Как зашифровать ваши разделы на Linux с помощью dm-crypt
Жесткие диски и SSD легко снимаются с ноутбуков или компьютеров. В таком случае все меры безопасности, реализованные вашей операционной системой, оказываются бесполезными. Если у вас есть данные, которые вы хотите защитить, вы можете создать зашифрованный контейнер. В нем вы будете хранить конфиденциальные файлы, в то время как неконфиденциальные файлы будут находиться на ваших обычных разделах.
Установить зашифрованный раздел проще всего во время установки вашей дистрибутивной системы Linux. Установщик может провести вас через этот процесс. Но если вы пропустили эту возможность, следуйте шагам в этом руководстве, чтобы создать вашу секретную хранилище.
Читать также: Как зашифровать файлы на Linux с помощью GPG, Ccrypt, Bcrypt и 7-Zip
Предварительные требования
Вам нужен пустой раздел для этого процесса. Это означает раздел, который не отформатирован (без файловой системы на нем).
Если ваши отформатированные разделы в настоящее время занимают все свободное место на вашем накопителе, вам необходимо использовать GParted, чтобы уменьшить один из них.
Предупреждение: разумно сначала сделать резервную копию ваших данных. Когда вы уменьшаете раздел и его файловую систему, есть небольшой риск. Ваш компьютер может сбойнуть или отключиться во время процесса. Это может оставить вашу файловую систему в несогласованном состоянии, которое может быть трудно восстановить.
Следуйте первым шагам в этом руководстве, чтобы изменить размер раздела с помощью GParted. Или, если есть раздел, который вам больше не нужен, вы можете удалить его. (После того как вы освободите пространство и оно появится как «незаallocированное», пропустите остальные шаги из руководства.) В частности, не создавайте раздел, отформатированный как ext4. Вместо этого щелкните правой кнопкой мыши на незанятом пространстве, как показано в руководстве. В открывшемся диалоговом окне вы увидите поле с надписью «Файловая система». Обычно здесь по умолчанию стоит ext4. Щелкните по нему и измените на «очищено».
После выбора «Добавить» нажмите на зеленую галочку, чтобы применить изменения.
Установите cryptsetup
Если вы загрузили живую операционную систему, чтобы изменить ваши разделы с помощью GParted, перезагрузите компьютер и вернитесь к основному дистрибутиву Linux.
Откройте эмулятор терминала. На системах на базе Debian, таких как Ubuntu или Linux Mint, введите эту команду:
sudo apt update && sudo apt install cryptsetup
На дистрибутивах, таких как Fedora или CentOS и других, использующих RPM-пакеты вместо DEB, cryptsetup может быть уже установлен. Если нет, вы можете установить его с помощью:
sudo yum install cryptsetupНа OpenSUSE, если cryptsetup не установлен по умолчанию, вы можете установить его с помощью:
sudo zypper refresh && sudo zypper install cryptsetupА на дистрибутивах, основанных на Arch, вы бы использовали эту команду:
sudo pacman -S cryptsetupНайдите имя блочного устройства вашего раздела
Введите следующую команду:
lsblk
В примере, предложенном на картинке, устройство хранения называется «vda». «vda1» до «vda3» — это разделы.
Чтобы найти подготовленный вами раздел, запомните размер, который вы зарезервировали для него. Вы найдете его среди разделов без точек монтирования. В вашем случае это может быть что-то вроде «/dev/sda2» вместо «/dev/vda3».
Шифрование раздела перезапишет данные на нем (если они есть), что означает, что если вы ошибетесь с именем устройства, вы можете уничтожить полезные данные. Чтобы убедиться, что вы правильно указали имя устройства, вы можете установить GParted и взглянуть на вашу раскладку разделов. Имена устройств будут перечислены в графическом интерфейсе. Не используйте имя, которое вы видели в GParted, когда загружались из живой системы (если делали это). Раскладка, показанная в живой системе, будет отличаться от раскладки, которую вы видите при загрузке из вашего установленного дистрибутива.
Существует и другой способ убедиться, что вы не записываете на неправильное блочное устройство. Попробуйте смонтировать его. Обычно оно должно отказать в этом, так как на нем нет файловой системы.
Важно: не забудьте всегда заменять «vda3» на имя вашего устройства:
sudo mount /dev/vda3 /mntВ вашем случае команда может быть sudo mount /dev/sda2 /mnt или что-то другое.
Вот сообщение, которое вы должны получить.
Настройка заголовка LUKS
Как только вы уверены, что у вас правильное имя устройства, добавьте заголовок LUKS к разделу.
sudo cryptsetup luksFormat /dev/vda3Введите «ДА», а затем выберите надежный пароль для вашего зашифрованного раздела. Введите тот же пароль, когда вас попросят подтвердить пароль.
Создание файловой системы на разделе
Вы должны сопоставить это физическое устройство с виртуальным устройством. То, что записывается на виртуальное устройство, будет зашифровано перед тем, как быть сохраненным на физическом устройстве.
sudo cryptsetup luksOpen /dev/vda3 encrypted-partitionРазделу нужна файловая система, чтобы он был полезен. Создайте файловую систему ext4 с этой командой:
sudo mkfs.ext4 /dev/mapper/encrypted-partition
Монтирование зашифрованного раздела
Создайте директорию, где вы будете монтировать файловую систему с раздела.
mkdir ~/encrypted-storageСмонтируйте файловую систему:
sudo mount /dev/mapper/encrypted-partition ~/encrypted-storageПерейдите в эту директорию:
cd ~/encrypted-storageВ данный момент только пользователь root может записывать сюда. Дайте вашему пользователю разрешение на запись в этой файловой системе, сделав его владельцем директории верхнего уровня. Скопируйте и вставьте всю команду, включая «.» в конце.
sudo chown $USER:$USER .Ограничьте другим пользователям возможность чтения или записи в эту директорию.
chmod 700 .На этом этапе большинство файловых менеджеров должны показать вам новое зашифрованное устройство в интерфейсе. Это показывает, как оно выглядит в файловом менеджере Thunar, который используется по умолчанию в окружении рабочего стола XFCE.
Если том не смонтирован, когда вы щелкните по нему, вас попросят ввести пароль тома и ваш пароль sudo. Том будет смонтирован автоматически, и вы сможете просматривать его. Точка монтирования будет отличаться от «~/encrypted-storage». Это может быть что-то вроде «/media/user/f42f3025-755d-4a71-95e0-37eaeb761730/».
Это не имеет значения; разрешения, которые вы установили ранее, все еще применяются. Важно помнить о необходимости щелкнуть правой кнопкой мыши и размонтировать, когда вы закончите работу с томом. Размонтирование и закрытие виртуального устройства гарантирует, что никто не сможет прочитать данные с зашифрованного раздела, даже ваша операционная система.
Если по каким-либо причинам ваш файловый менеджер не поддерживает эту функцию, вы можете смонтировать из терминала.
sudo cryptsetup luksOpen /dev/vda3 encrypted-partition
sudo mount /dev/mapper/encrypted-partition ~/encrypted-storageТеперь вы можете получить доступ к тому, перейдя в «/home/username/encrypted-storage» в файловом менеджере. Когда вы закончите, размонтируйте файловую систему и закройте виртуальное устройство:
cd && sudo umount /dev/mapper/encrypted-partition
sudo cryptsetup luksClose /dev/mapper/encrypted-partitionЗаключение
Теперь у вас есть сейф для ваших важных файлов. Зная, что никто не сможет увидеть, что вы там храните, должно дать вам спокойствие.
