és az adatok lopásnak vannak kitéve, ha könnyen feltörhető jelszót választasz.

cryptsetup luksFormat /dev/sdb2

Itt nagyon figyelj! A végére pontosan azt a lemezt kell beírni, ami neked kell, azaz ne automatikusan másold, hanem figyelj is!

WARNING: Device /dev/sdb2 already contains a ‘ext4’ superblock signature.
WARNING!
========
This will overwrite data on /dev/sdb2 irrevocably.

Azaz a program is elmondja, hogy…

Are you sure? (Type ‘yes’ in capital letters):

Egy ellenőrző kérdés: ha valóban akarod, akkor gépel be nagy betűvel a yes szót.

Enter passphrase for /dev/sdb2:
Verify passphrase:

Jelszót kér, megadod, majd újra.

A parancs alapértelmezett beállításainak elegendők egy átlagos védelemhez, de megadhatunk más beállításokat, kulcsméretet, és további részleteket is. A részletekért olvasd el a cryptsetup kézikönyv (manual) oldalát. Ne vidd túlzásba, nem atomtitkot védünk, hanem a saját dolgainkat. Nem fog az NSA és CIA kommandót küldeni,  hogy megszerezze…

A titkosított partíció használatba vétele

cryptsetup open /dev/sdb2 titkos

Megadod a jelszavadat, és már léphetünk is tovább. A „titkos” egy név, akármi lehet, a lemezt azonosítja majd.

Most fájlrendszert teszünk a lemezre. Ez teszi hozzáférhetővé és írhatóvá a normál felhasználói feladatokhoz. A példában ext4 fájlrendszert fogjuk használni. Azaz formázzuk le a lemezt

mkfs.ext4 /dev/mapper/titkos

A mérettől, a sebességtől függően ez eltart pár másodpercig. A fájlrendszer létrehozása után a lemez használatra kész. Már csak csatolni kell a rendszeredhez.

cryptsetup --type luks open /dev/sdb2 titkos
mount -t ext4 /dev/mapper/titkos /home/laci/aa

A két parancs egymásután kiadva csatolja a lemezt, amire már írhatsz, használhatod. Oda csatolod, ahova szeretnéd természetesen. De mindenképp egy létező könyvtár legyen!
Amit tudni kell róla, hogy semmiben nem tér el a használata, mint egy akármilyen egyéb lemezé. Alapvetően semmit nem fogsz tapasztalni, csak te tudod, hogy a lemez titkosított partíció. Amíg csatolva van, addig akinek jogosultsága van, annak a jogosultság szerinti hozzáférései lesznek. Így amikor befejezted a használatot le kell csatolni! Ezután már aki ezt a lemezt simán akarja felcsatolni, használatba venni, csak egy halom zagyva karaktert lát. Jelszó nélkül pedig hiába akarja futtatni a cryptsetup –type luks open /dev/sdb2 parancsot csökönyösen jelszót fog tőle kérni.

umount /home/laci/aa
cryptsetup close titkos

Automatikus csatolása a titkos lemeznek

Beállíthatjuk az automatikus csatolást is, így a titkosított partíciót bármikor felcsatoljuk, amikor bejelentkezünk a rendszerbe, de a csatolás befejezéséhez jelszóra lesz szükség. Ehhez szerkesztenünk kell a /etc/fstab és /etc/crypttab fájlokat.

Adjuk hozzá a következő sort a /etc/fstab fájlhoz. Itt elmondjuk a rendszernek, hová kell csatlakoztatni a titkosított partíciónkat.

/dev/mapper/titkos /home/laci/aa ext4 defaults 0 0

Majd a /etc/crypttab fájlt is szerkeszteni kell. Itt adjuk meg nevét, valamint a partíció nevét. A “none”, azt jelenti, hogy nem akarunk kulcsfájlt megadni.

titkos /dev/sdb2 none

Amikor a rendszerünk elindul, megjelenik egy üzenet, amely a jelszót kéri tőlünk a titkosított partíció csatlakoztatásához. Megadjuk és már használható is a lemez!

Komoly vitára adhat lehetőséget, hogy a LUKS (vagy általánosságban a lemez, partíció titkosítása) vagy inkább a veracrypt konténeres megokádása. Én nem foglalok állást, nekem a hordozható médiákon vera konténer van, mert azok másolhatóak, többszörözhetőek. Aki nem mozgatja az adatokat, vagy nem akar a konténerről másolatot, annak nagyon ideális és megbízható a LUKS -féle titkosítás.

Related Posts