Come crittografare un filesystem BTRFS?

Sig. Valdo Marchetti
Come crittografare un filesystem BTRFS?

La funzione di crittografia a livello di filesystem BTRFS non è ancora disponibile. Ma puoi usare uno strumento di crittografia di terze parti come DM-Crypt per crittografare l'intero dispositivo di archiviazione del filesystem BTRFS.

In questo articolo, ti mostrerò come crittografare i dispositivi di archiviazione aggiunti a un filesystem BTRFS con DM-Crypt. Quindi iniziamo.

Abbreviazioni

  • Luks - Impostazione della chiave unificata Linux
  • HDD - Disco rigido
  • SSD - Disco a stato solido

Prerequisiti

Per seguire questo articolo:

  • Devi gestire Fedora 33 Workstation o Ubuntu 20.04 LTS Linux Distribuzione sul tuo computer.
  • Devi avere un HDD/SSD gratuito sul tuo computer.

Come puoi vedere, ho un HDD sdb sul mio ubuntu 20.04 LTS MACCHINE. Lo crittograferò e lo formatterò con il filesystem BTRFS.

$ sudo lsblk -e7

Installazione di pacchetti richiesti su Ubuntu 20.04 LTS

Per crittografare i dispositivi di archiviazione e formattarli con il filesystem BTRFS, è necessario disporre del btrfs-progs E criptsetup Pacchetti installati sul tuo Ubuntu 20.04 LTS MACCHINE. Fortunatamente, questi pacchetti sono disponibili nel repository di pacchetti ufficiali di Ubuntu 20.04 LTS.

Innanzitutto, aggiorna la cache del repository del pacchetto APT con il seguente comando:

$ sudo apt update


Installare btrfs-progs E criptsetup, Esegui il seguente comando:

$ sudo apt install btrfs-progs cryptsetup--install-Sugests


Per confermare l'installazione, premere Y e poi premere <accedere>.


IL btrfs-progs E criptsetup I pacchetti e le loro dipendenze vengono installati.


IL btrfs-progs E criptsetup I pacchetti dovrebbero essere installati a questo punto.

Installazione di pacchetti richiesti su Fedora 33

Per crittografare i dispositivi di archiviazione e formattarli con il filesystem BTRFS, è necessario disporre del btrfs-progs E criptsetup Pacchetti installati sulla macchina Fedora 33 Workstation. Fortunatamente, questi pacchetti sono disponibili nel repository di pacchetti ufficiali di Fedora 33 Workstation.

Innanzitutto, aggiorna la cache del repository del pacchetto DNF con il seguente comando:

$ sudo dnf makecache


Installare btrfs-progs E criptsetup, Esegui il seguente comando:

$ sudo dnf Installa btrfs -progs criptsetup -y


Fedora 33 Workstation utilizza il filesystem BTRFS per impostazione predefinita. Quindi, è più probabile che avrai già installati questi pacchetti, come puoi vedere nello screenshot qui sotto. Se per qualche motivo, non sono installati, saranno installati.

Generare una chiave di crittografia

Prima di poter crittografare i tuoi dispositivi di archiviazione criptsetup, È necessario generare una chiave casuale lunga 64 byte.

Puoi generare la tua chiave di crittografia e archiviarla nel /etc/cryptkey file con il seguente comando:

$ sudo dd if =/dev/urandom di =/etc/cryptkey bs = 64 conteggio = 1


Una nuova chiave di crittografia dovrebbe essere generata e archiviata in /etc/cryptkey file.


Il file chiave di crittografia /etc/cryptkey può essere letto da tutti per impostazione predefinita, come puoi vedere nello screenshot qui sotto. Questo è un rischio per la sicurezza. Vogliamo solo il radice utente per poter leggere/scrivere al /ecc/file cryptkey.

$ ls -lh /etc /cryptkey


Per consentire solo all'utente root di leggere/scrivere al /ecc/file cryptkey, Modificare le autorizzazioni del file come segue:

$ sudo chmod -v 600 /etc /cryptkey


Come puoi vedere, solo il radice L'utente ha l'autorizzazione a lettura/scrittura (RW) al /etc/cryptkey file. Quindi, nessun altro può vedere cosa c'è in /etc/cryptkey file.

$ ls -lh /etc /cryptkey

Crittografia dei dispositivi di archiviazione con DM-Crypt

Ora che hai generato una chiave di crittografia, puoi crittografare il tuo dispositivo di archiviazione. diciamo, sdb, con la tecnologia di crittografia del disco Luks V2 (versione 2) come segue:

$ sudo criptsetup -v --Type Luks2 Luksformat /Dev /SDB /ETC /CryptKey

criptsetup ti chiederà di confermare l'operazione di crittografia.

NOTA: Tutti i dati del tuo HDD/SSD devono essere rimossi. Quindi, assicurati di spostare tutti i tuoi dati importanti prima di tentare di crittografare il tuo HDD/SSD.


Per confermare l'operazione di crittografia del disco, digita (in maiuscolo) e premere . Potrebbe volerci un po 'di tempo per completare.


A questo punto, il dispositivo di archiviazione /dev/sdb dovrebbe essere crittografato con la chiave di crittografia /etc/cryptkey.

Apertura di dispositivi di archiviazione crittografati

Dopo aver crittografato un dispositivo di archiviazione con criptsetup, devi aprirlo con il criptsetup strumento per poterlo usare.

È possibile aprire il dispositivo di archiviazione crittografato sdb e mapparlo al tuo computer come dati dispositivo di archiviazione come segue:

$ sudo cryptsetup open --key-file =/etc/cryptkey --Type Luks2/Dev/SDB Data


Ora, il dispositivo di archiviazione decrittografato sarà disponibile nel percorso /dev/mapper/dati. Devi creare il tuo filesystem desiderato nel /Dev/Mapper/Data Device e montare il /Dev/Mapper/Data Device invece di /dev/sdb da ora in poi.

Creazione del filesystem BTRFS su dispositivi crittografati:

Per creare un filesystem BTRFS sul dispositivo di archiviazione decrittografato /dev/mapper/dati Con i dati dell'etichetta, eseguire il seguente comando:

$ sudo mkfs.BTRFS -L Data/Dev/Mapper/Data


Un filesystem BTRFS dovrebbe essere creato su /Dev/Mapper/Data Archiviazione Dispositivo, che è decrittografato dal dispositivo di archiviazione /dev/sdb (crittografato con Luks 2).

Montaggio del filesystem BTRFS crittografato

Puoi montare anche il filesystem BTRFS che hai creato in precedenza.

Diciamo, vuoi montare il filesystem BTRFS che hai creato all'inizio del /dati directory.

Quindi, crea il /dati directory come segue:

$ sudo mkdir -v /dati


Per montare il filesystem BTRFS creato su /Dev/Mapper/Data Archiviazione Dispositivo nel /dati Directory, eseguire il seguente comando:

$ sudo Mount /Dev /Mapper /Data /Data


Come puoi vedere, il filesystem BTRFS creato sul dispositivo di archiviazione crittografato sdb è montato nel /dati directory.

$ sudo btrfs show /dati

Montaggio automatico del filesystem BTRFS crittografato al momento dell'avvio

È possibile montare anche il filesystem BTRFS crittografato al momento dell'avvio.

Per montare il filesystem BTRFS crittografato al momento dell'avvio, è necessario:

  • Decrittografia del dispositivo di archiviazione /dev/sdb Al momento dell'avvio usando il file /etc/cryptkey File chiave di crittografia
  • montare il dispositivo di archiviazione decrittografato /dev/mapper/dati al /dati directory

Innanzitutto, trova l'Uuid del sdb dispositivo di archiviazione crittografato con il seguente comando:

$ sudo blkid /dev /sdb


Come puoi vedere, l'Uuid del sdb Il dispositivo di archiviazione crittografato è 1C66B0DE-B2A3-4D28-81C5-81950434F972. Sarà diverso per te. Quindi, assicurati di cambiarlo con il tuo d'ora in poi.


Per decrittografare automaticamente il sdb dispositivo di archiviazione al momento dell'avvio, è necessario aggiungere una voce per esso su /etc/crypttab file.

Apri il /etc/crypttab file con il nano Editor di testo come segue:

$ sudo nano /etc /cripttab


Aggiungi la riga seguente alla fine del /etc/crypttab File se stai utilizzando un HDD.

Dati UUID = 1C66B0DE-B2A3-4D28-81C5-81950434F972 /etc /CryptKey Luks, noialmente

Aggiungi la riga seguente alla fine del /etc/crypttab File se stai usando un SSD.

Dati UUID = 1C66B0DE-B2A3-4D28-81C5-81950434F972 /etc /CryptKey Luks, Noearly,

Una volta che hai finito, premere <Ctrl> + X, seguito da Y, E <accedere> Per salvare il /etc/crypttab file.


Ora, trova l'Uuid dei Decipted /dev/mapper/dati dispositivo di archiviazione con il seguente comando:

$ sudo blkid/dev/mapper/dati


Come puoi vedere, l'Uuid del /dev/mapper/dati Il dispositivo di archiviazione decrittografato è DAFD9D61-BDC9-446A-8B0C-AA209BFAB98D. Sarà diverso per te. Quindi, assicurati di cambiarlo con il tuo d'ora in poi.


Per montare automaticamente il dispositivo di archiviazione decrittografato /dev/mapper/dati Nella directory /dati al momento dell'avvio, è necessario aggiungere una voce sul /etc/fstab file.

Apri il /ETC/FILE FSTAB con il nano Editor di testo come segue:

$ sudo nano /etc /fstab


Ora aggiungi la seguente riga alla fine del /etc/fstab file:

UUID = DAFD9D61-BDC9-446A-8B0C-AA209BFAB98D /DATA BTRFS Imposta

Una volta che hai finito, premere <Ctrl> + X, seguito da Y, E <accedere> Per salvare il /etc/fstab file.


Infine, riavvia il computer per le modifiche ad avere effetto.

$ sudo riavvia


Il dispositivo di archiviazione crittografato sdb è decrittografato in a dati dispositivo di archiviazione e il dati Il dispositivo di archiviazione è montato in /dati directory.

$ sudo lsblk -e7


Come puoi vedere, il filesystem BTRFS, che è stato creato sul decrypted /dev/mapper/dati Il dispositivo di archiviazione è montato in /dati directory.

$ sudo btrfs show /dati

Conclusione

In questo articolo, ti ho mostrato come crittografare un dispositivo di archiviazione utilizzando la tecnologia di crittografia Luks 2 con criptsetup. Si impara anche come decrittografare il dispositivo di archiviazione crittografato e formattarlo anche con il filesystem BTRFS. O. Questo articolo dovrebbe aiutarti a iniziare con la crittografia del filesystem BTRFS.

Salesforce
Salesforce Apex - Formato della data
Tutorial pratico su come creare la data dalla stringa in Salesforce e convertire la data in stringa,...
Nunzia Martini
Idiota
comando git-stash in git | Spiegato
Il comando Git Stash viene utilizzato per salvare temporaneamente le modifiche non impegnate apporta...
Dante Palumbo
Programmazione C
Come implementare una coda in c
Nella programmazione C, le code sono la forma lineare della struttura dei dati in cui possiamo aggiu...
Dr. Folco Leone
Ubuntu
Come installare CUDA sulla top 10 di Ubuntu.Top 10 LTS
Dr. Ursula Marini
Docker
Plug -in motore Docker
Dr. Ursula Marini
Giava
Come utilizzare Java One Line If Dichiarazione?
Osea Martini
AWS
Qual è la differenza tra AWS Aurora e MySQL?
Dr. Evita Damico
AWS
Cos'è un'istanza e come usarlo in EC2?
Osea Martini
Golang
Come utilizzare la parola chiave Defer in Golang
Artemide Ricci
Sqlite
Posso usare sqlite online?
Nick Marini
C ++
Come usare le espressioni booleane in C ++
Sarita Negri
Programmazione C
Cosa sta gestendo i file nella programmazione C?
Nunzia Martini
Powershell
Quali sono i passaggi per eseguire comandi remoti in PowerShell?
Dr. Ursula Marini