Šifrovaný disk v Linuxu

Podobné dokumenty
Správa linuxového serveru: Šifrování s dm crypt/luks

Použití šifrovaných disků v Linuxu

Plně šifrovaný disk na moderním systému

Instalace Debianu pomocí debootstrap

Středoškolská technika Encryption Protection System

Správa linuxového serveru: Dokončení praxe šifrování s dm crypt/luks

Open Source a šifrování dat OFTE. Pavel Machula

WireGuard. nová a jednoduchá linuxová VPN. Petr Krčmář. 3. listopadu 2018

Tomáš Borland Valenta

Zálohování pro začátečníky. Ondřej Caletka

Šifrování. Tancuj tak, jako když se nikdo nedívá. Šifruj tak, jako když se dívají všichni! Martin Kotyk IT Security Consultnant

Linux CryptoFS. Petr Novický

Šifrování disků a TrueCrypt

Šifrování dat d. a komu tím prospějete? Milan Brož LinuxAlt 2009 mbroz@redhat.com. Brno

Administrace Unixu a sítí

SSH: dálková správa serveru

Správa disků (storage) v Linuxu. Milan Brož Software Engineer / Kernel Storage / Red Hat mbroz@redhat.com

Linux RAID, LVM. 27. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Šifrování disků... (nejen) v Linuxu. Milan Brož mbroz@redhat.com

Souborové systémy Mgr. Josef Horálek

konec šedesátých let vyvinut ze systému Multics původní účel systém pro zpracování textů autoři: Ken Thompson a Denis Ritchie systém pojmnoval Brian

Alpine Linux: minimalistická distribuce nejen na server

Podzim Boot možnosti

Operační systémy 1. Přednáška číslo Souborové systémy

Návod pro šifrování přenosných disků Vysoká škola polytechnická Jihlava

Výsledky bezpečnostního auditu TrueCryptu. Ing. Josef Kokeš. CryptoFest 2015

vpsfree.cz: komunitní platforma pro virtuální servery

Šifrování flash a jiných datových úložišť

Certificate Transparency

LVM2 logical volume management

Střední odborná škola a Střední odborné učiliště, Hořovice

Open Source a šifrování dat OFTE

Operační systémy 1. Přednáška číslo Struktura odkládacích zařízení

vpsfree.cz: linuxový server u neziskovky

LINUX ADRESÁŘOVÁ STRUKTURA. Co to, hrome, je? V této lekci se budeme brouzdat adresáři. SPŠ Teplice - 3.V

Operační systémy 2. Struktura odkládacích zařízení Přednáška číslo 10

Základní příručka programu Crypta 2

Šifrované souborové systémy v linuxovém jádře

FUSE Filesystem in Userspace

Hesla včera, dnes a zítra

Linux RAID, LVM. Ondřej Caletka

Úvod do OpenWRT. Ondřej Caletka. 1. března Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Architektura rodiny operačních systémů Windows NT Mgr. Josef Horálek

Zabezpečení linuxového serveru

Šifrování databáze. Popis šifrovací utility

Paměťová média. Motto dne: Z Berkeley vzešly dvě důležité věci LSD a BSD. Nevěříme, že je to náhoda.

Bezpečnost. Michal Dočekal

OpenSSL a certifikáty

Zálohování v Linuxu: která možnost je ta správná?

Linux připojování zařízení. 6 praktická část

Počítačová bezpečnost prakticky

Operační systém GNU/Linux

Práce s disky a ISO soubory

OKsmart a správa karet v systému OKbase

TC-502L. Tenký klient

Základy šifrování a kódování

Jen správně nasazené HTTPS je bezpečné

SMART KARTY V LINUXU A PROČ BY VÁS MĚLY ZAJÍMAT JAKUB JELEN, RED HAT

TC-502L TC-60xL. Tenký klient

ICZ - Sekce Bezpečnost

2.2 Acronis True Image 19

SSH nejen pro vzdálenou správu Linuxu

monolitická vrstvená virtuální počítač / stroj modulární struktura Klient server struktura

Nahrávací systém TriREC

Autentizace uživatelů

Prostředí pro výuku vývoje PCI ovladačů do operačního systému GNU/Linux

MFF UK Praha, 22. duben 2008

Uvedené dílo (s výjimkou obrázků) podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Střední odborná škola a Střední odborné učiliště, Hořovice

Instalace OS, nastavení systému

Šifrování systémového disku C: a datového disku D: ve standardním image

Pár odpovědí jsem nenašla nikde, a tak jsem je logicky odvodila, a nebo jsem ponechala odpověď z pefky, proto je možné, že někde bude chyba.

Co musíte vědět o šifrování

HTTP hlavičky pro bezpečnější web

JetFlash 220. Uživatelský manuál

Instalace Linuxu Ubuntu v programu VirtualBox

- PC musí být připojené v lokální síti - je bezpodmínečně nutné, aby aplikace Outlook nebyla aktivní)

Vývoj, výroba, prodej a montáž docházkových a identifikačních systémů. Databáze Docházky 3000 na šifrovaném disku (pro MySQL)

Souborové systémy a logická struktura dat (principy, porovnání, příklady).

Nahrávání image flash do jednotek APT81xx, PPC81xx

Práce s disky a ISO soubory

Sem vložte zadání Vaší práce.

Identifikátor materiálu: ICT-2-04

Audit bezpečnosti počítačové sítě

Co musíte vědět o šifrování

Bakalářská práce Šifrování a dešifrování souborů s využitím čipové karty

Praktické šifrování dat pomocí programu PGP

Po prvním spuštění Chrome Vás prohlížeč vyzve, aby jste zadali své přihlašovací údaje do účtu Google. Proč to udělat? Máte několik výhod:

Vytvoření bootovatelného média

Minimální požadavky na systém Linux a Windows na jednom disku Zrušení instalace Mandriva Linuxu... 23

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

Mobilita a roaming Možnosti připojení

Zabezpečení proti SQL injection

Programové vybavení OKsmart pro využití čipových karet

Generování žádosti o certifikát Uživatelská příručka

multiverze Pro Windows Vista/XP/9x/2000

Návod: 5) Zvolte na pravé straně Šifrování dat

Správa stanic a uživatelského desktopu

vpsfree.cz: komunitní platforma pro virtuální servery

Univerzita Pardubice Fakulta elektrotechniky a informatiky ISOSY Matěj Trakal

Transkript:

Šifrovaný disk v Linuxu data v bezpečí Petr Krčmář 4. března 2018 Uvedené dílo (s výjimkou obrázků) podléhá licenci Creative Commons Uveďte autora 3.0 Česko. Petr Krčmář (Root.cz, vpsfree.cz) Šifrovaný disk v Linuxu 4. března 2018 1 / 23

Prezentace už teď na webu www.petrkrcmar.cz Petr Krčmář (Root.cz, vpsfree.cz) Šifrovaný disk v Linuxu 4. března 2018 2 / 23

Vtip na úvod Pane doktore, potřebuji pomoc, trpím paranoiou! Dobře, tak my vás začneme sledovat. Petr Krčmář (Root.cz, vpsfree.cz) Šifrovaný disk v Linuxu 4. března 2018 3 / 23

Diskové šifrování je, když data jsou na disk uložena vždy v šifrované podobě pokud má software klíč, může číst i zapisovat bez znalosti klíče jen náhodný šum ochrana při odcizení, v servisu, i v běžném provozu dvě základní dělení na požádání (on demand) jednorázově zašifrovat/dešifrovat za letu (on the fly) transparentní po připojení šifrovaného svazku je možné šifrovat celé disky (interní i externí) interní oddíly jednotlivé soubory kontejnery uvnitř souborů Petr Krčmář (Root.cz, vpsfree.cz) Šifrovaný disk v Linuxu 4. března 2018 4 / 23

Není to všelék šifrování neřeší všechny bezpečnostní problémy útok na systém s připojenými disky fyzický přístup umožňuje dělat další útoky (cold boot) v některých zemích musíte vydat heslo případně Petr Krčmář (Root.cz, vpsfree.cz) Šifrovaný disk v Linuxu 4. března 2018 5 / 23

Kryptoanalýza gumovou hadicí XKCD 538, Randall Munroe, Robert Krátký, CC by-nc 2.5 Petr Krčmář (Root.cz, vpsfree.cz) Šifrovaný disk v Linuxu 4. března 2018 6 / 23

Šifrování dat nebo systému šifrování dat je velmi pohodlné klíč při přihlašování uživatele každý uživatel zvlášť šifrovaný prostor systém je ale stále napadnutelný i ve vypnutém stavu po disku se mohou potulovat dešifrovaná data (swap, /var, /tmp ) šifrování celého systému je bezpečnější komplikovanější pro inicializaci a správu dešifruje se už před bootem systému nelze sloučit s přihlášením konkrétních uživatelů zašifrována jsou opravdu všechna data nelze ovlivnit vypnutý operační systém výhodně lze ale různě kombinovat obojí Petr Krčmář (Root.cz, vpsfree.cz) Šifrovaný disk v Linuxu 4. března 2018 7 / 23

Šifrování nad soubory šifrují se jednotlivé soubory zvlášť není potřeba vytvářet kontejner/oddíl není nutné alokovat místo pro šifrovaná data adresářová struktura je zachována šifruje se obsah i název souboru pomocí pseudo-souborového systému se připojí jeden adresář se přes ovladač mapuje do druhého nešifrují se metadata (stuktura, velikosti, počty) adresáře, (hard soft)linky se zachovávají dvě různá řešení: ecryptfs a EncFS modul v jádře vs. uživatelské řešení s FUSE Petr Krčmář (Root.cz, vpsfree.cz) Šifrovaný disk v Linuxu 4. března 2018 8 / 23

Demo: šifrování s EncFs Vytvoříme šifrovaný adresář $ encfs ~/.zasifrovano/ ~/odsifrovano/ Odpojíme šifrovaný adresář $ fusermount -u ~/odsifrovano/ Vypíšeme informace $ encfsctl ~/.zasifrovano/ Změníme heslo $ encfsctl passwd ~/.zasifrovano/ Petr Krčmář (Root.cz, vpsfree.cz) Šifrovaný disk v Linuxu 4. března 2018 9 / 23

Bloková zařízení v Linuxu Linux přistupuje k úložištím jako k blokovým zařízením vše je interpretováno jako soubor na nejnižší úrovni /dev/sda jako celý disk ovladače vytvářejí další virtuální pohledy (/dev/sda1) takto možno přidávat další vrstvy (téměř) bez omezení vrstvy se stohují (stacking) nad sebou podle potřeby různé pořadí vrstev pole (RAID), LVM, šifrovací vrstva, souborový systém uživatel pak přistupuje k nejvyšší vrstvě vše se transparentně propisuje nahoru i dolů Petr Krčmář (Root.cz, vpsfree.cz) Šifrovaný disk v Linuxu 4. března 2018 10 / 23

Schématický pohled na bloky LVM oddíl LVM LVM oddíl Oddíly Fyzické zařízení Petr Krčmář (Root.cz, vpsfree.cz) Šifrovaný disk v Linuxu 4. března 2018 11 / 23

Schématický pohled na bloky LVM oddíl LVM Šifrovací vrstva LVM oddíl Oddíly Fyzické zařízení Petr Krčmář (Root.cz, vpsfree.cz) Šifrovaný disk v Linuxu 4. března 2018 12 / 23

Schématický pohled na bloky LVM oddíl LVM oddíl LVM Šifrovací vrstva Oddíly Fyzické zařízení Petr Krčmář (Root.cz, vpsfree.cz) Šifrovaný disk v Linuxu 4. března 2018 13 / 23

Schématický pohled na bloky LVM oddíl LVM LVM oddíl Oddíly Šifrovací vrstva Fyzické zařízení Petr Krčmář (Root.cz, vpsfree.cz) Šifrovaný disk v Linuxu 4. března 2018 14 / 23

Šifrování blokových zařízení funguje pod souborovým systémem přidává další mezivrstvu mezi dělení disků a souborový systém cokoliv je zapsáno do blokového zařízení, je šifrováno včetně všech metadat (počty, velikosti, práva ) pokud je zařízení odpojeno, jeví se jako náhodná data po připojení máme k dispozici dešifovaný disk na něm obvykle souborový systém (nebo LVM) pro připojení Petr Krčmář (Root.cz, vpsfree.cz) Šifrovaný disk v Linuxu 4. března 2018 15 / 23

Různá řešení Loop-AES nejstarší řešení, v jádře, pro starší systémy dm-crypt + LUKS současné řešení, v jádře, doporučováno VeraCrypt používá FUSE, hodně rozšířené mimo Linux (TrueCrypt) Petr Krčmář (Root.cz, vpsfree.cz) Šifrovaný disk v Linuxu 4. března 2018 16 / 23

Standardní linuxové řešení device mapper rozhraní pro stohování blokových zařízení standardní způsob: blok DM modifikace blok uživatelský prostor využívá libdevmapper.so ze shellových skriptů možno použít dmsetup virtuální zařízení pak v /dev/mapper/ používá ho LVM, RAID, dm-crypt, TrueCrypt a další Petr Krčmář (Root.cz, vpsfree.cz) Šifrovaný disk v Linuxu 4. března 2018 17 / 23

dm-crypt dm-crypt šifrovací subsystém od jádra 2.6 (2003) technicky je to jeden z cílů pro device mapper používá standardní jaderné Crypto API pro šifrování bloků nízkoúrovňový nástroj, sám nespravuje klíče při připojování vždy nastavíte, co se má čím šifrovat neumí některé kryptografické funkce (třeba sůl) utility cryptsetup a cryptmount lze použít na disk, oddíl, LVM, RAID, soubor Petr Krčmář (Root.cz, vpsfree.cz) Šifrovaný disk v Linuxu 4. března 2018 18 / 23

LUKS LUKS Linux Unified Key Setup rozšíření dm-crypt std. a dokumentovaná správa klíčů existuje od roku 2004 žádná hurá novinka spojení dm-crypt/luks je standardním linuxovým řešením přístup pomocí hesla nebo souboru s klíčem klíč může být v hlavičce vícekrát, šifrován různými hesly více uživatelů s různými hesly, možnost hesla měnit používá se utilita cryptsetup původně jen pro dm-crypt, později rozšířen o LUKS a další: LUKS plain (čistý dm-crypt) loop-aes TrueCrypt (včetně rozšíření z VeraCrypt) Petr Krčmář (Root.cz, vpsfree.cz) Šifrovaný disk v Linuxu 4. března 2018 19 / 23

Demo: šifrování s LUKS Vytvoříme šifrovaný svazek # cryptsetup -y -v luksformat /dev/sdb Připojíme šifrovaný svazek # cryptsetup luksopen /dev/sdb bezpecny # ls -l /dev/mapper/bezpecny Vypíšeme informace # cryptsetup -v status bezpecny Vytvoříme souborový systém # mkfs.ext4 /dev/mapper/bezpecny # mount /dev/mapper/bezpecny /mnt/data/ Odpojíme, zavřeme # umount /mnt/data/ # cryptsetup luksclose bezpecny Petr Krčmář (Root.cz, vpsfree.cz) Šifrovaný disk v Linuxu 4. března 2018 20 / 23

Boot ze šifrovaného disku lze zašifrovat i systémový oddíl / oddíl s obsahem /boot ale musí být nešifrovaný Grub odtud natáhne jádro a init ramdisk v ramdisku potřebné skripty, moduly a utility zeptá se na heslo, připojí root a spustí init stále možnost kompromitace nešifrované části (evil maid) /boot je možné mít i jinde třeba na flash disku distribuce na to bývají připravené (skripty pro mkinitramfs) podporu šifrovaného systémového disku obvykle stačí zapnout Alpine Linux na to má podrobný návod Petr Krčmář (Root.cz, vpsfree.cz) Šifrovaný disk v Linuxu 4. března 2018 21 / 23

Co se taky dá dělat firemní počítač s Windows NTFS bootovací flash disk s jádrem a initramfs na NFTS velký soubor šifrovaný LUKS v něm LVM se všemi oddíly systém i data bezpečný dualboot v nepřátelském prostředí Petr Krčmář (Root.cz, vpsfree.cz) Šifrovaný disk v Linuxu 4. března 2018 22 / 23

Otázky? Otázky? Petr Krčmář (petr.krcmar@iinfo.cz) Petr Krčmář (Root.cz, vpsfree.cz) Šifrovaný disk v Linuxu 4. března 2018 23 / 23

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář