abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 10:00 | Komunita

Společnost PINE64 stojící za telefonem PinePhone, notebooky Pinebook a Pinebook Pro, IP kamerou PineCube, hodinkami PineTime, páječkou (pájecím perem) Pinecil, zdroji PinePower nebo RISC-V vývojovou deskou PineCone publikovala na svém blogu lednový souhrn novinek. Opět společně s videem (YouTube, LBRY, TILvids). Od 18. ledna bude možné objednat PinePhone s předinstalovaným Mobianem aneb Debianem pro mobilní zařízení.

Ladislav Hagara | Komentářů: 11
včera 09:00 | Nová verze

Byla vydána nová verze 3.6 svobodného notačního programu MuseScore (Wikipedie). Představení novinek také na YouTube. Zdůrazněn je nový font Leland. Jeho představení na YouTube.

Ladislav Hagara | Komentářů: 0
15.1. 18:44 | Zajímavý projekt

Fedora Magazine představil projekt Fedora Kinoite aneb Fedoru Silverblue s prostředím KDE Plasma. Fedora Silverblue je neměnný systém s atomickými aktualizacemi, tj. základní systém je distribuován jako celek, s prostředím GNOME.

Ladislav Hagara | Komentářů: 4
15.1. 10:00 | IT novinky

Projekty Elasticsearch a Kibana, doposud distribuované pod licencí Apache 2.0, přejdou na duální licencování pod Server-Side Public License (původně používanou pro MongoDB a neschválenou jako open-source organizací OSI) a vlastní source-available licencí. Změna vejde v platnost počínaje vydáním 7.11.

Fluttershy, yay! | Komentářů: 0
15.1. 09:00 | Komunita

Na Humble Bundle lze do neděle 17. ledna do 19:00 získat zdarma počítačovou hru Bomber Crew (YouTube, Wikipedie) běžící také v Linuxu.

Ladislav Hagara | Komentářů: 1
15.1. 08:00 | Nová verze

Minimalistická linuxová distribuce Alpine byla vydána v nové stabilní řadě 3.13. Novinkou jsou např. oficiální obrazy v cloudu (AWS EC2), vylepšené síťové nástroje nebo podpora PHP 8.0.

Fluttershy, yay! | Komentářů: 0
15.1. 07:00 | Bezpečnostní upozornění

Uživatelé Admineru verze 3.7.1 a starších mohli být 29. a 30. prosince napadeni. Útočníkovi se podařilo do souboru jush.js, který se do této verze ještě stahoval z adminer.org, vložit kód, který mu odesílal přihlašovací údaje. Pokud jste v tomto čase tuto více než 7 let starou verzi Admineru používali, tak změňte hesla databází, ke kterým jste se přihlašovali. Novější verze ovlivněné nejsou.

Ladislav Hagara | Komentářů: 2
15.1. 00:11 | Zajímavý článek

Ernie Smith píše o historii populárních routerů Linksys WRT54G, jejichž software byl založený na Linuxu, a proto posléze díky GNU GPL uvolněn jako open source, což vedlo k vývoji alternativního softwaru jako DD-WRT či OpenWrt a řadě dalších využití.

Fluttershy, yay! | Komentářů: 0
14.1. 18:11 | Nová verze

Po roce vývoje od vydání verze 5.0 a více než 8 300 změnách byla vydána nová stabilní verze 6.0 softwaru, který vytváří aplikační rozhraní umožňující chod aplikací pro Microsoft Windows také pod GNU/Linuxem, Wine (Wikipedie). Z novinek lze zdůraznit core moduly ve formátu PE, Vulkan backend pro WineD3D, podporu DirectShow a Media Foundation nebo redesign textové konzole. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 4
14.1. 14:00 | Zajímavý článek

Guido Günther z Purism napsal článek Phosh Overview o uživatelském prostředí pro mobilní systémy Phosh. Přehledově popisuje co jednotlivé komponenty dělají a jak jsou propojeny.

joejoe | Komentářů: 1
Jestliže používáte distribuci CentOS, kterou náhradu plánujete vzhledem k oznámenému ukončení vydávání?
 (31%)
 (3%)
 (2%)
 (24%)
 (0%)
 (2%)
 (38%)
Celkem 146 hlasů
 Komentářů: 3, poslední 10.1. 13:01
Rozcestník

Šifrovaný domovský adresář

25.6.2010 23:59 | Přečteno: 2509× | Linux | Výběrový blog | poslední úprava: 2.9.2020 20:46

Rád bych se s vámi, ctěnými členy Linuxové komunity, podělil o následující návod, jak si snadno a rychle zašifrovat domovský adresář. Výhoda tohoto řešení spočívá v dešifrování heslem, které uživatel zadá při přihlášení do systému. Před tím, než se rozhodnete pokračovat, si zazálohujte všechna svá data.

Níže uvedené příkazy provádí superuživatel root. Nejprve je nutné vytvořit dostatečně velký soubor, který bude sloužit jako obraz šifrovaného disku. Toho dosáhneme použitím následujícího příkazu

dd if=/dev/urandom bs=1M count=16 of=oddil.img

který vytvoří soubor oddil.img s náhodným obsahem. Zde jsme jen pro účely testování vytvořili diskový oddíl veliký pouhých 16MB. Generování náhodných čísel, která použijeme pro prvotní zaplnění oddílu může v případě velikých oddílů (stovky GB) trvat klidně i desítky hodin.

Nyní je třeba vygenerovat šifrovací klíč. jak jsem se dočetl, je lepší, aby byl tvořen pouze tisknutelnými znaky. Prý z důvodů kompatibility s některými systémy. Požadovaný příkaz k vytvoření klíče je tedy

echo -n `tr -cd [:graph:] < /dev/urandom | head -c 79` > klic

V souboru klic máme tedy nezaheslovanou verzi klíče, kterým budeme šifrovat náš oddíl. Protože ponechání klíče na disku v nezaheslované podobě, by bylo hloupé, zaheslujeme si tento klíč příkazem

openssl enc -bf-cbc -in klic > oddil.key

Původní soubor klic odstraníme z disku a nejlépe jej uložíme na bezpečné místo pro potřeby zálohy a zapomenutí hesla. Soubor oddil.key nyní obsahuje heslem chráněný šifrovací klíč.

Dalším krokem je namapování našeho oddílu na blokové zařízení. K tomu použijeme příkaz

losetup /dev/loop0 oddil.img

Nyní použijeme device mapper k tomu, aby toto blokové zařízení namapoval na jiné zařízení, ale už s použitím transparentního šifrování.

openssl enc -d -bf-cbc -in oddil.key | cryptsetup -c twofish -s 256 -h ripemd160 -d - create oddil /dev/loop2

Zde musíte zadat dříve zvolené heslo použité k zaheslování klíče. Jste-li úspěšní,můžete na připojeném oddíle vytvořit souborový systém

mkfs.xfs /dev/mapper/oddil

Můžeme ověřit, že souborový systém lze připojit

mkdir oddil
mount /dev/mapper/oddil ./oddil
echo "pokus" > ./oddil/test
cat ./oddil/test

hlavně pak vše zase hezky odpojíme

umount ./oddil
cryptsetup remove oddil
losetup -d /dev/loop2

Nyní zkusíme použít mount.crypt, abychom jedním příkazem provedli všechny kroky potřebné k připojení šifrovaného disku naráz.

mount.crypt -o cipher=twofish -o hash=ripemd160 -o keyfile=oddil.key -o fsk_cipher=bf-cbc -o fsk_hash=sha256 -o keysize=256 -v oddil.img oddil/

Pokud je vše ok, lze z oddílu číst testovací soubor. Nyní pomocí chown nastavíte vlastníkem připojeného oddílu uživatele, jehož domovským adresářem se má stát - zkrátka nastavíte správná přístupová práva.

cat ./oddil/test

Nyní již stačí nainstalovat pam-mount a editovat soubor /etc/security/pam_mount.conf.xml vložením
<volume user="uzivatel" mountpoint="/home/%(USER)" path="oddil.img" options="loop,user,exec,cipher=twofish,keysize=256,hash=ripemd160" fskeyhash="sha256" fskeycipher="bf-cbc" fskeypath="oddil.key" fstype="crypt" />
Ujistěte se, že máte správně zadané cesty k souborům oddil.img a oddil.key. Místo "uzivatel" vyplníte konkrétní uživatelské jméno. Ještě přidáte do pam konfigurace použití pam_mount.so. Toto hodně závisí na vaši konkrétní konfiguraci. V mém případě jsem přidal do souboru /etc/pam.d/system-auth řádky

auth        optional      pam_mount.so
session     optional      pam_mount.so

Nyní by vše mělo pracovat. Uživatel při přihlášení zadá heslo a toto se použije k přihlášení i k dešifrování domovského adresáře. Pochopitelně musí se jednat o stejné heslo :).        

Hodnocení: 80 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

26.6.2010 10:25 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Šifrovaný domovský adresář
Šifrování domovských adresářů je z mého pohledu pěkná kravina. Osobně mi dělá spíš těžkou hlavu zajistit, aby - kdyby se se mnou náhodou něco stalo - vůbec někdo k mým datům dostal a věděl co s nima.
26.6.2010 10:57 marbu | skóre: 30 | blog: hromada | Brno
Rozbalit Rozbalit vše Re: Šifrovaný domovský adresář
Na notebooku to smysl má bez ohledu na to, zda svá data chcete někomu důvěryhodnému v případě problémů přenechat - na to je imho lepší rozumě vyřešené zálohování (klidně nešifrované).
I think warning here is a bug. There is no point in being so cool in a cold world.
frEon avatar 26.6.2010 12:17 frEon | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Šifrovaný domovský adresář
pokud nekomu duveruji natolik aby mel pristup k mym datum, pak muzu dat klic rovnou, ne?
Talking about music is like dancing to architecture.
Jakub Lucký avatar 26.6.2010 12:44 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Šifrovaný domovský adresář
Já teda nemám celý /home šifrovaný, ale jen určité části (profily Firefoxu, Thunderbirdu, několik důležitých složek, třeba s osobními údaji)

Pokud by je někdo v případě zásadních problémů potřeboval (což zatím asi nic takového nemám), tak bych ustanovil někoho, komu bych předal heslo, jím zašifrované na flešce asi...
If you understand, things are just as they are; if you do not understand, things are just as they are. (Zen P.) Blogísek
26.6.2010 16:09 Lukasss
Rozbalit Rozbalit vše Re: Šifrovaný domovský adresář

Treba si ujasniť, prečo chceš šifrovať.

Iný je postup ak chrániš súkromné dáta pred zlodejmi a iný postup, keď chrániš dáta pred políciou.

Nicky726 avatar 26.6.2010 20:10 Nicky726 | skóre: 56 | blog: Nicky726
Rozbalit Rozbalit vše Re: Šifrovaný domovský adresář
Hlavně pokud se neošetří podobně i tmp a swap a možná ještě var tak je to stejně k ničemu.
Enjoy the detours. There you’ll find the things more important than what you want. (Hunter x Hunter)
27.6.2010 10:16 qiRzT | skóre: 14 | blog: U_Marvina
Rozbalit Rozbalit vše Re: Šifrovaný domovský adresář
Není, záleží na tom, proti komu se chceš chránit. Proti třípismenkovým agenturám je to na nic, ale jako obrana proti tomu, aby si někdo, kdo ti ukradne notebook kvůli tomu notebooku, čet tvoji poštu, to stačí bohatě.
Důležité je vědět jak problém vyřešit, zbytek zvládne i cvičená opice...
Nicky726 avatar 27.6.2010 13:18 Nicky726 | skóre: 56 | blog: Nicky726
Rozbalit Rozbalit vše Re: Šifrovaný domovský adresář
Jenže ten mail ti může klient uložit do tempu nebo může skončit ve swapu.
Enjoy the detours. There you’ll find the things more important than what you want. (Hunter x Hunter)
Václav 27.6.2010 13:43 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
Rozbalit Rozbalit vše Re: Šifrovaný domovský adresář
Což opravdu dokáže vydolovat každej zlodějíček :)
Cross my heart and hope to fly, stick a cupcake in my eye!
Nicky726 avatar 27.6.2010 14:19 Nicky726 | skóre: 56 | blog: Nicky726
Rozbalit Rozbalit vše Re: Šifrovaný domovský adresář
Takhle vzato stačí login do systému chránit heslem "pes", protože kolik lidí bude montovat nějaký (linuxový) filesystem... :-/
Enjoy the detours. There you’ll find the things more important than what you want. (Hunter x Hunter)
Jakub Lucký avatar 27.6.2010 14:47 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Šifrovaný domovský adresář
Extrahovat data ze swapky (bez jistoty, že tam budou) a vygooglit "zapomenuté heslo Ubuntu" bych řekl, že je rozdíl...
If you understand, things are just as they are; if you do not understand, things are just as they are. (Zen P.) Blogísek
28.6.2010 09:31 qiRzT | skóre: 14 | blog: U_Marvina
Rozbalit Rozbalit vše Re: Šifrovaný domovský adresář
Přesně tak. Navíc tady je otázka motivace - na nezašifrovanym disku pro prozkoumání stačí obyčejná zvědavost. Když je tam nějaká překážka, tak zvědavost nestačí. Krom toho na tom swapu, tempu, apod. velmi pravděpodobně nebudou všechny maily (fotky, dokumenty, cokoli) naráz.
Důležité je vědět jak problém vyřešit, zbytek zvládne i cvičená opice...
29.6.2010 12:45 finn | skóre: 43 | blog: finnlandia | 49° 44´/13° 22´
Rozbalit Rozbalit vše Re: Šifrovaný domovský adresář
Swap nemám (na co při 4GiB paměti na desktopu) a /tmp je v RAM.
Užívej dne – možná je tvůj poslední.
xkucf03 avatar 29.6.2010 13:48 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Šifrovaný domovský adresář
Já mám taky 4 GB a swap je občas potřeba :(
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
Jardík avatar 26.6.2010 17:06 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: Šifrovaný domovský adresář
Proč je pevně daná velikost souboru? To v linuxu nejde vytvořit šifrovaný adresář a ukusuje si tak místo z velikosti FS, na kterém je? Aha, nejde ...
Věřím v jednoho Boha.
Jakub Lucký avatar 26.6.2010 17:10 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Šifrovaný domovský adresář
Aha, jde... Encfs...
If you understand, things are just as they are; if you do not understand, things are just as they are. (Zen P.) Blogísek
Jardík avatar 26.6.2010 23:08 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: Šifrovaný domovský adresář
No vida, alespoň něco.
Věřím v jednoho Boha.
26.6.2010 18:43 asdf
Rozbalit Rozbalit vše Re: Šifrovaný domovský adresář
sifroval jsem pet let, do vyhoreni UPSky kvuli blesku. pote jsem vse obnovil ze zalohy, ale uz sifruji pouze jeden adresarik s par dokumentama, klicema, heslama ke kreditce a tak podobne. IMHO celej /home mit zasifrovanej je nesmysl, pokud nejsi tajny agent nebo prase s dp.
xkucf03 avatar 26.6.2010 21:34 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Šifrovaný domovský adresář
Já šifruji celý disk (kromě /boot). Agent nejsem a DP v počítači nemám. :-)
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
Jakub Lucký avatar 26.6.2010 21:44 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Šifrovaný domovský adresář
Oni by ti po hodině rubberhose cryptoanalysis vysvětlili, co všechno jsi :-)
If you understand, things are just as they are; if you do not understand, things are just as they are. (Zen P.) Blogísek
26.6.2010 23:45 CyberDragon
Rozbalit Rozbalit vše Re: Šifrovaný domovský adresář
+1

Navic kazdy tyden zaloha dat na jine sifrovane medium a nasledne cyklicka vymena tohoto media za dalsi medium v poradi v mistopisne dostatecne vzdalene lokalite.
27.6.2010 15:45 df
Rozbalit Rozbalit vše Re: Šifrovaný domovský adresář
vhodnejsi by mi asi prislo pouzit luks (cryptsetup(8)).
automatizuje to spoustu veci (pouzita sifra, ...), je to integrovane do systemu (/etc/crypttab), neni potreba uchovavat zvlast klic; uchovava se zasifrovany v ramci oddilu, predava se jen heslo, je mozne pridavat dalsi hesla, ...
27.6.2010 18:10 Visgean Skeloru
Rozbalit Rozbalit vše Re: Šifrovaný domovský adresář
adduser--encrypt-home

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.