завантаження...

Адреса:

місто Львів, 79020, вул. Варшавська, 193

Що таке LUKS? А сryptsetup? Як налаштувати авторозблокування при завантаженні за допомогою модуля TPM і нової фічі systemd-cryptsetup? Як резервувати ключ відновлення в Active Directory?

Читай до кінця і отримуй відповіді на питання!

Розпочинаймо!

Для повнодискового шифрування у Linux використовують dm-crypt і LUKS.

Як влаштований розділ LUKS?

Він має ось такий формат:

Назва (те, що позначено «phdr») зберігає інформацію про протокол і режими шифрування, довжину ключів, ідентифікатор UUID і контрольну суму майстра-ключа.

Зверніть увагу, що у LUKS для одного зашифрованого розділу зарезервовано вісім слотів!!! А у кожному з них може зберігатися окремий ключ. Цікаво, що будь‑який з восьми ключів може бути використаний для того, щоб розшифрувати розділ.

Чи можна слоти ключів зберігати на іншому носії?

Так, це можливо. Окрім того, це гарантує багатофакторний захист даних. АЛЕ, втративши назву або слоти, отримати доступ до зашифрованих даних буде неможливо.

Сryptsetup

Для управління шифруванням дисків використовується утиліта cryptsetup.

За допомогою неї можна:

  • створювати шифровані розділи LUKS;
  • відкривати і закривати розділи LUKS;
  • керувати слотами ключів;
  • дампити заголовок LUKS і майстер-ключ.

Налаштовуємо авторозблокування

Не хочеться під час кожного завантаження вводити пароль? Тоді налаштуй авторозблокування LUKS завдяки чіпу TPM та systemd-cryptsetuр.

  1. Вона додана в systemd починаючи з версії 248, тому перед початком робти перевірте вашу версію systemd.
  2. Для роботи з TPM потрібно додатково встановити пакет tpm2-tss.
  3. Далі додаємо ключ TPM в слот LUKS за допомогою тулзи systemd-cryptenroll.
  4. Змінюємо рядок завантаження, додавши параметри rd.luks.name і rd.luks.name.
  5. Перезавантажуємо і перевіряємо, чи все працює так, як треба.

Створюємо ключі відновлення

Бекапи ключів у такій справі, як шифрування, повинні бути 100%. Про це знає кожен програміст.

Як їх створити? Є два варіанти створення ключів відновлення:

  1. Дамп заголовка і майстер-ключа;

Резервну копію заголовка і майстер-ключа робимо за допомогою уже добре відомої нам утиліти cryptsetup.

Важливо: за допомогою створеної копії можна буде отримати доступ до розділу, не знаючи пароль, тому зберігати її потрібно в секреті!

2. Запис пароля відновлення в Active Directory.

Щоб зберігати пароль у AD, потрібно:

  1. Долучити Arch Linux у домен.
  2. Після цього зберегти пароль відновлення (наприклад, в обліковому записі комп’ютера: це дочірній об’єкт класу msFVE-RecoveryInformation).
  3. Далі запишіть пароль в AD – найкраще це зробити за допомогою скрипта на Python.
  4. Запустити утиліту, вказавши необхідні параметри і поточний ключ (пароль).
  5. Перевірити в AD, що пароль відновлення успішно записано.