Gyors és hatékony partíció titkosítás az adatvédelem egyik egyszerű megoldása. A fájlok, adatok Linux rendszeren történő védelmének egyik legjobb módja a merevlemez vagy a partíció titkosítás engedélyezése. A most bemutatott programmal lehetséges lesz egy teljes merevlemez vagy partíció titkosítása, amellyel minden ott található fájlt biztonságban tudhatunk. A megfelelő visszafejtő kulcs nélkül a kíváncsi szemek csak rejtélyes zagyvaságot, értelmetlen karakter halmazt látnak.
Miért partíció titkosítás?
Mert a felcsatolt és titkosított partíción minden adatod rejtve lesz. Így nem egyesével kell minden fájlt titkosítani, hanem a csatolás után a partíción automatikusan megkapod a védelmet. Így egyszerű és hatékony módja lehet ez az adatvédelemnek. Kikerüljük az emberi lustasági tényezőt: majd később levédem a fájlt jelszóval, de most nem érek rá…
Miért ne a partíciót titkosítsd?
Van pár ellenérv is a teljes merevlemez, vagy partíció titkosítási módok ellen. Az egyik egy jogos gondolat: ha elfelejted a jelszót, akkor az egész, a lemezen lévő adatállomány el fog tűnni számodra.
Sokan ezért szeretik a fájlok egyesével való titkosítását. Ha ott elvész a jelszó, akkor csak az adott egy fájl tartama tűnik el örökre.
A megoldás itt is a lehető legegyszerűbb: használjunk megfelelő jelszógenerálási módot és használjunk megfelelő jelszótároló eszközt.
LUKS a titkos lemez
Ebben az útmutatóban lépésről lépésre áttekintjük a LUKS használatát egy Linux partíció titkosításához. Függetlenül attól, hogy milyen Linux disztribúciót futtatsz, ezeknek a lépéseknek ugyanúgy kell működniük. Ennek ellenére keress rá a saját disztribúciód és a LUKS szóra, mert az ördög nem alszik.
Itt is ki kell emelni: egy partícióhoz, lemezhez nyúlunk, így az azon lévő adatok el fognak tűnni. Örökre. Az első lépésed mindenképp az adatmentés legyen, amikor az összes adatodat lemented.
A második lépés
A LUKS titkosításhoz kell egy program, aminek a neve: cryptsetup. Ez nagy valószínűséggel nem lesz fenn a gépeden, így telepíteni kell. Ami nem jelent gondot, mert a jobb disztribúciókban az alaptárolókban ott lesz. Így
A cryptsetup telepítése Ubuntu, Debian és Linux Mint rendszerre:
apt install cryptsetup
A CentOS, a Fedora , az AlmaLinux és a Red Hat rendszerre:
dnf install cryptsetup
Az Arch Linux és Manjaro rendszerre:
pacman -S cryptsetup
Ha véletlenül ezek (vagy más egyéb, a rendszerednek megfelelő) parancsok nem jutnak eszedbe azonnal, akkor olvass utánuk és tanuld meg. Bár lehet minden telepítésnél grafikus felületű telepítőt indítani, de nem feltétlen az a leggyorsabb módja. Főleg, ha azután terminálban dolgozunk tovább!
A titkosítani kívánt lemez kijelölése
Bár sokféle mód lekérdezhető a lemezstruktúra, mi most a
fdisk -l
paranccsal azonosítjuk be a lemezeket.
Ne lepődj meg, ha valami hiányzik, és hibajelet kapsz: sudo kell, de alapból igyekszem nem előírni soha a cikkekben, nehogy valami gondod legyen. Így kapsz egy hibát, majd átgondolod, mit is teszünk, és azután futtatod emelt joggal.
Tipp: ha nagyon kezdő vagy, akkor grafikus programmal is nézd meg a lemez pontos nevét.
Disk /dev/sdb: 1,82 TiB, 2000398934016 bytes, 3907029168 sectors
Disk model: SAMSUNG HD204UI
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: gpt
Disk identifier: D75531E7-3823-49C7-B3B6-96CD70C2BA55
Eszköz Start Vége Szektorok Size Típus
/dev/sdb1 2048 1953128447 1953126400 931,3G Linux filesystem
/dev/sdb2 1953128448 3907028991 1953900544 931,7G Linux filesystem
Ahogy látni a sok érdektelen adat után kiírja a lemez partíció neveit is: /dev/sdb1 és a /dev/sdb2. Én a /dev/sdb2 lemezt titkosítom most.
Most már a cryptsetup segítségével létrehozhatjuk a titkosítást, majd a partíciót. A parancs végrehajtásakor jelszót kell megadni. Ügyelj arra, hogy nagyon biztonságos, mégis emlékezetes jelszót válassz. Adataid elvesznek, ha elfelejted ezt a jelszót, és az adatok lopásnak vannak kitéve, ha könnyen feltörhető jelszót választasz.
cryptsetup luksFormat /dev/sdb2
Itt nagyon figyelj! A végére pontosan azt a lemezt kell beírni, ami neked kell, azaz ne automatikusan másold, hanem figyelj is!
WARNING: Device /dev/sdb2 already contains a ‘ext4’ superblock signature.
WARNING!
========
This will overwrite data on /dev/sdb2 irrevocably.
Azaz a program is elmondja, hogy…
Are you sure? (Type ‘yes’ in capital letters):
Egy ellenőrző kérdés: ha valóban akarod, akkor gépel be nagy betűvel a yes szót.
Enter passphrase for /dev/sdb2:
Verify passphrase:
Jelszót kér, megadod, majd újra.
A parancs alapértelmezett beállításainak elegendők egy átlagos védelemhez, de megadhatunk más beállításokat, kulcsméretet, és további részleteket is. A részletekért olvasd el a cryptsetup kézikönyv (manual) oldalát. Ne vidd túlzásba, nem atomtitkot védünk, hanem a saját dolgainkat. Nem fog az NSA és CIA kommandót küldeni, hogy megszerezze…
A titkosított partíció használatba vétele
cryptsetup open /dev/sdb2 titkos
Megadod a jelszavadat, és már léphetünk is tovább. A „titkos” egy név, akármi lehet, a lemezt azonosítja majd.
Most fájlrendszert teszünk a lemezre. Ez teszi hozzáférhetővé és írhatóvá a normál felhasználói feladatokhoz. A példában ext4 fájlrendszert fogjuk használni. Azaz formázzuk le a lemezt
mkfs.ext4 /dev/mapper/titkos
A mérettől, a sebességtől függően ez eltart pár másodpercig. A fájlrendszer létrehozása után a lemez használatra kész. Már csak csatolni kell a rendszeredhez.
cryptsetup --type luks open /dev/sdb2 titkos
mount -t ext4 /dev/mapper/titkos /home/laci/aa
A két parancs egymásután kiadva csatolja a lemezt, amire már írhatsz, használhatod. Oda csatolod, ahova szeretnéd természetesen. De mindenképp egy létező könyvtár legyen!
Amit tudni kell róla, hogy semmiben nem tér el a használata, mint egy akármilyen egyéb lemezé. Alapvetően semmit nem fogsz tapasztalni, csak te tudod, hogy a lemez titkosított partíció. Amíg csatolva van, addig akinek jogosultsága van, annak a jogosultság szerinti hozzáférései lesznek. Így amikor befejezted a használatot le kell csatolni! Ezután már aki ezt a lemezt simán akarja felcsatolni, használatba venni, csak egy halom zagyva karaktert lát. Jelszó nélkül pedig hiába akarja futtatni a cryptsetup –type luks open /dev/sdb2 parancsot csökönyösen jelszót fog tőle kérni.
umount /home/laci/aa
cryptsetup close titkos
Automatikus csatolása a titkos lemeznek
Beállíthatjuk az automatikus csatolást is, így a titkosított partíciót bármikor felcsatoljuk, amikor bejelentkezünk a rendszerbe, de a csatolás befejezéséhez jelszóra lesz szükség. Ehhez szerkesztenünk kell a /etc/fstab és /etc/crypttab fájlokat.
Adjuk hozzá a következő sort a /etc/fstab fájlhoz. Itt elmondjuk a rendszernek, hová kell csatlakoztatni a titkosított partíciónkat.
/dev/mapper/titkos /home/laci/aa ext4 defaults 0 0
Majd a /etc/crypttab fájlt is szerkeszteni kell. Itt adjuk meg nevét, valamint a partíció nevét. A „none”, azt jelenti, hogy nem akarunk kulcsfájlt megadni.
titkos /dev/sdb2 none
Amikor a rendszerünk elindul, megjelenik egy üzenet, amely a jelszót kéri tőlünk a titkosított partíció csatlakoztatásához. Megadjuk és már használható is a lemez!
Komoly vitára adhat lehetőséget, hogy a LUKS (vagy általánosságban a lemez, partíció titkosítása) vagy inkább a veracrypt konténeres megokádása. Én nem foglalok állást, nekem a hordozható médiákon vera konténer van, mert azok másolhatóak, többszörözhetőek. Aki nem mozgatja az adatokat, vagy nem akar a konténerről másolatot, annak nagyon ideális és megbízható a LUKS -féle titkosítás.