» »

Vzpostavitev v celoti šifriranega sistema

Priporo─Źamo, da si najprej preberete ─Źlanek z naslovom: ┼áifriranje nosilcev podatkov v okolju Linux in Windows.

Opozorilo: Uporaba spodaj opisanih postopkov lahko privede do resne izgube podatkov ali do okvare sistema. V nekaterih nedemokrati─Źnih dr┼żavah je osebna uporaba mo─Źnega ┼íifriranja nezakonita. Uporaba na lastno odgovornost.




15. junija 2004 je italijanska policija vstopila v prostore ponudnika internetnih storitev in spletnega gostovanja Aruba, kjer so se nahajali stre┼żniki aktivisti─Źnih organizacij Autistici in Inventati. Organizaciji sta razli─Źnim nevladnim organizacijam in politi─Źnim aktivistom ponujali brezpla─Źno spletno gostovanje, elektronsko po┼íto ter po┼ítne sezname. Preiskovalci so od ponudnika internetnih storitev zahtevali, da stre┼żnik ugasnejo. Nato so trdi disk iz stre┼żnika priklju─Źili na svoj ra─Źunalnik ter iz njega prekopirali ┼íifrirne klju─Źe za dostop do elektronske po┼íte. Stre┼żnik so nato ponovno zagnali. Predstavnik organizacij Autistici in Inventati je seveda opazil, da stre┼żnik nekaj ─Źasa ni deloval, zato je poklical ponudnika spletnega gostovanja kaj je narobe. Dobil je odgovor, da je ┼ílo za kraj┼íi izpad elektrike. Administratorji sistema so incident odkrili ┼íele ─Źez leto dni - ves ta ─Źas pa je policija imela ne┼íifriran dostop do elektronske po┼íte vseh njihovih uporabnikov.


...


12. marca 2007 sta dva odvisnika vlomila v stanovanje ─Źlanu ter administratorju spletne strani Gibanja za pravi─Źnost in razvoj in ukradla prenosni ra─Źunalnik. V ra─Źunalniku so bili shranjeni razli─Źni dokumenti, med drugim tudi seznam ─Źlanov gibanja z njihovimi osebnimi podatki. V kasnej┼íi policijski preiskavi so ra─Źunalnik na┼íli, ugotovili pa so tudi, da naj podatki iz njega ne bi bili prekopirani drugam.

...

Konec avgusta 2006 je CNN poro─Źal, da so sudanske varnostne sile na letali┼í─Źih pri─Źele zasegati in pregledovati prenosne ra─Źunalnike, s katerimi potniki vstopajo v to dr┼żavo. Lastniki ra─Źunalnike po pribli┼żno enodnevnem pregledu sicer dobijo nazaj, uradno pa ra─Źunalnike pregledujejo zato, da kak┼íen tujec v dr┼żavo ne bi vnesel pornografije.

Neuradno pa sudanske oblasti verjetno zanimajo povsem druge stvari. Poleg velikega ┼ítevila osebnih podatkov in gesel za dostop do elektronske po┼íte ter on-line storitev (tudi ban─Źnih ra─Źunov), se oblasti verjetno najbolj zanimajo za informacije poslovnih uporabnikov, mirovnih aktivistov in humanitarnih organizacij, ki so objavljale poro─Źila o mno┼żi─Źnih kr┼íitvah ─Źlovekovih pravic v tej dr┼żavi.

Zasegov in pregledovanja prenosnih ra─Źunalnikov na mejah ne izvaja samo nedemokrati─Źni Sudan, pa─Ź pa tudi najbolj ZDA. Ameri┼íki mejni organi so januarja 2004 zasegli in preiskali prenosni ra─Źunalnik nekega potnika. Ra─Źunalnik so forenzi─Źno obdelali in v izbrisanem brskalnikovem medpomnilniku na┼íli slike z otro┼íko pornografijo.

Po prito┼żbi pa je Zvezno prizivno sodi┼í─Źe 24. julija letos presodilo, da so naklju─Źni zasegi prenosnih ra─Źunalnikov in pregledovanja s pomo─Źjo forenzi─Źnih programov v ZDA zakoniti. ( Slo-Tech, 16. 9. 2006)





Pri varnosti potrebno odlo─Źati med udobjem in varnostjo. Treba se je pa─Ź odlo─Źiti ali nam ve─Ź pomeni varnost na┼íih podatkov, ali pa udobje brezbri┼żnosti. 8-) ┼áifriranje diskov nekoliko upo─Źasni delovanje sistema (─Źeprav je to pri obi─Źajni rabi na obi─Źajnem ra─Źunalniku povsem neopazno). Uporaba ┼íifriranja pa lahko v primeru napake oziroma okvare trdega diska privede do resne izgube podatkov. V primeru uporabe ┼íifriranja zato poskrbite za ustrezne varnostne kopije. Podatki naj se nikoli ne nahajajo samo na enem (┼íifriranem) nosilcu.

Zakaj?



Ena izmed mo┼żnosti napada na ra─Źunalni┼íke sisteme je tudi tim. offline napad, torej napad, ko napadalec pridobi fizi─Źni dostop do ra─Źunalnika medtem, ko je le-ta ugasnjen. V primeru fizi─Źnega dostopa do (ugasnjenega) ra─Źunalnika - lahko gre tudi za izgubo, krajo ali pa lastnik ra─Źunalnik nese na servis - napadalec lahko dostopa do trdega diska in podatkov na njem.

Nevarnost obstaja tudi, ─Źe imamo nekatere kriti─Źne podatke ┼íifrirane. Ne┼íifrirani lahko ostanejo podatki v medpomnilniku (tim. cache in swap), v raznih za─Źasnih datotekah (tmp) ali v raznih datotekah bele┼żenja aktivnosti (tim. log datoteke). Izbrisane podatke je mogo─Źe tudi rekonstruirati s pomo─Źjo razli─Źnih forenzi─Źnih tehnik. ┼áifriranje samo nekaterih datotek ali samo nekaterih particij zato v─Źasih ni dovolj. Re┼íitev proti tak┼ínim napadom je ┼íifriranje celotnega sistema. Izraz pravzaprav ni povsem natan─Źen, saj ne ┼íifriramo ─Źisto vsega (npr. RAM pomnilnika), pa─Ź pa "samo" podatke na trdem disku. Ker moramo sistem vseeno nekako zagnati, mora ostati vsaj del─Źek sistema (zagonski razdelek) ne┼íifriran.

V nadaljevanju si bomo ogledali kako vzpostaviti ┼íifriranje celotnega operacijskega sistema Ubuntu Linux (razli─Źica 7.04 Feisty Fawn). Ne┼íifriran ostane samo zagonski razdelek (/boot), korenski imenik (tim. root), doma─Źi imenik (/home) in izmenljivi prostor (tim. swap), pa so ┼íifrirani z uporabo LUKS modula programskega paketa cryptsetup. LUKS oz. Linux Unified Key Setup podpora omogo─Źa uporabo ve─Ź gesel, ki jih je mogo─Źe tudi spreminjati, predvsem pa zagotavlja standardni vmesnik za delo s ┼íifriranimi nosilci podatkov. Cryptsetup z LUKS podporo uporablja tudi nekatere mehanizme s katerimi ote┼żuje napade z grobo silo (tim. brute force attacks) v primeru uporabe ┼íibkih gesel.

Tako postavljen sistem bo mogo─Źe zagnati (oz. dostopati do diskov) samo s pomo─Źjo gesla, ki ga vnesemo ob zagonu sistema, sicer pa tako postavljen sistem deluje povsem obi─Źajno.

Šifriranje diskov: Debian way



Eden prvih, ─Źe ne povsem prvi operacijski sistem, ki je v namestitveni proces uvedel ┼íifriranje trdih diskov je Debian Linux, ki ima podporo za ┼íifrirane diske od razli─Źice Echt dalje.

Debianov namestilnik namre─Ź uporabnikom omogo─Źa, da ustvarjajo ┼íifrirane razdelke ┼że med samim namestitvenim procesom:





[dodaj]

[dodaj]



Pri Debianu je uporaba ┼íifriranih razdelkov dobro integrirana v sam sistem, te┼żava je le v tem, da je Debian Linux uporabni┼íko precej neprijazen in ve─Źinoma namenjen stre┼żnikom. Po drugi strani pa na Debianu temeljijo ┼ítevilne druge distribucije Linuxa, med drugim tudi Ubuntu, poleg tega je Debian pogosto postavljal standarde razvoja Linuxa, zato lahko pri─Źakujemo, da bo vgrajena podpora za ┼íifrirane razdelke po─Źasi postala sestavni del ostalih Linux distribucij.

Prenos in namestitev stre┼żni┼íke razli─Źice Ubuntu 7.04


Po drugi strani pa z nekoliko ve─Ź dela lahko ┼íifriran sistem vzpostavimo tudi pod Ubuntu Linuxom, ki velja za enega bolj uporabni┼íko prijaznih. Za razliko od Debiana, ki pri vzpostavitvi ┼íifriranega sistema uporablja osnovni cryptsetup, pa lahko pri v nadaljevanju opisanem postopku uporabimo cryptsetup z LUKS podporo, kar nam omogo─Źa enostavno menjavanje ┼íifrirnih gesel in klju─Źev.

Ker podpora za ┼íifriranje sistema ┼żal v Ubuntu ┼íe ni privzeto vgrajena, se je potrebno poslu┼żiti nekaterih trikov. Tako na ra─Źunalnik najprej namestimo stre┼żni┼íko razli─Źico Ubuntu Linuxa, vzpostavimo ┼íifrirane razdelke, nato pa nanje namestimo namizno razli─Źico Ubuntu Linuxa in stre┼żni┼íko odstranimo.

Iz interneta si najprej prenesemo stre┼żni┼íko razli─Źico Ubuntu Linuxa - Ubuntu 7.04 Server Edition (ubuntu-7.04-server-i386.iso) in jo zape─Źemo na CD. Ra─Źunalnik za┼żenemo iz CD-ja in pri─Źnemo z namestitvenim postopkom.

Prepis diska z naklju─Źnimi podatki



Preden se lotimo ┼íifriranja podatkovnih nosilcev je dobro razmisliti o uni─Źenju starih podatkov na njih oziroma prepis nosilcev podatkov z naklju─Źnimi podatki. Prepisovanje diska z naklju─Źnimi podatki sicer ni nujno potrebno, je pa priporo─Źljivo.

Stare podatke je namre─Ź z nekaterimi programsko forenzi─Źnimi tehnikami (npr. z orodji kot so Autopsy Forensic Browser, Testdisk, Photo Rec, in drugi) mogo─Źe precej enostavno obnoviti, poleg tega pa je prepisovanje diska z naklju─Źnimi podatki koristno tudi zato, ker na tako prepisanem disku ni mogo─Źe (oz. je to izredno te┼żko) ugotoviti koliko pravih ┼íifriranih podatkov je na disku in koliko je praznega prostora.

Po drugi strani pa je prepisovanje diska z naklju─Źnimi podatki precej dolgotrajen postopek. Ve─Ź o prepisovanju diska z nakllju─Źnimi podatki si preberite v ─Źlanku o ┼íifriranju nosilcev podatkov v okolju Linux in Windows, poglavje "Prepis diska ali razdelkov z naklju─Źnimi podatki", najbolj optimalno pa je ─Źe iz live CDja uporabimo ukaz dd. V primeru prepisovanja trdega diska hda, to izgleda takole:

dd if=/dev/urandom of=/dev/hda bs=16M

Postopek namestitve Ubuntu stre┼żnika



OPOZORILO: zaradi napake v jedru operacijskega sistema Feisty stre┼żni┼íke razli─Źice, le-te ni mogo─Źe namestiti v nekatere virtualne stroje (npr. Vmware in VirtualBox), oziroma je namestitev potrebno kasneje ro─Źno popravljati.

─îe name┼í─Źamo na obstoje─Źi disk, je potrebno razmisliti ali ni smiselno disk prepisati z naklju─Źnimi podatki. Ko je disk pripravljen, pri─Źnemo z namestitvijo. Najprej izberemo Install to the hard disk.





V naslednjem koraku izberemo slovenski jezik.



Na vprašanje "Detect keyboard layout?" odgovorimo Ne.



Zaradi napake v Ubuntujevem namestilniku izberemo tip tipkovnice U.S. English. POZOR: ker imamo vklju─Źeno angle┼íko tipkovnico je treba biti pri vpisovanju gesel pozoren na to, da so ─Źrke na slovenski in angle┼íki tipkovnici druga─Źe razporejene!





─îe imamo DHCP, bo namestilnik sam zaznal omre┼żne nastavitve, sicer je potrebno IP naslov vpisati ro─Źno.



Dolo─Źimo ime ra─Źunalnika (npr. cryptobox).



Pri razdeljevanju diska izberemo Priro─Źnik.




Razdeljevanje diska


Predpostavka je, da imamo trdi disk /hda. Disk razdelimo na štiri razdelke:

┼áe priporo─Źilo: ─Źe se lotimo name┼í─Źanja ┼íifrianja na sistem z ve─Ź operacijskimi sistemi, si pred za─Źetkom postopka naredimo na─Źrt diska - izpi┼íimo si seznam vseh razdelkov (v Linuxu uporabimo ukaz sudo sfdisk -l) in si za vsakega ozna─Źimo kateremu delu sistema (/home, /, in ostali razdelki) bo namenjen. Previdnost pri delu nikakor ni odve─Ź, saj z izbiro napa─Źnega razdelka uni─Źimo podatke na njem.

Ko bo namestitev kon─Źana, bomo imeli na disku ┼ítiri razdelke: /boot, /dev/mapper/cswap (┼íifrirani izmenljivi prostor (tim. swap)), /dev/mapper/croot (┼íifrirani korenski razdelek) in /dev/mapper/chome (┼íifrirani doma─Źi razdelek).

Najprej izberemo prazen prostor in na njem ustvarimo nov razdelek.





Dolo─Źimo njegovo velikost (npr. 100 MB, 2 GB, itd.), vrsto ter mesto.







Dolo─Źimo priklopno to─Źko (pri prvem /boot, pri zadnjih dveh Ne priklopi) ter datote─Źni sistem (npr. ext3).





Ko kon─Źamo ustvarjanje prvega razdelka se lotimo naslednjega, ki ga ustvarimo na preostalem praznem prostoru, dokler ne kon─Źamo z zadnjim razdelkom. Nato izberemo Kon─Źaj razdeljevanje in zapi┼íi spremembe na disk.







Namestilnik bo zaznal, da tretjemu in ─Źetrtemu razdelku ni dodeljena priklopna to─Źna in nas vpra┼ía, ali se ┼żelimo vrniti nazaj na razdeljevanje. Odgovorimo Ne.

Prav tako nas opozori, da nismo namenili razdelka izmenljivemu prostoru (swap) in nas vpra┼ía, ─Źe se ┼żelimo vrniti nazaj. Odgovorimo Ne.







Izberemo, da se spremembe zapišejo na disk in namestitev se nadaljuje...





Dokon─Źanje namestitve



Nastavimo uro (ali je sistemski ─Źas nastavljen na UTC).



Izberemo polno ime za novega uporabnika.



Izberemo uporabniško ime...



...in geslo (vpišemo ga dvakrat).



Sledi name┼í─Źanje osnovnega sistema.



Name┼í─Źanja DNS in LAMP stre┼żnika ne izberemo.



V nekaterih primerih se lahko zgodi, da namestitev obstane oz. namestitveni program "zamrzne". Navadno se to zgodi na 85% namestitve pri name┼í─Źanju paketa update-manager-core. Gre ┼íe za eno precej nepotrebno napako, ki je na sre─Źo re┼íljiva povsem enostavno. ─îe name─Ź pritisnemo Ctrl-Alt-F4 in si ogledamo zapis o postopku namestitve (tim. installation log), se namre─Ź izka┼że, da se je obesil programski paket apt, ki skrbi za prenos in name┼í─Źanje programskih paketov. Re┼íitev je razmeroma enostavna. Najprej odpremo drugo konzolo s pritiskom na Ctrl-Alt-F2, nato pa pogledamo ID ┼ítevilko procesa programskega paketa apt (tim. process ID ali PID):

ps grep -i apt

PID številka je številka v prvem stolpcu v vrstici, kjer se pojavi niz apt-get update. Proces sedaj ubijemo z ukazom (namesto PID vnesemo to številko):

kill PID

Namestitev se potem brez te┼żav nadaljuje naprej. ─îez nekaj ─Źasa se namestitev zaklju─Źi in sledi prvi zagon sistema.



Namestitev šifriranja


Po prvem zagonu sistema bo ra─Źunalnik najprej na┼íel napak v datote─Źnem sistemu in pognal program fsck ter napake samodejno odpravil. Ra─Źunalnik se nato ponovno za┼żene brez te┼żav. To se ┼żal ponovi tudi kasneje, ob prvem zagonu sistema iz ┼íifriranega razdelka. Napaka se kasneje ne pojavlja ve─Ź, edina te┼żava je, da se ob prvem zagonu sistema ra─Źunalnik dvakrat za┼żene. Ko se torej ra─Źunalnik zbudi, se prijavimo vanj ter vstopimo v administratorski na─Źin:

sudo su

Nalo┼żimo potrebne module:

modprobe dm-crypt
modprobe dm-mod
modprobe aes
modprobe sha256

Dodamo module v datoteko /etc/modules, da se ob ponovnem zagonu sistema samodejno nalo┼żijo:

echo dm-crypt >> /etc/modules
echo dm-mod >> /etc/modules
echo aes >> /etc/modules
echo sha256 >> /etc/modules

Namestimo program cryptsetup:

apt-get install cryptsetup




Priprava šifriranega korenskega razdelka



Sedaj formatiramo tretji razdelek (v danem primeru z datote─Źnim sistemom ext3) - bodo─Źi ┼íifrirani korenski imenik (naprej vpi┼íemo YES, s ─Źimer se strinjamo s formatiranjem, nato pa dvakrat vpi┼íemo LUKS geslo):

luksformat -t ext3 /dev/hda3

─îe ┼żelimo uporabiti ve─Źji ┼íifrirni klju─Ź (256-bitno AES ┼íifriranje) uporabimo ukaz (tako ustvarjen razdelek bomo morali kasneje ro─Źno formatirati z ukazom sudo mkfs.ext3):

cryptsetup --key-size 256 luksFormat /dev/hda3

Dobimo pribli┼żno takle izpis:

Creating encrypted device on /dev/hda3...

WARNING!
========
This will overwrite data on /dev/hda3 irrevocably.

Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:
Command successful.
Please enter your passphrase again to verify it
Enter LUKS passphrase:
key slot 0 unlocked.
Command successful.
mke2fs 1.40-WIP (14-Nov-2006)
...
...
Writing superblocks and filesystem accounting information: done

This filesystem will be automatically checked every 39 mounts or
180 days, whichever comes first. Use tune2fs -c or -i to override.

Formatirani razdelek priklopimo kot croot:

cryptsetup luksOpen /dev/hda3 croot

Vnesemo geslo in razdelek je priklju─Źen:

Enter LUKS passphrase:
key slot 0 unlocked.
Command successful.

─îe ga nismo formatirali z luksformatom, to storimo sedaj:

mkfs.ext3 /dev/mapper/croot

Razdelek priklopimo na /mnt:

mount /dev/mapper/croot /mnt

Nanj prekopiramo datoteke iz korenskega razdelka (to traja nekaj ─Źasa, med parametri lahko dodamo -v (verbose), da dobimo natan─Źen izpis kaj se trenutno kopira):

cd /mnt
cp -xa / .




Priprava zagonskih skript in okolja šifriranega korenskega imenika



Z ukazom chroot zamenjamo korenski imenik v bodo─Źi ┼íifrirani korenski imenik (POZOR: potrebno je paziti na poti!):

cd /
mount --bind proc mnt/proc
mount --bind sys mnt/sys
mount --bind dev mnt/dev
chroot /mnt

Priklopimo zagonski (/boot) razdelek:

mount /dev/hda1 boot

Popravimo datoteko /etc/crypttab (zadnji vnos zaenkrat še zakomentiramo!):

nano etc/crypttab



# <target name> <source device> <key file> <options>
croot /dev/hda3 none luks
# cswap /dev/hda2 /dev/urandom swap
# chome /dev/hda4 /etc/keys/home.key luks

Popravimo datoteko /etc/fstab (vnosa za cswap in chome zaenkrat še zakomentiramo!):

nano /etc/fstab

Zakomentiramo trenutni korenski imenik (pomembno, tega ne smemo pozabiti) in dodamo vnos za croot, cswap in chome razdelke (slednja dva sta zaenkrat še zakomentirana):

/dev/mapper/croot / ext3 defaults,errors=remount-ro 0 1
# /dev/mapper/cswap none swap sw 0 0
# /dev/mapper/chome /home ext3 defaults 0 2

Datoteka /etc/fstab sedaj izgleda pribli┼żno takole (UUID-ji so simboli─Źni):

# /etc/fstab: static file system information.
#
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
# /dev/hda2
#UUID=e8363198-819b-44e0-bba5-7b4dd58eef4e / ext3 defaults,errors=remount-ro 0 1
/dev/mapper/croot / ext3 defaults,errors=remount-ro 0 1
# /dev/mapper/cswap none swap sw 0 0
# /dev/mapper/chome /home ext3 defaults 0 2
# /dev/hda1
UUID=2fca8417-07de-4a7b-a8cb-4cfeddc89c7d /boot ext3 defaults 0 2
/dev/hdc /media/cdrom0 udf,iso9660 user,noauto 0 0
/dev/fd0 /media/floppy0 auto rw,user,noauto 0 0

Naredimo klju─Ź za bodo─Źi chome:

cd etc/keys
dd if=/dev/urandom of=home.key bs=1k count=1

┼áifrirni klju─Ź za chome se bo nahajal na korenskem razdelku, zato sistem med zagonom izpi┼íe opozorilo, da to ni najbolj varno (izpi┼íe se: INSECURE MODE FOR /etc/home/key - zagon sicer poteka povsem normalno in mo┼żno je, da nepozorni opazovalci opozorila sploh ne bodo opazili). To sicer dr┼żi, vendar se klju─Ź nahaja na ┼íifriranem razdelku. ─îe ┼żelimo, pa lahko za razdelek /home dolo─Źimo priklop z geslom (in to vnesemo v crypttab), vendar bomo potem ob zagonu morali vpisati dve gesli.

Naredimo novo zagonsko skripto initrd:

cd /boot
update-initramfs -u


Popravimo Grub vnos (v vrstico kernel dodamo /dev/mapper/croot):

nano /boot/grub/menu.lst



title Ubuntu, kernel 2.6.20-15-server
root (hd0,0)
kernel /vmlinuz-2.6.20-15-server root=/dev/mapper/croot ro quiet nosplash
initrd /initrd.img-2.6.20-15-server
quiet
savedefault


┼Żal je potrebno omenjeni Grub vnos ro─Źno popravljati ob vsaki menjavi jedra operacijskega sistema. Problem lahko delno re┼íimo tako, da v datoteki /boot/grub/menu.lst poi┼í─Źemo vrstico, ki vsebuje niz # kopt=root=.
Vrstica se nahaja bolj na za─Źetku datoteke in sicer v oddelku:

## ## Start Default Options ##
## default kernel options
## default kernel options for automagic boot options


Izgleda pribli┼żno takole (UUID je simboli─Źen):

# kopt=root=UUID=56161a45-6963-463f-b2a6-b2a47f48bac7 ro

Vrstico spremenimo takole (pozor, vrstica naj ostane enojno zakomentirana (#)!):

# kopt=root=/dev/mapper/croot ro


Ob vsaki nadgradnji ali menjavi jedra oziroma vsaki─Ź, ko bomo z administratorskimi privilegiji ro─Źno pognali ukaz update-grub, se bo kernel vrstica v Grub vnosu spremenila v:

kernel /vmlinuz-2.6.20-15-server root=/dev/mapper/croot ro quiet splash


S tem smo re┼íili te┼żavo pri dolo─Źanju korenskega imenika, ┼żal pa se v Grub vnosu ┼íe vedno pojavi predstavitveno okno (splash screen), ki ne omogo─Źa vnosa LUKS gesla in bo zato potrebno pri omenjeni vrstici splash ro─Źno spremeniti v nosplash!

Zapustimo spremenjeni korenski imenik (croot):

Sledi ponoven zagon sistema:

reboot




Priprava ┼íifriranega izmenjalnega prostora (swap) in doma─Źega razdelka (/home)



Sedaj se zbudimo v ┼íifriranem sistemu (zaenkrat je ┼íifriran samo korenski imenik). Na za─Źetku (preden se sistem nalo┼żi), nas le-ta vpra┼ía za LUKS geslo, brez katerega ni mogo─Źe zagnati sistema:

Starting up ...
Loading, please wait...
Setting up cryptographic volume croot (based on /dev/hda3)
Enter LUKS passphrase:

Ko se sistem nalo┼żi, ponovno vstopimo v administratorski na─Źin:

sudo su


─îe ┼żelimo, lahko prepi┼íemo stari korenski imenik z naklju─Źnimi podatki:

dd if=/dev/urandom of=/dev/hda2 bs=16M


─îe tega ne storimo pa je potrebno formatirati razdelek, kjer bo v bodo─Źe ┼íifrirani izmenjalni prostor (tim. swap - aktiven bo postal ob naslednjem zagonu sistema), sicer se naprava /dev/mapper/cswap ob zagonu no─Źe priklopiti:

mkswap /dev/hda2


Dobimo pribli┼żno takle izpis:

Setting up swapspace version 1, size = 1998737 kB
no label, UUID=59a4dbb5-913c-4d9f-9a06-76dc232cd5af


Naredimo podimenik na /dev (rešitev za napako št. 105266):

mkdir /dev/.static/dev/mapper


Formatiramo bodo─Źi doma─Źi (/home) razdelek (trenutno nastavimo navadno geslo, kasneje pa bomo dodali datoteko s klju─Źem). Tudi v tem primeru lahko uporabimo ve─Źji klju─Ź, na podoben na─Źin kot zgoraj:

luksformat -t ext3 /dev/hda4


Priklju─Źimo ┼íifrirani doma─Źi razdelek (vnesti je potrebno njegovo LUKS geslo) in ga priklopimo na /mnt:

cryptsetup luksOpen /dev/hda4 chome
mount /dev/mapper/chome /mnt


Na bodo─Źem ┼íifriranem doma─Źem razdelku ustvarimo uporabni┼íki imenik za trenutnega uporabnika (npr. za uporabnika matej)

cd /mnt
mkdir matej
chown matej.matej matej


Sedaj razdelku chome dodamo datoteko s klju─Źem (razdelek bo sedaj dostopen z geslom in datoteko s klju─Źem, ki se nahaja na /etc/keys/home.key):

cryptsetup luksAddKey /dev/hda4 /etc/keys/home.key


Vnesemo trenutno LUKS geslo:

Enter any LUKS passphrase:
key slot 0 unlocked.
Command successful.

─îe ┼żelimo, lahko LUKS geslo sedaj odstranimo (razdelek pa ostane dostopen samo z datoteko s klju─Źem).

Odkomentiramo cswap in chome vnos v /etc/crypttab:

nano /etc/crypttab


Odkomentiramo cswap in chome vnos v /etc/fstab.

nano /etc/fstab


Ponovno za┼żenemo sistem:

reboot



Vstop v šifrirani sistem in namestitev namiznega okolja



Po ponovnem zagonu preverimo, ─Źe so ┼íifrirani razdelki priklju─Źeni:

ls /dev/mapper


Dobimo pribli┼żno takle izpis, iz katerega sledi, da so priklju─Źeni vsi trije ┼íifrirani razdelki:

chome control croot cswap


Preverimo tudi, ─Źe je izmenjalni prostor (swap) aktiven na cswap razdelku:

cat /proc/swaps


Dobimo pribli┼żno takle izpis:

Filename Type Size Used Priority
/dev/mapper/cswap partition 1951888 0 -1


Sedaj je trdi disk od koder se sistem za┼żene v celoti (razen /boot razdelka) ┼íifriran. Sledi namestitev namiznega okolja Ubuntu Desktop. Najprej je potrebno v seznamu skladi┼í─Ź programskih paketov zakomentirati vnos, ki kot enega izmed skladi┼í─Ź uporablja namestitveni CD-ROM:

sudo nano /etc/apt/sources.list


Zakomentiramo vrstico:

# deb cdrom:[Ubuntu-Server 7.04 _Feisty Fawn_ - Release i386 (20070415)]/ feisty main restricted


Sledi osve┼żtev seznama programskih paketov in namestitev paketa ubuntu-desktop:

sudo apt-get update
sudo apt-get install ubuntu-desktop


Namesto klasi─Źnega Ubuntujevskega namizja Gnome (ubuntu-desktop) lahko namestimo KDE (kubuntu-desktop) ali Xfce (xubntu-desktop), slednji je primeren predvsem za po─Źasnej┼íe ra─Źunalnike in ra─Źunalnike z manj pomnilnika RAM.

Namestitev namiznega okolja je lahko precej dolgotrajna, saj sistem iz skladi┼í─Ź programskih paketov na internetu na na┼í ra─Źunalnik prenese ve─Ź kot 450 Mb programskih paketov. Pritisnemo enter in prenos ter name┼í─Źanje se pri─Źne:

Potrebno je dobiti 470MB/484MB arhivov.
Po odpakiranju bo uporabljenega 1649MB dodatnega prostora na disku.
Ali ┼żelite nadaljevati [Y/n]?

Proti koncu namestitve je bo potrebno ┼íe ro─Źno ozna─Źiti katere resolucije zaslona naj podpira grafi─Źni stre┼żnik (praviloma so pravilne resolucije ┼że ozna─Źene in se s tipko tab samo pomaknemo na gumb "V redu" ter pritisnemo enter ali preslednico):



Nastavitve grafi─Źnega stre┼żnika lahko kasneje ro─Źno spremenimo z ukazom, kjer izberemo gonilnik grafi─Źne kartice, monitor, resolucijo in ostale podatke potrebne za delovanje grafi─Źnega stre┼żnika:

sudo dpkg-reconfigure xserver-xorg




Namestitev namiznega jedra operacijskega sistema ter odstranjevanje stre┼żni┼íkega jedra



Nato namestimo namizno razli─Źico jedra operacijskega sistema (to sicer ni nujno potrebno, saj sistem deluje tudi s stre┼żni┼íko razli─Źico jedra, namestitev generi─Źne razli─Źice sicer iz interneta prenese okrog 24 Mb programskih paketov):

sudo apt-get install linux-image-generic


Pred ponovnim zagonom sistema moramo ro─Źno popraviti Grub menu: v vrstico kernel namesto splash napi┼íemo nosplash (vnos dolo─Źa, da sistem za┼żenemo brez tim. predstavitvenega okna (ang. splash screen), saj z njim vnos LUKS gesla ne deluje), kot korenski imenik nastavimo /dev/mapper/croot Torej:

sudo nano /boot/grub/menu.lst

Poi┼í─Źemo Grub vnos (UUID je simboli─Źen oziroma ga ni, ─Źe smo predhodno nastavili kopt=root parameter):

title Ubuntu, kernel 2.6.20-16-generic
root (hd0,0)
kernel /vmlinuz-2.6.20-16-generic root=/dev/mapper/croot ro quiet splash
initrd /initrd.img-2.6.20-16-generic
quiet
savedefault

In popravimo:

kernel /vmlinuz-2.6.20-16-generic root=/dev/mapper/croot ro quiet nosplash


Sistem ponovno za┼żenemo:

sudo reboot


Sistem se bo sedaj zbudil v grafi─Źnem na─Źinu.

Ko se ponovno prijavimo v sistem v konzoli preverimo v katero jedro operacijskega sistema je aktivno:

uname -a


Dobimo pribli┼żno takle izpis, pri izpisu je pomembno, da dobimo -generic in ne -server:

Linux cryptobox 2.6.20-16-generic #2 SMP Thu Jun 7 20:19:32 UTC 2007 i686 GNU/Linux

Sedaj pogledamo katere stre┼żni┼íke razli─Źice jedra imamo name┼í─Źene...

sudo dpkg --get-selections grep linux-


...ter jih odstranimo:

sudo apt-get remove --purge linux-image-2.6.20-15-server linux-image-server linux-server


Še enkrat popravimo še Grub menu (namesto splash vpišemo nosplash)...

sudo nano /boot/grub/menu.lst



kernel /vmlinuz-2.6.20-16-generic root=/dev/mapper/croot ro quiet nosplash


Popraviti je potrebno Ubuntu, kernel 2.6.20-16-generic vnos, lahko pa tudi tudi Ubuntu, kernel 2.6.20-16-generic (recovery mode) vnos, ─Źe nismo nastavili kopt=root parametra.



Uporaba sistema in priprava za nadaljne delo



Postopek namestitve je s tem kon─Źan. Iz menija System - Administracija - Language Support lahko vklju─Źimo ┼íe podporo za slovenski jezik in sistem prenese najnovej┼íe jezikovne pakete za sloven┼í─Źino. Ne pozabimo tudi namestiti po┼żarnega zidu. ─îe ┼żelimo, si lahko namestimo tudi programski paket ubuntu-restricted-extras, ki poskrbi za namestitev dodatnih pisav, Jave, predvajalnika Flash in Gstreamer priklju─Źne module ter dodatne kodeke, ki se nahajajo na skladi┼í─Źu programskih paketov Medibuntu:


echo "deb http://packages.medibuntu.org/ feisty free non-free" sudo tee -a /etc/apt/sources.list
wget -q http://packages.medibuntu.org/medibuntu... -O- sudo apt-key add - && sudo apt-get update
sudo apt-get install ubuntu-restricted-extras libxine-extracodecs gstreamer0.10-plugins-base gstreamer0.10-plugins-good gstreamer0.10-plugins-bad gstreamer0.10-pitfdll
sudo apt-get install w32codecs
sudo apt-get install libdvdnav4 libdvdplay0 libdvdread3 libdvdcss2
sudo /usr/share/doc/libdvdread3/install-css.sh


Ve─Ź o name┼í─Źanju uporabnih paketov si lahko preberete v prihodnjem ─Źlanku o name┼í─Źanju uporabne programske opreme na Ubuntu Feisty.

Ob vsakem zagonu sistema bo sedaj potrebno vpisati LUKS geslo:

Starting up ...
Loading, please wait...
Setting up cryptographic volume croot (based on /dev/hda3)
Enter LUKS passphrase:


V primeru napa─Źnega gesla, dobimo obvestilo:

Command failed.
cryptsetup: cryptsetup failed, bad password or options?


Po treh vnosih napa─Źnega gesla pa dobimo obvestilo:

cryptsetup: maximum number of tries exceeded


Tako postavljen sistem deluje povsem normalno, te┼żava nastopi le ob namestitvi popravkov jedra ali namestitvi novega jedra operacijskega sistema. Takrat je namre─Ź potrebno ro─Źno popraviti Grub menu. Na sre─Źo do popravkov ne prihaja pogosto.

Dodajanje in spreminjanje LUKS gesel



LUKS ┼íifriranim razdelkom lahko enostavno dodajamo ali spreminjamo gesla. OPOZORILO: ker je ob zagonu sistema aktivna angle┼íka tipkovnica, ki ima druga─Źno razporeditev znakov, je treba pri vpisovanju gesel to upo┼ítevati!

V na┼íem primeru za izmenjalni prostor uporabljamo naklju─Źen klju─Ź, za doma─Źi razdelek pa je klju─Ź shranjen v datoteki s klju─Źem /etc/keys/home.key. Ker ob zagonu vpisujemo le LUKS geslo za dostop do korenskega razdelka, je smiselna le menjava tega gesla. Le-ta je mogo─Źa tudi pri priklju─Źenem oz. aktivnem razdelku. Gesla se shranjujejo na posebna mesta (ang. slot) v ┼íifriranem razdelku, ki se ┼ítejejo od ni─Ź dalje. Prvo geslo se torej nahaja na mestu 0, drugo na mestu 1, itd. ─îe ┼żelimo, lahko najprej pogledamo koliko prostih mest imamo ┼íe na voljo:

cryptsetup luksDump /dev/hda3


Dodajanje gesla je sedaj mogo─Źe z naslednjim ukazom (kot parameter ukazu podamo razdelek, torej /dev/sdc3):

sudo cryptsetup luksAddKey /dev/hda3


Najprej je treba vnesti enega izmed obstoje─Źih gesel, nato pa novo geslo, ki ga ┼íe potrdimo. Izpis je pribli┼żno takle:

Enter any LUKS passphrase:
key slot 0 unlocked.
Enter new passphrase for key slot:
Verify passphrase:
Command successful.


Brisanje gesla iz mesta 1 (kot parameter ukazu podamo razdelek, torej /dev/hda3 in številko mesta, torej 1:

sudo cryptsetup luksDelKey /dev/hda3 1


Najprej je potrebno vnesti enega izmed obstoje─Źih gesel (vendar pa ne tistega, ki ga ┼żelimo odstraniti). ┼áe opozorilo: ─Źe odstranimo vsa gesla, je dostop do ┼íifriranega razdelka za vedno onemogo─Źen. Izpis je pribli┼żno takle:

Enter any remaining LUKS passphrase:
key slot 0 unlocked.
Command successful.


Sprememba gesla je mogo─Źa tako, da najprej dodamo novo geslo, nato pa izbri┼íemo starega.


Ali deluje...?


V nadaljevanju si poglejmo nekaj preiskusov delovanja v celoti šifriranega sistema.

Hibernacija ter odlo┼żeni izklop


Preiskus poka┼że, da izbiri Zaspi (Hibernate) ter Odlo┼żen izklop (Suspend) normalno delujeta. Ko ra─Źunalnik ponovno za┼żenemo, se normalno zbudi.

Priklapljanje dodatnih šifriranih nosilcev podatkov


Prav tako v tak sistem lahko normalno priklapljamo dodatne šifrirane nosilce podatkov. Smiselno je, da redno ustvarjamo varnostne kopije in to na zunanje šifrirane nosilce podatkov.


Name┼í─Źanje novega jedra ali popravkov obstoje─Źega jedra operacijskega sistema


┼Żal name┼í─Źanje name┼í─Źanje novega jedra ali popravkov obstoje─Źega jedra operacijskega sistema ne deluje brez te┼żav. Ob namestitvi jedra se sicer samodejno za┼żene posodabljanje initrd skript, ┼żal pa sistem napa─Źno popravi vnose v Grub meniju. Pri vnosu kernel je potrebno namesto splash dodati nosplash.

─îe Grub vnos pozabimo popraviti, se ob ponovnem zagonu sistem enw bo ve─Ź zagnal, na sre─Źo pa je napako tudi v tem primeru mogo─Źe odpraviti brez ve─Źjih te┼żav. Grub vnos namre─Ź lahko za─Źasno popravimo med zagonom sistema. Ob zagonu sistema pritisnemo Esc, da vstopimo v Grub menu, izberemo ┼żeljeni vnos, nato pa pritisnemo e (edit - uredi). Izberemo ┼żeljeno vrstico vnosa (npr. vrstico kernel) in ponovno pritisnemo e (edit - uredi) in popravimo vnos. Ko je vnos popravljen, pritisnemo tipko enter nato pa b (boot - za┼żeni). Ker se spremembe ne shranijo, moramo po zagonu sistema spremembe ponovno vnesti in shraniti v /boot/grub/menu.lst.


Nadgradnja sistema


Nadgradnja sistema ┼íe ni bila preisku┼íena, predvideva pa se da ob nadgradnji na Gutsy (naslednja razli─Źica Ubuntuja, ki izide predvidoma oktobra 2007) ne bo te┼żav, razen tistih, ki so povezane z nadgradnjo jedra operacijskega sistema in so opisane zgoraj.

Forenzi─Źna analiza sistema



Forenzi─Źna analiza diska na v celoti ┼íifriranem sistemu poka┼że, da je mogo─Źe do zagonskega razdelka normalno dostopati, korenski in doma─Źi razdelek pa sta ┼íifrirana:

root@ubuntu:/home/ubuntu# mount /dev/hda3 /mnt/
mount: unknown filesystem type 'crypto_LUKS'

root@ubuntu:/home/ubuntu# mount /dev/hda4 /mnt/
mount: unknown filesystem type 'crypto_LUKS'


Prav tako ni mogo─Źe priklju─Źiti razdelka z izmenjalnim prostorom:

root@ubuntu:/home/ubuntu# mount /dev/hda2 /mnt/
mount: you must specify the filesystem type


Forenzi─Źna analiza z orodjem Autopsy Forensic Browser poka┼że, da razen iz zagonskega razdelka od ostalih razdelkov ni mogo─Źe dobiti nikakr┼ínih uporabnih podatkov.









Kaj pa hitrost?


Za primerjavo hitrosti ┼íifriranega in ne┼íifriranega sistema smo uporabili test Bonnie++, ki meri hitrost pisanja na trdi disk in branja iz njega. Uporablja ve─Ź metod. Primerjava je bila opravljena na dveh ra─Źunalnikih. Hitra analiza poka┼że, da je padec hitrosti zaradi uporabe ┼íifriranja precej odvisen od hitrosti ra─Źunalnika. Pri hitrej┼íem iz s pomnilnikom RAM bolj zalo┼żenim ra─Źunalniku (Pentium 4, 3 GHz, 1 Mb RAM) se pri nekaterih operacijah padec hitrosti prakti─Źno ne pozna, pri po─Źasnej┼íem ra─Źunalniku (Pentioum 3, 733 MHz 378 Mb RAM) pa je lahko precej ob─Źuten. Pri vsakdanjem delu na povpre─Źnem, ne preve─Ź starem ra─Źunalniku padca hitrosti povpre─Źen uporabnik prakti─Źno ne bi smel opaziti:



Kljub vsemu je potrebno povedati, da je testiranje zgolj osnovno, saj dela testov zaradi premalo natan─Źnih meritev ni bilo mogo─Źe izvesti. Za bolj relevantno testiranje bo potrebno metodologijo testiranja ┼íe dodelati in testiranje izvesti v bolj kontroliranih okoli┼í─Źinah.

Kon─Źno varna Okna


Na v celoti ┼íifrirani sistemu lahko sedaj namestimo po┼żarni zid temelje─Ź na iptables, nato pa virtualizacijski program Vmware ali VirtualBox, znotraj katerega nalo┼żimo operacijski sistem Windows, dostop do omre┼żja pa je preko NAT vmesnika.



VirtualBox je na voljo v odprtokodni ali "osebni" razli─Źici (pod licenco VirtualBox Personal Use and Evaluation License), omogo─Źa pa tudi izdelavo posnetkov sistema (tim. snapshots). ─îe ┼żelimo, si lahko naredimo rezervno kopijo Kopijo sve┼że nalo┼żenega Windows sistema, ki jo po potrebi obnovimo.

─îe imamo dva monitorja, lahko virtualni stroj te─Źe v drugem zaslonu. Poganjanje operacijskega sistema MS Windows znotraj ┼íifriranega Linux ra─Źunalnika z dovolj pomnilnika RAM (1,5 - 2 Gb ali ve─Ź) deluje brez te┼żav in opaznej┼íih zakasnitev.




Napad na popolnoma šifrirani sistem


Kot re─Źeno, opisano ┼íifriranje varuje samo pred tim. offline napadom. Sistem, ki je priklju─Źen, je na druge vrste napadov ┼íe vedno ranljiv, zato je potrebno uporabljati ustrezne za┼í─Źitne mehanizme (predvsem po┼żarni zid, ustrezna gesla, redne nadgradnje z varnostnimi popravki, itd.).

Napadalec, ki uspe vstopiti v aktiven sistem lahko v primeru pridobitve administratorskega dostopa do ra─Źunalnika dostopa vseh podatkov. Lahko pa napadalec namesti tudi strojni prestreznik tipkanja. Programsko pa je mo┼żen tudi napad na ne┼íifrirani zagonski razdelek. Nanj lahko napadalec namesti programsko opremo, ki prestre┼że vnos LUKS gesla ob zagonu.

Ena izmed re┼íitev v tem primeru je preverjanje integritete zagonskega razdelka s kak┼ínim od programskih orodij za preverjanje integritete, npr. orodjem Tripwire. Kljub temu, da orodje Tripwire velja za eno bolj┼íih orodij za preverjanje integritete sistema, pa bi izurjeni napadalec lahko zagonski rezdelek ra─Źunalnika popravil tako, da bi najprej prestregel geslo, ga preko interneta odposlal na oddaljeni stre┼żnik, nato pa zagonski sektor popravil v prvotno stanje. V tem primeru preverjanje integritete sistema ne bi zaznalo napada.

Rešitev?

Re┼íitev v tem primeru je obnova zagonskega razdelka pred vsakim zagonom ra─Źunalnika oziroma zagon ra─Źunalnika iz CD-ROM enote ali USB klju─Źa. Opisani postopki so za pogosto uporabo (npr. vsakodnevni zagon ra─Źunalnika) precej nepriro─Źni, smiselni pa so za zagon kak┼ínega stre┼żnika ali podobnega ra─Źunalnika, kjer je potrebno poskrbeti za visoko stopnjo varnosti, zagoni sistema pa niso prav pogosti. Seveda je potrebno tudi paziti, da kopije zagonskega razdelka ne izgubimo, ali da nam je "pomotoma" ne ukradejo.

Ustvarjanje rezervne kopije zagonskega razdelka


Najprej preverimo ─Źe je zagonski razdelek ustrezno pripravljen (popravljen Grub menu, itd. - torej, da se sistem normalno za┼żene). Nato v konzoli vnesemo ukaz:

sudo dd if=/dev/hda1 of=zagonski_razdelek.img bs=16M


─îe ┼żelimo, lahko kopijo zagonskega razdelka stisnemo s programom gzip (podamo mu parameter -9, za najvi┼íjo stopnjo kompresije):

sudo dd if=/dev/hda1 bs=16M gzip –9 > zagonski_razdelek.img


Dobimo pribli┼żno takle izpis:

6+1 zapisov na vhodu
6+1 zapisov na izhodu
106896384 bytes (107 MB) copied, 2,57393 sekunde, 41,5 MB/s


S tem smo naredili natan─Źno kopijo zagonskega razdelka v datoteko z imenom zagonski_razdelek.img. To datoteko sedaj shranimo na USB klju─Ź ali zapi┼íemo na CD (nestisnjena bo velika toliko kot zagonski razdelek, torej okrog 100 Mb, stisnjena pa pribli┼żno pol manj┼ía).

Mimogrede, ne pozabimo narediti zagonske kopije ob vsaki nadgradnji jedra operacijskega sistema oziroma ob vsakem generiranju novih zagonskih (initrd) skript!

─îe ┼żelimo, lahko naredimo tudi kopijo zagonskega sektorja (tim. MBR - Master Boot Record), ki ga tudi shranimo na USB klju─Ź ali zape─Źemo na CD nosilec:

sudo dd if=/dev/hda bs=512 count=1 cat - > MBR.img


Obnavljanje rezervne kopije zagonskega razdelka


─îe ┼żelimo obnoviti zagonski razdelek, moramo ra─Źunalnik najprej zagnati s pomo─Źjo ┼żivega CDja, npr. namestitvenega CDja namizne razli─Źice Ubuntuja. Nato priklju─Źimo USB klju─Ź s kopijo zagonskega razdelka (npr. na mesto /media/USBbackup) in vnesemo ukaz - v primeru, da smo ustvarili nestisnjeno kopijo zagonskega razdelka:

sudo dd if=/media/USBbackup/zagonski_razdelek.img of=/dev/hda1 bs=16M


V primeru, da smo ustvarili stisnjeno kopijo zagonskega razdelka, pa vnesemo ukaz:

sudo su
gunzip –c /media/USBbackup/zagonski_razdelek.img dd of=/dev/hda1 bs=16M


Pa še obnavljanje zagonskega (MBR) sektorja:

sudo su
cat /media/USBbackup/MBR.img dd of=/dev/hda



"High-tech" napadi


S temi postopki smo varnost na┼íega sistema ob─Źutno izbolj┼íali, ┼żal pa to niso edini mo┼żni napadi na sistem. Napadalec namre─Ź lahko izvede tudi napad na strojno opremo, kjer na njo namesti svojo ("popravljeno") razli─Źico strojne programske opreme (tim. firmwarea). Tak napad je sicer razmeroma te┼żko izvedljiv in malo verjeten, kot zanimivost pa je na voljo nekaj ─Źlankov na to tematiko:

Napad je mogo─Źe izvesti tudi ─Źe ima napadalec dostop do pomnilnika sistema (npr. kot prijavljeni uporabnik sistema, ki lahko shrani vsebino pomnilnika v datoteko). Ve─Ź o tem v predavanju Torbj├Ârna Petterssona na CCC 2007:


Te┼żave in njihovo re┼íevanje


Ob zagonu sistema (ko je treba vpisati LUKS geslo) imamo vklju─Źeno angle┼íko tipkovnico. Pri vpisovanju gesel je treba biti pozoren na to, da so ─Źrke na slovenski in angle┼íki tipkovnici druga─Źe razporejene!

─îe smo pozabili popraviti Grub meni, ga lahko ob zagonu sistema popravimo ro─Źno. Pomembno je da nastavimo ustrezen korenski imenik (/dev/mapper/croot) in izklju─Źimo predstavitveno okno (nosplash).

V primeru, da se nam zaradi napake na datote─Źnem sistemu samodejno po┼żene orodje fsck (npr. ─Źe imamo ob ponovnem zagonu v ra─Źunalnik priklju─Źen zunanji USB disk brez razdelkov), se v nekaterih primerih chome razdelek ne bo priklju─Źil, pa─Ź pa se bo ustvaril navidezni doma─Źi /home podimenik, ki bo prazen. Sistem bo potrebno ponovno zagnati in ko se chome razdelek priklju─Źi sistem normalno deluje kot prej.

┼áifrirane razdelke lahko priklju─Źimo tudi s pomo─Źjo ┼żivega CD-ja, pri ─Źemer je potrebno najprej nalo┼żiti ustrezne module ter namestiti cryptsetup (shranimo in namestimo ga lahko tudi iz USB klju─Źa, ─Źe nimamo dostopa do interneta), nato pa ┼íifrirane razdelke priklju─Źimo z ukazom iz konzole ter vnosom LUKS gesla. ┼áifrirane razdelke lahko priklopimo tudi v okolju Windows, in sicer s pomo─Źjo programa FreeOTFE, kar je podrobneje opisano v ─Źlanku o ┼íifriranju nosilcev podatkov v okolju Linux in Windows, poglavje "Uporaba LUKS ┼íifriranih razdelkov v okolju Windows".

Ob nadgradnji jedra operacijskega sistema se lahko zgodi, da bo HAL (Hardware Abstraction Layer) zamenjal poimenovanja diskov iz hda v sda. V tem primeru je potrebno popraviti datoteko /etc/crypttab, do katere lahko dostopamo preko zagona starega jedra ali ┼żivega CDja.

Zaklju─Źek


─îeprav uporaba ┼íifriranja celotnega operacijskega sistema ┼íe ni dovolj uporabni┼íko prijazno integrirana v sistem, se premiki ka┼żejo tudi na tem podro─Źju. Z nekaj truda je ┼że danes mogo─Źe vzpostaviti delujo─Ź ┼íifriran sistem. Izbira distribucije Ubuntu Linux (ki velja za eno najbolj uporabni┼íko prijaznih) v kombinaciji z LUKS ┼íifriranjem, daje takemu sistemu visoko stopnjo uporabnosti tudi pri vsakdanji namizni uporabi.

Ker ima uporaba ┼íifriranja celotnega sistema zaradi ─Źedalje pogostej┼íe uporabe prenosnih ra─Źunalnikov v poslovnih okoljih, pa tudi drugod, velik tr┼żni potencial, lahko v prihodnosti pri─Źakujemo razvoj tudi na tem podro─Źju. Tehnologija je ┼że razvita, sledi le ┼íe razvoj na podro─Źju uporabni┼íke prijaznosti.
Trajno brisanje podatkov

Trajno brisanje podatkov

Opozorilo: Uporaba spodaj opisanih postopkov lahko privede do resne izgube podatkov ali do okvare sistema. Uporaba na lastno odgovornost. Dedek Mraz vam je prinesel nov raÄŹunalnik in ÄŹas je, da se znebite starega. Ni problema, poreÄŹete in se s staro &#8220;ĹĄkatlico&#8221; odpravite proti najbliĹžjemu ...

Preberi cel članek »

Šifriranje nosilcev podatkov v okolju Linux in Windows

Šifriranje nosilcev podatkov v okolju Linux in Windows

Cryptography is a data-protection technology just as gloves are a hand-protection technology. Cryptography protects data from hackers, corporate spies and con artists, whereas gloves protect hands from cuts, scrapes, heat, cold and infection. The former can frustrate FBI wiretapping, and the latter can ...

Preberi cel članek »

Uvod v Linux

Uvod v Linux

Več dejavnikov je vplivalo na nastanek kratkega pregleda osnov Linuxa, ki ste ga pravkar položili pred oči, zato bi težko jedrnato povedal, zakaj sem se odločil, da ga napišem, je pa res, da so glavni razlogi za njegovo rojstvo samo trije, in sicer čedalje pogostejše ...

Preberi cel članek »

Intervju z Dustinom Kirklandom, glavnim razvijalcem sistemov za šifriranje v Ubuntuju

Intervju z Dustinom Kirklandom, glavnim razvijalcem sistemov za šifriranje v Ubuntuju

English version Dustin Kirkland je Ubuntu Core razvijalec, zaposlen pri podjetju Canonical. Preden je začel delati na razvoju Ubuntu serverja, je preživel 8 let pri IBM-u. Trenutno je osredotočen na razvoj Ubuntu Enterprise oblaka za prihajajočo različico Ubuntuja, 10.04 LTS, pred tem pa je delal na ...

Preberi cel članek »

Interview with Dustin Kirkland, Ubuntu Core Developer about encryption in Ubuntu

Interview with Dustin Kirkland, Ubuntu Core Developer about encryption in Ubuntu

Dustin Kirkland is an Ubuntu Core Developer, working for Canonical on the Ubuntu Server. His current focus is developing the Ubuntu Enterprise Cloud for the Ubuntu 10.04 LTS release, but previously he had worked on a number of Ubuntu features and packages, including Ubuntu's Encrypted Home Directories. ...

Preberi cel članek »