je_suis_la_vie: (псиносрач)
[personal profile] je_suis_la_vie


Перш за все, призначте якусь машину, яка буде вашим файл-сервером. Наприклад, однопроцесорний MP1800+ може досить легко впоратися із криптуванням у моїй мережі, але ж, звісно, у кожного свої потреби; і пам'ятайте: файлововий сервер із криптованими файловими системами потребує більше процесорного часу при виконанні таких простих завдань, як збереження файлу на диск.

Я зупинився на варіанті, де операційну систему встановлено на окремому, невеличкому, дискові, а усі "великі диски" монтуютсья в дерево тек. Але такий варіант не обов'язковий, я не ставив собі на меті зашифровувати диск з самою операційною системою, бо, на мою думку, це невиправдане і непотрібне ускладнення, але ефективний спосіб створити "окрему точку виходу з ладу", що я, власне, і шукав.
Якщо ви закриптуєте диски з операційною системою, ви не зможете виконати навіть fsck системних розділів, коли ваша машинка гримнеться від раптового знеструмлення. Тому котлети і мухи завжди окремо :) система окремо, а ваша "бухгалтерія о продажє родіни" окремо.

З цього моменту, я веду мову про OpenBSD з ядром від виробника.
Перебирати ядро на OpenBSD - це не для "нервенних" хлопчиківв та дівчаток.
Як встановлювати ваші службові демони ftp/samba/httpdі т.і читайте документацію - ці питання тут не обговорюватимуться...

По перше, нам необхідно задіяти криптування swap-розділу.
За замовчуванням в OpenBSD swap-розділ і без того криптуєтсья. Але все ж, напишімо про всяк випадок як вмикаєтсья криптування swap-розділу.

Відредагуйте /etc/sysctl.conf
Змініть запис у файлі: #vm.swapencrypt.enable=1
на:
vm.swapencrypt.enable=1

Після наступного перезавантаження, шифрування swap-розділу буде задіяно; якщо нетерпиться негайно - будь ласка:
# sysctl vm.swapencrypt.enable=1

Припустімо, що ви маєте один чи більше порожніх дисків, і ви хочете зробити з них повністю криптовані томи.
Після того, як ви фізично приєднали диск до системи, подивіться, що вивела команда "dmesg", щоб побачити як називаєтсья ваш диск (wd1, наприклад; wd0 - це мій системний диск).
Командою
# fdisk -i wd1
ініціалізуйте диск на використання виключно вашою операційною системою - OpenBSD в нашому випадку. Далі, створімо позначку диска командою
# disklabel -E wd1
Ви побачите те ж саме запрошення, яке бачили під час установки операційної системи, тож, процедура вам вже знайома. Оскільки, ми призначаємо увесь диск на використання в OpenBSD, то нам тут нема чого змінювати: параметри команди за замовчуванням раціональні і виважені для більшості випадків життя.

Таким чином, ми маємо готовий диск, але ще без файлової системи ("не відформатований", висловлюючись по-віндозному).
Щоб створити файлову систему ("відформатувати" по-віндозному), запустімо команду
# newfs /dev/rwd1a Тут звідкись з'явилася літера "r" - це "сирий пристрій" (raw device), інакше newfs не працюватиме з диском, бо вважатиме його "блочним пристроєм" (block device).

В результаті ми матимемо одну велику файлову систему на увесь wd1 диск.
Параметри команди "newfs" за замовчуванням теж досить раціональні та виважені, але якщо ви вже такииий естет - читайте "man newfs"...

Тепер нам треба змонтувати нашу нову файлову систему у дерево файлової системи і додати запис про неї до /etc/fstab.
# mount /dev/wd1a /datacrypt/disk1 (так я називаю мої криптовані томи)

Мій /etc/fstab

# cat /etc/fstab
/dev/wd0a / ffs rw 1 1 # тут встановлено мою операційну систему.
/dev/wd1a /datacrypt/disk1 ffs rw,noatime,nodev,softdep 1 1 # перший криптований диск
/dev/wd2a /datacrypt/disk2 ffs rw,noatime,nodev,softdep 1 1 # другий криптований диск
/dev/wd3a /datacrypt/disk3 ffs rw,noatime,nodev,softdep 1 1 # третій криптований диск

Тепер нам треба створити крипто-файл на новому дискові
# touch /datacrypt/disk1/cryptfile

а потім забити його - чим попало... :)
# dd if=/dev/zero of=/datacrypt/disk1/cryptfile bs=512 count=384551416

Коли ми виконували команди "fdisk" і "disklabel", ми бачили скільки блоків (512 чи 1024-байтних) на нашому дискові. (За моїм досвідом, команда "dd" все одно спрацює, навіть якщо ви набагато перевищите значення кількості блоків у параметрі "count").

Тепер вирішімо, де у файловому дереві ми додамо нашу нову файлову систему. Мене влаштовує "/data/disk1"

Виконаймо команду "vnconfig", щоб пов'язати той самий крипто-файл "/datacrypt/disk1/cryptfile" з нашою новою точкою монтування, включаючи сюди і саме криптування.
# vnconfig -ck -v svnd0 /datacrypt/disk1/cryptfile

Тут вас попросять ввести пароль до крипто-ключа (encryption-key), введіть щось ТАКЕЕ (і таке, що ніколи не забудете! ;))

Якщо все минуло добре, ви відразу побачите розмір вашого диску:
# vnconfig -ck -v svnd0 /datacrypt/disk1/cryptfile
Encryption key:
svnd0: 314945404928 bytes on /datacrypt/disk1/cryptfile

Тепер ініціалізуймо диск і створімо нову файлову систему на закриптованому розділі:
# fdisk -i svnd0
# disklabel -E svnd0 (і знову, як і вище, робіть один великий розділ типу 4.2BSD)
# newfs /dev/rsvnd0a

Тепер можна змонтувати нашу - закриптовану - файлову систему.
# mount /dev/svnd0a /data/disk1

І ось маємо те, що маємо! /data/disk1 як і будь-який інший примонтований том, лише цей - повністю закриптований. :-)

Тепер можете налаштувати ваші демони - ftp/samba/httpd/і т.і., які дивитимуться на цей диск як на цілісний розділ, зберігатимуть тут ваші файли і т.і.; чи ви зі свого ноутбука через samba братимете файли на ознайомлення, редагування, тощо і зберігатимете їх знову тут же ж, не залишаючи нічого на ноуті...

Це такий же диск, як і будь-який інший у вашій системі, але доки ви не введете пароль до крипто-ключа при його монтуванні (під час завантаження і монтування файлових систем), він вам не відобразить нічого, що на ньому зберігається. І ніяка чарівна сила цього не зробить.

Щоб розшифрувати крипто-ключ знадобляться потужності мейнфрейма ЦРУ, і... ну не зна', можливо, до Великого Сплеску, у якому загине увесь наш Всесвіт, той мейнфрейм і впораєтсья... тримаймо за нього пальчики хрестиком... :)

Відмонтувати файлову систему, звісно ж, можна командою:
# umount /data/disk1

А "розкриптувати": :)
# vnconfig -u -v /dev/svnd0a

Щасти, юний терористе! :)

Date: 2011-01-17 12:32 pm (UTC)
From: [identity profile] pekelnyi-bulba.livejournal.com
Прікратітє ці провокації!!

Date: 2011-01-17 02:01 pm (UTC)

Date: 2011-01-17 01:01 pm (UTC)
From: [identity profile] promonaut.livejournal.com
True Crypt + Win95

Date: 2011-01-17 02:02 pm (UTC)
From: [identity profile] je-suis-la-vie.livejournal.com
DOS 2.0 наше всьо!

Date: 2011-01-17 06:43 pm (UTC)
From: [identity profile] henyk.livejournal.com
СР/М форева

Date: 2011-01-17 08:31 pm (UTC)
From: [identity profile] je-suis-la-vie.livejournal.com
Дайьошь PDP-11 і спейс-беттл!

Date: 2011-01-17 01:19 pm (UTC)
From: [identity profile] henyk.livejournal.com
В підвалі НацБанку стоїть "Крей" який зламає твій крипт місяців за 10. Інша справа що в нього інше призначення і ніхто його під таку дурню не задіє.

"А лучшим срєдством взлома паролей являются кірзовиє міліцейскіє сапоґі"©

Date: 2011-01-17 01:58 pm (UTC)
From: [identity profile] je-suis-la-vie.livejournal.com
Ну хай спробує... :)

Date: 2011-01-17 02:08 pm (UTC)
From: [identity profile] je-suis-la-vie.livejournal.com
А "міліцейскіє сапоґі" - вони якщо плануються, то будуть по любому. Привід і обгрунтування буде.

Date: 2011-01-17 05:16 pm (UTC)
From: [identity profile] alexbard.livejournal.com
Ага. А ще терморектальний спосіб видобуття ключів та паролів. Це якщо кірзовиє міліцейскіє сапог'і будуть неефективними.

Date: 2011-01-17 01:44 pm (UTC)
From: [identity profile] hozar.livejournal.com
А де напалм?

Date: 2011-01-17 02:00 pm (UTC)
From: [identity profile] je-suis-la-vie.livejournal.com
Він як ховрашок: "Сусліка відішь? Нєт? А он єсть."

Date: 2011-01-17 04:14 pm (UTC)
From: [identity profile] chrystallpower.livejournal.com
цікавo, кіко їм то часу буде коштувати це все почитати, а потім ше знайти в тексті прихований терористичний месседж?

Date: 2011-01-17 04:38 pm (UTC)
From: [identity profile] pekelnyi-bulba.livejournal.com
А нам тут байдуже, більше ніж маємо вже не дадуть

Profile

je_suis_la_vie: (Default)
je_suis_la_vie

September 2017

S M T W T F S
     12
3456789
10 111213141516
17181920212223
24252627282930

Style Credit

Expand Cut Tags

No cut tags
Page generated Sep. 22nd, 2017 08:48 pm
Powered by Dreamwidth Studios