 |
|
| node: | 31.07.2006-18:41:29 |
| template: | 4 |
| parent: | Vychytavky |
| owner: | jakub |
| viewed by: | |
| created: | 31.07.2006 - 18:41:29 |
| updated: | 31.07.2006 - 18:45:13 |
|
cwbe coordinatez: 101 63540 63542 1098481 2547086 ABSOLUT KYBERIA |
| permissions | |
| you: | r, |
| system: | public |
| net: | yes |
total descendants::
total children::7
8 ❤️
| rigor | 0 |
| tiborkuloza | 0 |
taakze, v tomto kratkom howto by som rad popisal, ako zakryptovat particie s pomocou device mapperu a jeho crypt targetu (obe veci su sucastou mainline kernelov)
ako prve budeme potrebovat zopar veci v jadre - takze pustime make menuconfig, vbehneme do
Multi-device support (RAID and LVM) --->
a tam oznacime
[*] Multiple devices driver support (RAID and LVM)
<*> Device mapper support
<*> Crypt target support
dalsou potrebnou vecou budu nejake tie sifrovacie algoritmy - vlezieme do
Cryptographic options --->
a tam si povyberame (urcite oznacime aspon aes-i586)
<*> AES cipher algorithms (i586)
skompilujeme kernel a rebootneme
dalsou potrebnou vecou budu nejake tie userspace tooly/libky -
libdevmapper - http://ftp.debian.org/debian/pool/main/d/devmapper/devmapper_1.02.07.orig.tar.gz
a cryptsetup - http://luks.endorphin.org/source/cryptsetup-luks-1.0.3.tar.bz2 (ten potrebuje este nejake libky, libgcrypt a libgpg-error)
skompilujeme, pripadne instalneme z balickov, ak ich nase distro ma
a mozme zacat kryptovat :)
vyberieme/vytvorime si particiu, ktoru teda chceme zakryptovat a pustime nasledovnu vec -
(mozme pouzit aj particiu, na ktorej uz su data)
cryptsetup -y create nas_device /dev/hda1 - kde /dev/hda1 je particia, ktoru chceme sifrovat a nas_device je nazov pre mapper device (ten si samozrejme mozte dat aky len chcete :) a -y hovori cryptsetupu, aby sa nas 2x spytal na heslo
takze vybehne na nas prompt, ktory popyta heslo - pozor, toto heslo si dobre zapametat, inac say bye bye to texas, vase data uz neuvidite :)
toto nam vytvori mapper device v /dev/mapper/, ktory neskor budeme pouzivat pri mountovani
cryptsetup defaultne pouziva na sifrovanie aes-256 sifru s ripemd160 hashom, ak chceme sifrovat niecim inym, pustime cryptsetup s -c sifra a tam si to specifikujeme (pre viac info man cryptsetup)
takze cryptodevice mame vytvoreny :)
dalsi krok zavisi od toho, ci na tom nasom cryptodevici uz nejake data su, alebo sme ho vytvarali na cistu particiu
ak slo o cistu particiu, pustime na nho normalne mkfs a vytvorime si filesystem (dm-crypt nema problem so zurnalovacimi fs ako cryptoloop, takze kludne mozme pouzit aj reiser, xfs...)
mkfs uz samozrejme pustame na /dev/mapper/nas_device
potom uz len staci /dev/mapper/nas_device niekam mountnut a mozme zacat nasu kryptopartisnu pouzivat :)
ak sme cryptsetupom vytvorili mapper device na disku, kde uz su data, musime spravit nasledovnu vec, aby sme ich dostali do sifrovanej podoby:
dd if=/dev/hda1 of=/dev/mapper/nas_device bs=4k - kde hda1 je disk, na ktorom sme cryptsetupom vytvorili mapper device /dev/mapper/nas_device
dd teda bude citat z devicu hda1 este nezakryptovane data, ale tym padom ze ich smerujeme na /dev/mapper/nas_device budu rovno prevedene do kryptovanej podoby na tu istu particiu (hda1)
tento proces konverzie je uplne bezpecny, sifroval som uz takto viacero diskov, na ktorych boli data, zatial vzdy uspesne
a netreba stresovat, pokial takto ddckujeme vacsi objem dat, kludne to moze trvat aj 3-4 hodky, zavisi od hardwaru, diskov, sifry...
samozrejme treba si dat pozor na vypadok prudu a podobne veci :)
no a ked nam dd dobehne, staci spustit mount /dev/mapper/nas_device /storage a je to :)
po kazdom reboote bude nutne spustat na tento nas cryptodevice uz vyssie spominany command cryptsetup create nas_device /dev/hda1, ktory si zapyta heslo, ktore sme pouzili pri vytvarani - pokial ho zadate zle, cryptsetup vam nezapicuje, pretoze vytvara len virtualny device a zadane heslo pouziva na sifrovanie/desifrovanie dat, cize picovat vam bude az mount, ked sa budete snazit ten device mountnut, kedze nebude vediet z toho disku nic rozumneho precitat :)
pokial heslo zadate spravne, samozrejme sa device mountne korektne a data sa vam spristupnia opat :)
tak vela zdaru pri kryptovani prajem, snad som to popisal dostatocne jasne :)
ako prve budeme potrebovat zopar veci v jadre - takze pustime make menuconfig, vbehneme do
Multi-device support (RAID and LVM) --->
a tam oznacime
[*] Multiple devices driver support (RAID and LVM)
<*> Device mapper support
<*> Crypt target support
dalsou potrebnou vecou budu nejake tie sifrovacie algoritmy - vlezieme do
Cryptographic options --->
a tam si povyberame (urcite oznacime aspon aes-i586)
<*> AES cipher algorithms (i586)
skompilujeme kernel a rebootneme
dalsou potrebnou vecou budu nejake tie userspace tooly/libky -
libdevmapper - http://ftp.debian.org/debian/pool/main/d/devmapper/devmapper_1.02.07.orig.tar.gz
a cryptsetup - http://luks.endorphin.org/source/cryptsetup-luks-1.0.3.tar.bz2 (ten potrebuje este nejake libky, libgcrypt a libgpg-error)
skompilujeme, pripadne instalneme z balickov, ak ich nase distro ma
a mozme zacat kryptovat :)
vyberieme/vytvorime si particiu, ktoru teda chceme zakryptovat a pustime nasledovnu vec -
(mozme pouzit aj particiu, na ktorej uz su data)
cryptsetup -y create nas_device /dev/hda1 - kde /dev/hda1 je particia, ktoru chceme sifrovat a nas_device je nazov pre mapper device (ten si samozrejme mozte dat aky len chcete :) a -y hovori cryptsetupu, aby sa nas 2x spytal na heslo
takze vybehne na nas prompt, ktory popyta heslo - pozor, toto heslo si dobre zapametat, inac say bye bye to texas, vase data uz neuvidite :)
toto nam vytvori mapper device v /dev/mapper/, ktory neskor budeme pouzivat pri mountovani
cryptsetup defaultne pouziva na sifrovanie aes-256 sifru s ripemd160 hashom, ak chceme sifrovat niecim inym, pustime cryptsetup s -c sifra a tam si to specifikujeme (pre viac info man cryptsetup)
takze cryptodevice mame vytvoreny :)
dalsi krok zavisi od toho, ci na tom nasom cryptodevici uz nejake data su, alebo sme ho vytvarali na cistu particiu
ak slo o cistu particiu, pustime na nho normalne mkfs a vytvorime si filesystem (dm-crypt nema problem so zurnalovacimi fs ako cryptoloop, takze kludne mozme pouzit aj reiser, xfs...)
mkfs uz samozrejme pustame na /dev/mapper/nas_device
potom uz len staci /dev/mapper/nas_device niekam mountnut a mozme zacat nasu kryptopartisnu pouzivat :)
ak sme cryptsetupom vytvorili mapper device na disku, kde uz su data, musime spravit nasledovnu vec, aby sme ich dostali do sifrovanej podoby:
dd if=/dev/hda1 of=/dev/mapper/nas_device bs=4k - kde hda1 je disk, na ktorom sme cryptsetupom vytvorili mapper device /dev/mapper/nas_device
dd teda bude citat z devicu hda1 este nezakryptovane data, ale tym padom ze ich smerujeme na /dev/mapper/nas_device budu rovno prevedene do kryptovanej podoby na tu istu particiu (hda1)
tento proces konverzie je uplne bezpecny, sifroval som uz takto viacero diskov, na ktorych boli data, zatial vzdy uspesne
a netreba stresovat, pokial takto ddckujeme vacsi objem dat, kludne to moze trvat aj 3-4 hodky, zavisi od hardwaru, diskov, sifry...
samozrejme treba si dat pozor na vypadok prudu a podobne veci :)
no a ked nam dd dobehne, staci spustit mount /dev/mapper/nas_device /storage a je to :)
po kazdom reboote bude nutne spustat na tento nas cryptodevice uz vyssie spominany command cryptsetup create nas_device /dev/hda1, ktory si zapyta heslo, ktore sme pouzili pri vytvarani - pokial ho zadate zle, cryptsetup vam nezapicuje, pretoze vytvara len virtualny device a zadane heslo pouziva na sifrovanie/desifrovanie dat, cize picovat vam bude az mount, ked sa budete snazit ten device mountnut, kedze nebude vediet z toho disku nic rozumneho precitat :)
pokial heslo zadate spravne, samozrejme sa device mountne korektne a data sa vam spristupnia opat :)
tak vela zdaru pri kryptovani prajem, snad som to popisal dostatocne jasne :)