Implementing LUKS Disk Encryption/ru

= Глава 4.1 - LUKS (Linux Unified Key Setup on-disk format) =

Введение в LUKS
LUKS позволяет шифровать разделы дисков на компьютере работающем под управлением Linux. Это становиться особенно важным, когда дело касается портативных компьютеров и сменных носителей информации. LUKS делает возможным расшифровку главного ключа, с помощью которого осуществляется массовое шифрование данных в разделе диска, любым из множества пользовательских ключей.

Реализация LUKS в Fedora
Fedora 9 и более поздние её версии используют LUKS для выполнения шифрования дисковых разделов. Возможность создания зашифрованного раздела предоставляется еще при установке операционной системы. Система попросит вас задать пароль, который в последующем надо будет вводить при загрузке Fedora, чтобы извлечь ключ массового шифрования для этого раздела. Если вы решите изменить разбиение диска предлагаемое по умолчанию, то сможете выбрать какие именно разделы вы хотите зашифровать.

По умолчанию реализация LUKS в Fedora 9 использует шифрование AES-128 с хешированием SHA-256. Доступны также следующие алгоритмы шифрования:


 * aes — Advanced Encryption Standard — FIPS PUB 197
 * twofish — TwoFish — 128-битный блочный шифр
 * serpent — Serpent
 * cast5 — RFC 2144
 * cast6 — RFC 2612

Шифрование домашних каталогов пользователей
Описываемая ниже процедура включает в себя изменение настроек и форматирование раздела хранящего домашние каталоги пользователей. Шифрование всего раздела  имеет смысл лишь на компьютере, которым пользуется один человек или несколько доверенных пользователей.

До начала операций убедитесь в надежности созданной копии раздела, так как вся содержащаяся в нем информация будет уничтожена. Все указанные здесь действия должны выполняться с правами администратора. При неудачном завершении любого из действий нельзя переходить к выполнению последующего. И, конечно же, ваш каталог  должен располагаться в отдельном разделе диска (в рассматриваемом нами примере это будет  ).

Пошаговое руководство

 * 1) Перейдите на уровень исполнения 1:
 * 2) Размонтируйте раздел  :
 * 3) Если размонтировать раздел не удалось, используйте команду   чтобы найти и завершить все процессы, которые работают с файловой системой раздела:
 * 4) Удостоверьтесь в том, что файловая система теперь размонтирована:
 * 5) Заполните содержимое раздела случайными данными:


 * 1) Выполните инициализацию раздела:
 * 2) Откройте зашифрованный раздел:
 * 3) Убедитесь в том, что раздел был открыт:
 * 4) Создайте файловую систему:
 * 5) Смонтируйте раздел:
 * 6) Проверьте результаты предыдущих операций:
 * 7) Добавьте в   такую строчку:
 * 8) Отредактируйте файл   заменив запись для раздела   на следующую:
 * 9) Проверьте работоспособность новой конфигурации:
 * 10) Восстановите заданный по умолчанию контекст безопасности SELinux:
 * 11) Перезагрузите систему:
 * 12) Теперь, после внесения в файл   записи о созданном зашифрованном диске, при загрузке система будет запрашивать у вас пароль для LUKS.
 * 13) Войдите в систему как администратор и восстановите содержимое каталога.

Теперь все пользовательские данные находятся на зашифрованном диске и вы можете быть спокойны за их сохранность, когда компьютер выключен.

Дополнительная информация

 * LUKS - Linux Unified Key Setup
 * HOWTO: Creating an encrypted Physical Volume (PV) using a second hard drive, pvmove, and a Fedora LiveCD

{| border="1"
 * 4. Шифрование || Содержание || 4.2 GnuPG (GPG); шифрование и формирование ЭЦП
 * 4. Шифрование || Содержание || 4.2 GnuPG (GPG); шифрование и формирование ЭЦП