Správa linuxového serveru: Šifrování s dm crypt/luks



Podobné dokumenty
Šifrovaný disk v Linuxu

Použití šifrovaných disků v Linuxu

Šifrování disků a TrueCrypt

Šifrování flash a jiných datových úložišť

Správa linuxového serveru: Dokončení praxe šifrování s dm crypt/luks

Výsledky bezpečnostního auditu TrueCryptu. Ing. Josef Kokeš. CryptoFest 2015

Open Source a šifrování dat OFTE. Pavel Machula

Linux RAID, LVM. 27. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Plně šifrovaný disk na moderním systému

Střední úložiště. Uživatelská dokumentace Zřízení přístupu

Středoškolská technika Encryption Protection System

Podzim Boot možnosti

ICZ - Sekce Bezpečnost

Základy šifrování a kódování

Informatika / bezpečnost

TSM for Virtual Environments Data Protection for VMware v6.3. Ondřej Bláha CEE+R Tivoli Storage Team Leader. TSM architektura IBM Corporation

Acronis. Lukáš Valenta

Šifrování disků... (nejen) v Linuxu. Milan Brož mbroz@redhat.com

Instalace OS, nastavení systému

Linux RAID, LVM. Ondřej Caletka

Střední odborná škola a Střední odborné učiliště, Hořovice

LINUX ADRESÁŘOVÁ STRUKTURA. Co to, hrome, je? V této lekci se budeme brouzdat adresáři. SPŠ Teplice - 3.V

Metody zabezpečeného přenosu souborů

Identifikátor materiálu: ICT-2-04

Šifrování. Tancuj tak, jako když se nikdo nedívá. Šifruj tak, jako když se dívají všichni! Martin Kotyk IT Security Consultnant

IMPLEMENTACE OPERAČNÍHO SYSTÉMU LINUX DO VÝUKY INFORMAČNÍCH TECHNOLOGIÍ

Souborové systémy Mgr. Josef Horálek

Bezpečnost. Michal Dočekal

SODATSW Case Study 2009 Nasazení řešení Datový trezor ve společnosti CETELEM, a.s.

Michaela Sluková, Lenka Ščepánková

Zálohování pro začátečníky. Ondřej Caletka

LINUX - INSTALACE & KONFIGURACE

Počítačová bezpečnost prakticky

TECHNICKÁ SPECIFIKACE

Provozní řád zálohování virtuální infrastrukury

Přednáška 10. X Window. Secure shell. Úvod do Operačních Systémů Přednáška 10

Zálohování v Linuxu: která možnost je ta správná?

Šifrování systémového disku C: a datového disku D: ve standardním image

Bezpečnost SingleCase

Úvod do Linuxu SŠSI Tábor 1

BM Software, Databáze Docházky 3000 na NAS serveru (pro MySQL) Němčičky 84, Němčičky u Břeclavi. Úvodní informace:

Uživatelská příručka

SSL Secure Sockets Layer

Zabezpečení v síti IP

Jednotlivé hovory lze ukládat nekomprimované ve formátu wav. Dále pak lze ukládat hovory ve formátu mp3 s libovolným bitrate a také jako text.

2.2 Acronis True Image 19

Cloud Slovník pojmů. J. Vrzal, verze 0.9

Správa disků (storage) v Linuxu. Milan Brož Software Engineer / Kernel Storage / Red Hat mbroz@redhat.com

Moderní metody substitučního šifrování

Open Source a šifrování dat OFTE

Před instalací 25 Minimální požadavky na systém Linux a Windows na jednom disku Zrušení instalace Mandriva Linuxu...

Slovník pro Acronis True Image 2017

Operační systémy 1. Přednáška číslo Struktura odkládacích zařízení

úvod Historie operačních systémů

Operační systémy 2. Struktura odkládacích zařízení Přednáška číslo 10

Efektivní ochrana dat ve virtualizovaném prostředí. Marek Bradáč

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

OPERAČNÍ SYSTÉMY. Operační systém je prostředník mezi hardwarem (technickým vybavením počítače) a určitým programem, který uživatel používá.

Minimální požadavky na systém Linux a Windows na jednom disku Zrušení instalace Mandriva Linuxu... 23

Vmware / XEN / Hyper-V. DR Lokalita. Full repliky. Snapshoty

Administrace Unixu a sítí

MARIE PACS S PACSem hezky od podlahy když se data sypou!

Šifrování databáze. Popis šifrovací utility

Data Protection Delivery Center, s. r. o. JEDNODUCHOST, SPOLEHLIVOST a VÝKONNOST. DPDC Protection. zálohování dat

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

Praktické šifrování dat pomocí programu PGP

IMPLEMENTACE OPERAČNÍHO SYSTÉMU LINUX DO VÝUKY INFORMAČNÍCH TECHNOLOGIÍ

Když si musíte být jistí. Bezpečné sdílení. dokumentů. 5 způsobů, jak mohou advokáti předejít rizikům při sdílení. dokumentů

Systém zabezpečení dat

Téma 1: Práce s Desktop. Téma 1: Práce s Desktop

1 Správce licencí Správce licencí Správce licencí Start > Všechny programy > IDEA StatiCa > Správce licencí Soubor > Správce licencí Licence

Autentizace uživatelů


Operační systémy 1. Přednáška číslo Souborové systémy

PŘÍKAZOVÝ ŘÁDEK ZÍSKÁVÁNÍ NÁPOVĚDY

OKsmart a správa karet v systému OKbase

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Virtualizace síťových prvků

Vývoj, výroba, prodej a montáž docházkových a identifikačních systémů. Databáze Docházky 3000 na šifrovaném disku (pro MySQL)

Antonín Přibyl - Virtualizace Windows serveru s KVM hypervisorem

MINIMÁLNÍ POŽADAVKY NA KRYPTOGRAFICKÉ ALGORITMY. doporučení v oblasti kryptografických prostředků

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

INSTALACE SW V GNU/LINUXU

Mobilní aplikace BABEL Šifrované SMS

Datová úložiště CESNET. David Antoš

Správa softwaru v GNU/Linuxu. Michal Dočekal

Tomáš Borland Valenta

QNAP TS-409 a QNAP TS-409 Pro. Jak použít funkci Online RAID Capacity Expansion a RAID Level Migration

CHARAKTERISTIKA VEŘEJNÉ ZAKÁZKY

Část 1. Technická specifikace. Posílení ochrany demokratické společnosti proti terorismu a extremismu

ŠIFROVÁNÍ, EL. PODPIS. Kryptografie Elektronický podpis Datové schránky

Informatika základní pojmy

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

Administrační rozhraní Drupalu

Stručná instalační příručka SUSE Linux Enterprise Server 11

Secure Shell. X Window.

IPZ laboratoře Struktura pevného disku L305 Cvičení 1 Cvičící:

ODEMČENÉ DVEŘE PRŮZKUM UKAZUJE, ŽE TISKÁRNY ČASTO BÝVAJÍ NEZABEZPEČENÉ PROTI KYBERNETICKÝM ÚTOKŮM

ISSS Mgr. Pavel Hejl, CSc. T- SOFT spol. s r.o.

Zálohování v MS Windows 10

Transkript:

Home» Články» Praxe» Správa linuxového serveru» Správa linuxového serveru: Šifrování s... Předchozí kapitola Zpět na obsah Následující kapitola Správa linuxového serveru: Šifrování s dm crypt/luks Ve třetím díle jsem nakousl teorii diskového šifrování. Dnes na toto téma navážu a podívám se na šifrování trošku blíže. Čtvrtek, 8. duben 2010 Autor Michal Dočekal Zopakujte si: LVM a diskové šifrování Co lze šifrovat a proč Pomocí dm crypt/luks lze šifrovat jakékoliv blokové zařízení, tzn. diskový oddíl, celý pevný disk, diskové pole (RAID), logický svazek v rámci LVM, atd. Připomínám, že i když se to na první pohled možná nezdá, šifrování jako takové nelze považovat za spolehlivý nástroj pro zajištění bezpečnosti dat před případným útočníkem s fyzickým přístupem k serveru. Nemůže tedy nahradit strážného, který hlídá přístup do serverovny. Důvody jsem popsal již dříve. Může nicméně pomoci ochránit data při likvidaci nebo reklamaci pevných disků, může pomoci zabránit úniku SSH klíčů nebo jiných citlivých údajů ze zcizených laptopů administrátorů, apod. Jelikož se v současné době začínají masivně rozrůstat možnosti virtualizace, je nutné uvažovat o bezpečnosti takových řešení, a naprosté zbytečnosti šifrování jako ochrany před poskytovatelem virtuálního serveru, jelikož šifrovací klíče jsou uloženy v paměti, a do paměti má obvykle správce virtuálního serveru přístup. Budete li tedy uvažovat o nasazení šifrování, uvažte pečlivě, jaká data chcete chránit a před kým. Následně 1/5

zauvažujte, zda li má šifrování v daném scénáři smysl, a pokud ano, tak jak velký. Jelikož má šifrování negativní dopad na výkon i na případnou záchranu dat z poškozeného pole nebo disku, je třeba pečlivě zvážit, zda li šifrování nasadíte a kam. Co šifrovat Aby mělo použití šifrování smysl, je třeba zajistit, aby na discích nezůstalo nic z chráněných dat v nešifrované podobě. Proto je každopádně třeba začít se šifrováním swapu. Dále je třeba kromě samotných úložišť citlivých dat zabezpečit i všechna místa, kam by se data mohla dostat. Typicky je to adresář /tmp, pro který bývá dobré využívat buď tmpfsnebo samostatný šifrovaný oddíl. V některých specifických případech to může být kromě obvyklého /homei adresář /var, /srvči jiné umístění. Šifrovat lze samozřejmě jak selektivně (tj. jen to důležité), tak téměř úplně všechno včetně celého systému s výjimkou zavaděče, obrazu jádra a initrd. V prvním případě je nutné dát si pozor na "prosakování" chráněných dat mimo šifrované svazky, ve druhém případě obvykle vznikne problém se zaváděním systému, během kterého bude třeba nějakým způsobem zadat heslo, což třeba u serveru, který je umístěn v nějakém datacentru, a ke kterému přistupujete vzdáleně, působí jistý problém. Ten je možné řešit pomocí malého ssh démona v initrd (třeba dropbear ), který se spustí a umožní správci přihlásit se a zadat heslo vzdáleně. Návod pro toto řešení v rámci distribuce Debian naleznete v článku na debian administration.org. Výběr šifry a šifrovacího módu Před samotným nasazením šifrování je třeba připomenout problematiku šifrovacích algoritmů a šifrovacích módů. V zásadě, šifrovací algoritmus byste měli vybírat nejlépe z finalistů AES. Starším šifrám jako DES či Blowfish se doporučuji vyhnout. Se samotným výběrem vám neporadím, jen podotknu, že nejrychlejší implementací je samotný AES/Rijndael, v závěsu za ním pak Serpent a Twofish. Jejich bezpečnost by měla být velmi podobná. Pro diskové šifrování je klíčový výběr vhodného šifrovacího módu. Je totiž nutné šifrovat ohromné kvantum dat, která mají ovšem předvídatelnou strukturu (souborový systém, superblok, atd.), což může případnému útočníkovi usnadnit kryptoanalýzu, i když je samotný šifrovací algoritmus bezpečný. Pro diskové šifrování dnes přichází v úvahu především mód XTS. LRW je vzhledem k jeho objevené zranitelnosti nutné zavrhnout. Pro systémy se staršími jádry, které ještě nemají podporu pro mód XTS, je vhodné použít mód cbc essiv (nikoliv však samotné cbc!). Řada distribucí nabízí v rámci instalátoru možnost postavit šifrovaný systém. Bohužel, tato možnost obvykle neumožňuje precizní nastavení šifrovacího algoritmu a šifrovacího módu, a mnohde bývají výchozí hodnoty nastavené patrně ve snaze zachovat kompatibilitu příliš konzervativně (což je i případ Debianu), tudíž není zvolen výchozí mód XTS, ale třeba cbc essiv. V takových případech je tedy vhodnější postavit šifrovaný systém ručně, neboť šifrovací mód na existujícím šifrovaném svazku měnit nelze. Alternativy pro šifrování v GNU/Linuxu Pro diskové šifrování v GNU/Linuxu je ideální používat dm crypt/luks, nicméně v oblasti šifrování to není jediný prostředek, který mají uživatelé k dispozici. Představím vám několik alternativ, ať už pro diskové šifrování, tak pro šifrování obecně. 2/5

dm crypt Asi nejjednodušší alternativou dm crypt/luks je dm crypt jako takový. Jeho asi jedinou výhodou (chcete li se na to tak dívat) oproti jeho kombinaci s LUKSem je absence hlavičky, která dané blokové zařízení nezaměnitelně označí jako šifrované. Oproti LUKS nadstavbě má však řadu citelných nevýhod, počínaje nutností celý oddíl přešifrovat při změně hesla přes nemožnost použít více než jedno heslo až po absenci posílení hesla metodou PBKDF2. Truecrypt Nejvíce zmiňovanou alternativou pro dm crypt/luks je Truecrypt, zejména kvůli přenositelnosti šifrovaných kontejnerů mezi GNU/Linuxem a MS Windows. V dnešní době je Truecrypt schopen využívat přímo linuxové CryptoAPI a vytváří přímo blokové zařízení prostřednictvím Device Mapperu, což jej řadí blízko k dm cryptu a LUKS. Samotný Truecrypt nabízí uživatelům pěkné grafické rozhraní, stejně jako možnost jej ovládat přes příkazový řádek. Jeho výhodou oproti dm crypt/luks jsou skryté svazky uvnitř šifrovaného svazku a s tím související "plausible deniability" aneb možnost "hodnověrného popření" skryté svazky využívají steganografii, měly by tudíž být neviditelné, pokud připojíte pouze samotný šifrovaný svazek (a nikoliv skrytý svazek v něm ukrytý). V Truecryptu pro GNU/Linux je tato funkcionalita podporována, ale pouze s použitím souborového systému FAT, což může být o něco "nápadnější" než v případě MS Windows. Obzvláště pak, když Truecrypt jinak bez problémů umožňuje vytvářet kontejnery s Ext2/Ext3. Je nutné dodat, že licence Truecryptu je mnohými distribucemi (Debian, Fedora a další) považována za nesvobodnou a mj. pro distributory potenciálně problematickou. Proto třeba nenajdete Truecrypt v oficiálních repositářích Debianu. encfs Další alternativou je encfs(web projektu ) využívající FUSE. Jeho výhodou i nevýhodou zároveň (záleží na úhlu pohledu) je funkce "nad" existujícím souborovým systémem, nikoliv "pod" ním jako v případě ostatních zmíněných řešení. Šifrují se tedy přímo vlastní data, včetně názvů souborů a adresářů. Potenciálním problémem je zachování metadat (velikost souboru, datum vytvoření a poslední modifikace, atd.) pro 3/5

případného útočníka. To sice nemá přímý bezpečnostní dopad ve smyslu usnadnění kryptoanalýzy, ale může to v některém případě odhalit jisté informace, které by nebyly k dispozici, kdyby byl zašifrovaný celý souborový systém. Encfs se však výborně hodí pro různé síťové disky a podobné online služby, kde příslušná data nemáte pod kontrolou a nevíte, kdo má k nim přístup. Jistě, je možné použít šifrovaný kontejner, ale to nemusí být zcela efektivní z hlediska využitého prostoru, který je v rámci daných služeb obvykle velmi omezený. GnuPG GnuPG je běžnou součástí distribucí a umožňuje jak šifrování souborů asymetrickým klíčem, tak šifrování běžnou, blokovou šifrou. Pomocí GnuPG lze tedy snadno zašifrovat nějaký soubor buď k přenosu přes nezabezpečenou síť nebo pro uložení na nějaké médium či síťový disk. GnuPG využívá, kupříkladu, zálohovací nástroj Duplicity, který umožňuje vytvářet na místním či vzdáleném úložišti šifrované zálohy. Jak poskládat RAID, LVM a dm crypt/luks? Na závěr tohoto dílu navážu na předchozí tři díly, které se věnovaly LVM. Pokud se podíváme na možnosti uložení, zabezpečení a organizace dat, máme bloková zařízení (pevné disky), z těch můžeme vytvářet disková pole, z disků i diskových polí pak můžeme vytvářet skupiny svazků a logické svazky, přičemž šifrovat můžeme v podstatě kdekoliv. Základ v každém případě tvoří pevné disky nebo disková pole. U serverů je velmi vhodné použít diskové pole s redundancí k zajištění jisté odolnosti vůči výpadku. V případě většího množství disků, kde je velmi vhodné použít různé disky od různých výrobců, je možné použít RAID 10 (RAID 0 na jednotlivých párech zrcadlených disků). RAID 10 nebo 01 dosahuje optimálního kompromisu mezi výkonem a redundancí, ale potřebuje minimálně 4 disky. LVM je velmi vhodné provozovat z hlediska bezpečnosti dat nad diskovým polem s redundancí a používat jej spíše jen k rozdělení dostupného prostoru do logických svazků, snapshotům, apod. dm crypt/luks je ideální umístit buď mezi diskové pole a LVM nebo nad LVM (šifrovat logický svazek). Přidáním dalšího disku nebo disků lze pak postupně krok za krokem dostupný prostor rozšířit (dmcrypt/luks podporuje operaci resizea u LVM to zvládne pvresize). Šifrovat lze samozřejmě i pod softwarovým RAIDem, což bývá i doporučeno, jsou li pevné disky příliš velké (příliš mnoho dat šifrovaných jedním postupem usnadňuje případnou kryptoanalýzu). Nutnost "odemknout" více zařízení může vyřešit malý šifrovaný oddíl na jednom z disků, který obsahuje klíče k "odemčení" zbylých disků v poli. Co se týče ostatních kombinací, provozovat softwarový RAID nad LVM je sice možné, ale naprosto nesmyslné a potenciálně problémové, a provozovat LVM bez RAIDu na více discích je nevhodné stoupá pravděpodobnost selhání jednoho z disků a selhání kteréhokoliv z disků znamená ztrátu dat. Pokud byste používali zrcadlení v rámci LVM, je podle mého lepší využít rovnou softwarový nebo hardwarový RAID. Tím bych tento díl ukončil. Příště už proberu dm crypt/luks z ryze praktického hlediska. Předchozí kapitola Zpět na obsah Následující kapitola 4/5

Odkazy Pokud si chcete přečíst více o této problematice, navštivte tyto odkazy: Wikipedia: Disk encryption theory Linux unified key setup (LUKS) Dm crypt Přidat názor Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích najdete v nápovědě. Diskuzi můžete sledovat pomocí RSS kanálu 5/5

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář