1. Zainstalowac
cryptsetup
2. Nadpisac dysk losowymi danymi by utrudnic krypto analize:
Important
To w zaleznosci od wielkosci dysku moze nawet potrwac pare dni.# dd if=/dev/urandom of=[DEVICE]
3. Ladowanie modulow.
Jako ze mam procesor VIA ktory ma PADLOCK czyli sprzetowo zimplementowane algorytmy cryptograficzne AES i SHA, laduje modoly
padlock-aes i
padlock-sha, dodatkowo potrzeba jeszcze zaladowac
dm-mod i
dm-crypt.
Aby powyzsze moduly byly ladowane automatcznie podczas stratu nalezy je wpisac do
/etc/modules
# echo "padlock-aes" >> /etc/modules
# echo "padlock-sha" >> /etc/modules
# echo "dm-mod" >> /etc/modules
# echo "dm-crypt" >> /etc/modules
4. Tworzenie zaszyfrowanego woluminu.
Uzyje algorytmu AES-CBC, gdyz jest on wspierany przez PADLOCK, ktory posiadam.W innym przypdaku uzywajac jadra zaczynajac od 2.6.24 w gore uzyl bym XTS-AES, gdyz jest to defakto nowy standart (IEEE P1619), uzywajacy podwojnego klucza(XTS-AES-512 uzywa dwoch kluczy o dlugosci 256)
cryptsetup --cipher aes-cbc-essiv:sha256 --key-size 256 -y luksFormat /dev/[DEVICE]
Uzywam hasla gdyz mi to wystracza, oczywisicie dlugi klucz bylby lepszym wyjsciem, lecz klucz trzeba gdzies schowac, lub tez zabezpieczyc haslem, wiec wybor padl na poprostu haslo ;)
5. Otworzenie woluminu:
cryptsetup luksOpen /dev/md1 hd90gb
Teraz w /dev/mapper mamy miezdyinnymi
hd90gb, ktore jest naszym odnosnikiem do zaszyfrowanej partycji.
6. Tworzenie systemu plikow
mkfs.ext3 -j -m 1 -O dir_index,filetype,sparse_super /dev/mapper/hd90gb
Ponizej wycinek z
man mkfs.ext3, opisujacy opcje ,ktorych uzylem
quote
dir_index
Use hashed b-trees to speed up lookups in large directories.
filetype
Store file type information in directory entries.
sparse_super
Create a filesystem with fewer superblock backup copies (saves space on large filesystems).
-m reserved-blocks-percentage
Specify the percentage of the filesystem blocks reserved for the super-user. This avoids fragmentation,
and allows root-owned daemons,such as syslogd(8), to continue to function correctly after non-privileged
processes are prevented from writing to the filesystem. The default percentage is 5%.
Przydatne komendy:
# cryptsetup status hd90gb
# cryptsetup remove hd90gb
# cryptsetup luksClose hd90gb; # To samo co powyzsze
7. Montowanie woluminu
mkdir /mnt/hd90gb
mount /dev/mapper/hd90gb /mnt/hd90gb
To wszystko! Zapisujac pliki do /mnt/hd90gb, beda one szyfrowane w locie.
8. Odmontowywanie woluminu
umount /mnt/hd90gb
cryptsetup luksClose /dev/mapper/hd90gb
Jesli chcemy mountowac partycje podczas stratu automatycznie trzeba wyedytowac plik
/etc/crypttab. wiecej informacji w crypttab(8).