车讯:2020年前推出 本田将开发纯电/PHEV技术
Przed zaszyfrowaniem dysku zaleca si? bezpieczne wymazanie dysku poprzez nadpisanie ca?ego dysku losowymi danymi. Aby zapobiec atakom kryptograficznym lub niepo??danemu odzyskiwaniu plików, dane te s? idealnie nie do odró?nienia od danych pó?niej napisanych przez dm-crypt. Aby uzyska? bardziej wyczerpuj?c? dyskusj? zobacz Data-at-rest encryption#Preparing the disk.
Bezpieczne usuwanie danych z dysku twardego
Podczas wybierania metody bezpiecznego usuwania dysku twardego nale?y pami?ta?, ?e nale?y to zrobi? tylko raz, dopóki dysk jest u?ywany jako dysk zaszyfrowany.
- Proces wype?niania zaszyfrowanego dysku mo?e potrwa? nawet dzień, zanim zostanie ukończony na dysku wieloterabajtowym. Aby nie pozostawi? maszyny bezu?ytecznej podczas pracy, warto j? wykona? z systemu ju? zainstalowanego na innym dysku, a nie z systemu instalacji Arch na ?ywo.
- W przypadku dysków SSD, aby zminimalizowa? artefakty pami?ci podr?cznej pami?ci flash, rozwa? wykonanie czyszczenia komórki SSD przed wykonaniem poni?szych instrukcji.
Metody ogólne
Aby uzyska? szczegó?owe instrukcje na temat usuwania i przygotowania dysku, przeczytaj Bezpiecznie wyma? dysk.
Metody specyficzne dla dm-crypt
Poni?sze dwie metody s? specyficzne dla dm-crypt i s? wymienione, poniewa? s? bardzo szybkie i mog? by? wykonywane równie? po konfiguracji partycji.
cryptsetup FAQ opisuje bardzo prost? procedur? u?ycia istniej?cej woluminu dm-crypt do usuni?cia ca?ej dost?pnej wolnej przestrzeni na bazowym urz?dzeniu blokowym za pomoc? losowych danych, dzia?aj?c jako prosty generator liczb pseudolosowych. Ma równie? chroni? przed ujawnieniem wzorców u?ytkowania. Dzieje si? tak dlatego, ?e zaszyfrowane dane s? praktycznie nie do odró?nienia od przypadkowych.
dm-crypt wymazuje pusty dysk lub partycj?
Najpierw utwórz tymczasowy zaszyfrowany kontener na partycji (sdXY) lub pe?ny dysk (sdX) do zaszyfrowania, np. przy u?yciu domy?lnych parametrów szyfrowania i losowego klucza za po?rednictwem --key-file /dev/{u}random opcja (patrz tak?e Random number generation):
# cryptsetup open --type plain /dev/sdXY container --key-file /dev/random
Po drugie, sprawd?, czy istnieje:
# fdisk -l
Disk /dev/mapper/container: 1000 MB, 1000277504 bytes ... Disk /dev/mapper/container does not contain a valid partition table
Przetrzyj pojemnik zerami. U?ycie funkcji if=/dev/urandom nie jest wymagane, poniewa? do losowo?ci wykorzystywany jest szyfr.
# dd if=/dev/zero of=/dev/mapper/container status=progress
dd: writing to ‘/dev/mapper/container’: No space left on device
- U?ywanie dd z opcj?
bs=, np.bs=1M, jest cz?sto u?ywany w celu zwi?kszenia przepustowo?ci operacji na dysku. - Aby wykona? sprawdzenie operacji, wyzeruj partycj? przed utworzeniem pojemnika czyszczenia. Po poleceniu czyszczenia
blockdev --getsize64 /dev/mapper/containermo?e by? u?yty do uzyskania dok?adnego rozmiaru kontenera jako root. Teraz mo?na u?y? do sprawdzenia, czy czyszczenie zast?pi?o wyzerowane sektory, np.od -j containersize - blocksizeaby zobaczy? czy czyszczenie dobieg?o końca.
Na koniec zamknij tymczasowy kontener:
# cryptsetup close container
Podczas szyfrowania ca?ego systemu, kolejnym krokiem jest #Partycjonowanie. Je?li szyfrujesz tylko partycj?, kontynuuj dm-crypt (Polski)/Encrypting a non-root file system (Polski)#Partycja.
dm-crypt czy?ci po instalacji wolne miejsce
U?ytkownicy, którzy nie mieli czasu na procedur? czyszczenia przed instalacj?, mo?e osi?gn?? podobny efekt po uruchomieniu zaszyfrowanego systemu i zamontowaniu systemów plików. Nale?y jednak rozwa?y?, czy dany system plików móg? skonfigurowa? zarezerwowane miejsce, np. dla u?ytkownika root lub innego disk quota mechanizm, który mo?e ograniczy? czyszczenie nawet w przypadku wykonywania przez u?ytkownika root: niektóre cz??ci podstawowego urz?dzenia blokowego mog? nie zosta? w ogóle zapisane.
Aby wykona? operacj? czyszczenia, tymczasowo wype?nij pozosta?? woln? przestrzeń partycji, pisz?c do pliku wewn?trz zaszyfrowanego kontenera:
# dd if=/dev/zero of=/file/in/container status=progress
dd: writing to ‘/file/in/container’: No space left on device
Sync the cache to disk and then delete the file to reclaim the free space.
# sync # rm /file/in/container
Powy?szy proces nale?y powtórzy? dla ka?dego utworzonego bloku partycji i systemu plików. Na przyk?ad konfiguracja LVM na LUKS, proces musi zosta? wykonany dla ka?dego woluminu logicznego.
Wytrzyj nag?ówek LUKS
Partycje sformatowane za pomoc? dm-crypt/LUKS zawieraj? nag?ówek z u?ytymi opcjami szyfrowania i krypt, które s? okre?lane jako dm-mod podczas otwierania bloku. Po nag?ówku rozpoczyna si? faktyczna losowa partycja danych. W zwi?zku z tym, przy ponownym instalowaniu na ju? losowym nap?dzie lub demonta?u jednego (np. Sprzeda? komputera, prze??czanie nap?dów itd.) Mo?e to by? wystarczaj?ce, aby wyczy?ci? nag?ówek partycji, zamiast nadpisywa? ca?y dysk - który mo?e by? d?ugim procesem.
Wyczyszczenie nag?ówka LUKS spowoduje usuni?cie klucza g?ównego zaszyfrowanego PBKDF2 (AES), soli i tak dalej.
/dev/sdX1 w tym przyk?adzie) a nie bezpo?rednio do w?z?a urz?dzenia dysków. Konfiguruje szyfrowanie jako warstw? odwzorowuj?c? urz?dzenia na innych, np. LVM na LUKS na macierzy RAID powinien nast?pnie odpowiednio napisa? do RAID.Nag?ówek z jedn? domy?ln? pami?ci? kluczy o wielko?ci 256 bitów ma rozmiar 1024 KB. Zaleca si? równie? nadpisanie pierwszego 4KiB napisanego przez dm-crypt, wi?c trzeba wyczy?ci? 1028 KB. To jest 1052672 bajtów.
Aby u?y? przesuni?cia punktu zerowego:
# head -c 1052672 /dev/urandom > /dev/sdX1; sync
Dla 512-bitowej d?ugo?ci klucza (na przyk?ad dla aes-xts-plain z 512-bitowym kluczem) nag?ówek zajmuje 2 MB. Nag?ówek LUKS2 4MiB.
Je?li masz w?tpliwo?ci, po prostu b?d? hojny i nadpisaj pierwsze 10 MB.
# dd if=/dev/urandom of=/dev/sdX1 bs=512 count=20480
Podczas wycierania nag?ówka losowymi danymi wszystko, co pozosta?o na urz?dzeniu, jest zaszyfrowane. W przypadku dysku SSD mo?e wyst?pi? wyj?tek z powodu bloków pami?ci podr?cznej u?ywanych przez dyski SSD. Teoretycznie mo?e si? zdarzy?, ?e nag?ówek by? w nich buforowany jaki? czas wcze?niej, a ta kopia mo?e by? nadal dost?pna po wyczyszczeniu oryginalnego nag?ówka. Ze wzgl?dów bezpieczeństwa nale?y wykona? bezpieczne wymazywanie dysku SSD z dysku SSD (procedura prosz? zobaczysz FAQ 5.19).
Partycjonowanie
Ta sekcja ma zastosowanie tylko podczas szyfrowania ca?ego systemu. Po tym, jak nap?d zosta? (i) bezpiecznie nadpisany, w?a?ciwy schemat partycjonowania b?dzie musia? zosta? dok?adnie wybrany, bior?c pod uwag? wymagania dm-crypt oraz efekty, jakie ró?ne wybory b?d? mia?y na zarz?dzanie systemem wynikowym.
Wa?ne jest, aby od razu zauwa?y?, ?e w prawie ka?dym przypadku musi istnie? osobna partycja dla / boot, która musi pozosta? niezaszyfrowana, poniewa? bootloader musi uzyska? dost?p do katalogu / boot, gdzie za?aduje modu?y initramfs / encryption potrzebne do za?adowania reszta systemu (szczegó?y patrz mkinitcpio). Je?li to podniesie obawy dotycz?ce bezpieczeństwa, patrz
Kolejnym wa?nym czynnikiem, który nale?y wzi?? pod uwag?, jest sposób obs?ugi obszaru wymiany i zawieszenia systemu, patrz dm-crypt (Polski)/Swap encryption (Polski).
Partycje fizyczne
W najprostszym przypadku zaszyfrowane warstwy mog? by? oparte bezpo?rednio na fizycznych partycjach; zobacz Partycjonowanie metod ich tworzenia. Podobnie jak w systemie niezaszyfrowanym, wystarczaj?ca jest partycja g?ówna, oprócz innej dla /boot jak wspomniano wy?ej. Ta metoda pozwala decydowa?, które partycje szyfrowa?, a które pozostawi? niezaszyfrowane, i dzia?a tak samo bez wzgl?du na liczb? dysków. Mo?liwe b?dzie równie? dodawanie lub usuwanie partycji w przysz?o?ci, ale zmiana rozmiaru partycji b?dzie ograniczona wielko?ci? hosta dysku. Na koniec zwró? uwag?, ?e do otwarcia ka?dej zaszyfrowanej partycji wymagane s? osobne has?a lub klucze, mimo ?e mo?na to zautomatyzowa? podczas uruchamiania z u?yciem crypttab plik, patrz Dm-crypt/System configuration#crypttab.
U?o?one urz?dzenia blokowe
Je?li potrzebna jest wi?ksza elastyczno??, dm-crypt mo?e wspó?istnie? z innymi urz?dzeniami blokowymi, takimi jak LVM i RAID. Zaszyfrowane pojemniki mog? znajdowa? si? poni?ej lub na innych urz?dzeniach blokowych:
- Je?li urz?dzenia LVM / RAID zostan? utworzone na wierzchu zaszyfrowanej warstwy, b?dzie mo?na swobodnie dodawa?, usuwa? i zmienia? rozmiary systemów plików tej samej zaszyfrowanej partycji, a tylko jeden klucz lub has?o b?dzie wymagane dla nich wszystkich. Poniewa? zaszyfrowana warstwa znajduje si? na partycji fizycznej, nie b?dzie mo?liwe wykorzystanie mo?liwo?ci LVM i RAID do obs?ugi wielu dysków.
- Je?li zaszyfrowana warstwa zostanie utworzona na urz?dzeniach LVM / RAID, nadal b?dzie mo?liwa reorganizacja systemów plików w przysz?o?ci, ale z dodatkow? z?o?ono?ci?, poniewa? warstwy szyfrowania b?d? musia?y zosta? odpowiednio dostosowane. Ponadto do otwarcia ka?dego zaszyfrowanego urz?dzenia b?d? wymagane osobne has?a lub klucze. Jest to jednak jedyny wybór w przypadku systemów, które wymagaj? zaszyfrowanych systemów plików, aby obejmowa?y wiele dysków.
Btrfs subvolumes
Wbudowana funkcja podpolumn Btrfs mo?e by? u?ywana z dm-crypt, ca?kowicie zast?puj?c potrzeb? LVM, je?li nie s? wymagane ?adne inne systemy plików. Nale?y jednak pami?ta?, ?e pliki wymiany nie s? obs?ugiwane przez brtrfs, wi?c je?li wymagana jest partycja wymiany, konieczna jest szyfrowana partycja wymiany.
Boot partition (GRUB)
Zobacz dm-crypt (Polski)/Encrypting an entire system (Polski)#Szyfrowana partycja rozruchowa (GRUB).