je_suis_la_vie: (псиносрач)
[personal profile] je_suis_la_vie


Перш за все, призначте якусь машину, яка буде вашим файл-сервером. Наприклад, однопроцесорний MP1800+ може досить легко впоратися із криптуванням у моїй мережі, але ж, звісно, у кожного свої потреби; і пам'ятайте: файлововий сервер із криптованими файловими системами потребує більше процесорного часу при виконанні таких простих завдань, як збереження файлу на диск.

Я зупинився на варіанті, де операційну систему встановлено на окремому, невеличкому, дискові, а усі "великі диски" монтуютсья в дерево тек. Але такий варіант не обов'язковий, я не ставив собі на меті зашифровувати диск з самою операційною системою, бо, на мою думку, це невиправдане і непотрібне ускладнення, але ефективний спосіб створити "окрему точку виходу з ладу", що я, власне, і шукав.
Якщо ви закриптуєте диски з операційною системою, ви не зможете виконати навіть fsck системних розділів, коли ваша машинка гримнеться від раптового знеструмлення. Тому котлети і мухи завжди окремо :) система окремо, а ваша "бухгалтерія о продажє родіни" окремо.

З цього моменту, я веду мову про OpenBSD з ядром від виробника.
Перебирати ядро на OpenBSD - це не для "нервенних" хлопчиківв та дівчаток.
Як встановлювати ваші службові демони ftp/samba/httpdі т.і читайте документацію - ці питання тут не обговорюватимуться...

По перше, нам необхідно задіяти криптування swap-розділу.
За замовчуванням в OpenBSD swap-розділ і без того криптуєтсья. Але все ж, напишімо про всяк випадок як вмикаєтсья криптування swap-розділу.

Відредагуйте /etc/sysctl.conf
Змініть запис у файлі: #vm.swapencrypt.enable=1
на:
vm.swapencrypt.enable=1

Після наступного перезавантаження, шифрування swap-розділу буде задіяно; якщо нетерпиться негайно - будь ласка:
# sysctl vm.swapencrypt.enable=1

Припустімо, що ви маєте один чи більше порожніх дисків, і ви хочете зробити з них повністю криптовані томи.
Після того, як ви фізично приєднали диск до системи, подивіться, що вивела команда "dmesg", щоб побачити як називаєтсья ваш диск (wd1, наприклад; wd0 - це мій системний диск).
Командою
# fdisk -i wd1
ініціалізуйте диск на використання виключно вашою операційною системою - OpenBSD в нашому випадку. Далі, створімо позначку диска командою
# disklabel -E wd1
Ви побачите те ж саме запрошення, яке бачили під час установки операційної системи, тож, процедура вам вже знайома. Оскільки, ми призначаємо увесь диск на використання в OpenBSD, то нам тут нема чого змінювати: параметри команди за замовчуванням раціональні і виважені для більшості випадків життя.

Таким чином, ми маємо готовий диск, але ще без файлової системи ("не відформатований", висловлюючись по-віндозному).
Щоб створити файлову систему ("відформатувати" по-віндозному), запустімо команду
# newfs /dev/rwd1a Тут звідкись з'явилася літера "r" - це "сирий пристрій" (raw device), інакше newfs не працюватиме з диском, бо вважатиме його "блочним пристроєм" (block device).

В результаті ми матимемо одну велику файлову систему на увесь wd1 диск.
Параметри команди "newfs" за замовчуванням теж досить раціональні та виважені, але якщо ви вже такииий естет - читайте "man newfs"...

Тепер нам треба змонтувати нашу нову файлову систему у дерево файлової системи і додати запис про неї до /etc/fstab.
# mount /dev/wd1a /datacrypt/disk1 (так я називаю мої криптовані томи)

Мій /etc/fstab

# cat /etc/fstab
/dev/wd0a / ffs rw 1 1 # тут встановлено мою операційну систему.
/dev/wd1a /datacrypt/disk1 ffs rw,noatime,nodev,softdep 1 1 # перший криптований диск
/dev/wd2a /datacrypt/disk2 ffs rw,noatime,nodev,softdep 1 1 # другий криптований диск
/dev/wd3a /datacrypt/disk3 ffs rw,noatime,nodev,softdep 1 1 # третій криптований диск

Тепер нам треба створити крипто-файл на новому дискові
# touch /datacrypt/disk1/cryptfile

а потім забити його - чим попало... :)
# dd if=/dev/zero of=/datacrypt/disk1/cryptfile bs=512 count=384551416

Коли ми виконували команди "fdisk" і "disklabel", ми бачили скільки блоків (512 чи 1024-байтних) на нашому дискові. (За моїм досвідом, команда "dd" все одно спрацює, навіть якщо ви набагато перевищите значення кількості блоків у параметрі "count").

Тепер вирішімо, де у файловому дереві ми додамо нашу нову файлову систему. Мене влаштовує "/data/disk1"

Виконаймо команду "vnconfig", щоб пов'язати той самий крипто-файл "/datacrypt/disk1/cryptfile" з нашою новою точкою монтування, включаючи сюди і саме криптування.
# vnconfig -ck -v svnd0 /datacrypt/disk1/cryptfile

Тут вас попросять ввести пароль до крипто-ключа (encryption-key), введіть щось ТАКЕЕ (і таке, що ніколи не забудете! ;))

Якщо все минуло добре, ви відразу побачите розмір вашого диску:
# vnconfig -ck -v svnd0 /datacrypt/disk1/cryptfile
Encryption key:
svnd0: 314945404928 bytes on /datacrypt/disk1/cryptfile

Тепер ініціалізуймо диск і створімо нову файлову систему на закриптованому розділі:
# fdisk -i svnd0
# disklabel -E svnd0 (і знову, як і вище, робіть один великий розділ типу 4.2BSD)
# newfs /dev/rsvnd0a

Тепер можна змонтувати нашу - закриптовану - файлову систему.
# mount /dev/svnd0a /data/disk1

І ось маємо те, що маємо! /data/disk1 як і будь-який інший примонтований том, лише цей - повністю закриптований. :-)

Тепер можете налаштувати ваші демони - ftp/samba/httpd/і т.і., які дивитимуться на цей диск як на цілісний розділ, зберігатимуть тут ваші файли і т.і.; чи ви зі свого ноутбука через samba братимете файли на ознайомлення, редагування, тощо і зберігатимете їх знову тут же ж, не залишаючи нічого на ноуті...

Це такий же диск, як і будь-який інший у вашій системі, але доки ви не введете пароль до крипто-ключа при його монтуванні (під час завантаження і монтування файлових систем), він вам не відобразить нічого, що на ньому зберігається. І ніяка чарівна сила цього не зробить.

Щоб розшифрувати крипто-ключ знадобляться потужності мейнфрейма ЦРУ, і... ну не зна', можливо, до Великого Сплеску, у якому загине увесь наш Всесвіт, той мейнфрейм і впораєтсья... тримаймо за нього пальчики хрестиком... :)

Відмонтувати файлову систему, звісно ж, можна командою:
# umount /data/disk1

А "розкриптувати": :)
# vnconfig -u -v /dev/svnd0a

Щасти, юний терористе! :)
From:
Anonymous( )Anonymous This account has disabled anonymous posting.
OpenID( )OpenID You can comment on this post while signed in with an account from many other sites, once you have confirmed your email address. Sign in using OpenID.
User
Account name:
Password:
If you don't have an account you can create one now.
Subject:
HTML doesn't work in the subject.

Message:

 
Notice: This account is set to log the IP addresses of everyone who comments.
Links will be displayed as unclickable URLs to help prevent spam.

Profile

je_suis_la_vie: (Default)
je_suis_la_vie

June 2017

S M T W T F S
    123
4 5678910
11121314151617
18192021222324
252627282930 

Style Credit

Expand Cut Tags

No cut tags
Page generated Jun. 26th, 2017 07:07 am
Powered by Dreamwidth Studios