点评:我们可以不时看到这个头条新闻:一家
公司失去了3000万个客户的个人社会保障代码,以及其他个人敏感信息和财务数据。我们不应该生气吗通常是承包商(注意为什么它不是雇员)。所有这些信息都存储在他的
笔记本上,有千兆位
硬盘。
有时,我们可以看到这个头条新闻:一家公司失去了3000万个客户的个人社会保障代码,以及其他个人敏感信息和财务数据。我们不应该生气吗通常,承包商(注:为什么从来没有雇员)在他(似乎是)用硬盘笔记本千兆位存储所有信息,然后这个笔记本丢失或被盗,但没有人知道确切的时间和地点。或者,供应商负责运输一大盒备份磁带。显然,供应商是太穷了,还有防盗锁的汽车也买不起,对我来说,这些解释是荒谬的,甚至荒谬的,承包商怎么能首先得到所有的敏感数据呢为什么他们必须把所有的数据都放在笔记本上为什么买不起高安全车的人带着一大盒敏感信息备份磁带他们如何知道哪些数据丢失了,他们如何知道这些数据是加密的,还是他们是否受到了适当的
保护 有相当一部分是不能解答的问题。本文的主题是如何使用加密
文件系统来保护硬盘中的敏感数据。该方案提供给移动
用户和那些需要保护数据安全的
服务器和
工作站的人。我们将使用简单的和强大的cryptsetup-luks.we将
创建一个加密分区,仅提供一个
密码,当它被加载,那么你可以使用像其他分区的分区。
Debian、Ubuntu和Fedora,可以使用cryptsetup-luks.you不需要
修改内核或别的什么;你只需要
安装它。
在Debian和Ubuntu系列:
#
智能安装cryptsetup
在Fedora:
# yum安装cryptsetup陆氏
准备好系统
不幸的是,cryptsetup不能在你的系统中存在的数据进行加密,所以你必须创建加密分区,然后数据
传输到新的分区,方便
管理(GParted分区GnomePartitionEditor),和所有主流Linux版本的GParted。你可以用它来
调整分区大小,移动,
删除,或创建分区,你可以选择你喜欢的文件系统格式,它可以
支持所有的分区
类型、文件系统由系统内核支持的,所以如果你已经在你的机器上的两个系统,你甚至可以在Windows分区使用这个
工具,如果它是一个新的硬盘分区,你可以使用Gparted Live CD。
在这篇文章中,我们只探讨如何加密数据分区。我也知道很多
方法可以给其他文件系统的分区,
保存那些潜在的敏感信息加密,如无功 /等,但两者是非常复杂和棘手,加密在开机的时候他们不能。所以,我只讨论比较成熟的人,因为根据我自己的测试,其他的方法
都是不稳定的工作。
与文件系统的分区格式无关。所有东西都可以重写,加密后文件格式也会变。
您将使用密码来保护您的加密分区。如果您丢失了密码,那就太糟糕了,无法将数据返回。
分区加密
一个新的空白分区,你可以对它进行加密与cryptsetup
命令。要确保分区加密来保护:
cryptsetup
详细验证密码C AES CBC平原luksformat # / dev / SDA2
小心!
这将不可逆地重写数据上的/ dev / SDA2。
您确定(键入大写字母是):是的
进入公司的密码:
验证密码:
命令成功。
上面的命令创建一个加密的分区。现在我们需要创建一个逻辑分区,可以加载和
名字。在这种
情况下,我们叫它SDA2,你也可以叫它测试,弗莱德,我的秘密分区,或任何你喜欢的名字:
cryptsetup luksopen / dev / SDA2 SDA2 #
进入公司的密码:
钥匙槽0解锁。
命令成功。
下面的命令将
显示隐藏
路径中的隐藏器:
$ ls - l /映射器
总0
CRW RW ---- 1根10, 63 2007-06-09在38
控制 BRW RW ---- 1根盘在254, 0 2007-06-09 19:46 SDA2
现在把文件系统放在逻辑分区上:
# mkfs.ext3 / dev /制图/ SDA2
你需要做一个加载点,这样你就可以加载和使用新的加密分区。记住,你必须使用这个设备:
$ mkdir / / /加密我的家
#安装 / dev /制图/安装/家/我/加密
确保加载并编写测试文件:
#东风H
{…}
文件系统大小使用%挂载
/ dev /制图/ SDA2 7.9g 152m 7.3g 3% / / /加密家卡拉
# CD /家/我/加密
#纳米测试
# LS
失落的
发现试验
让用户使用它
到目前为止一切顺利!But there's one big problem: only local access to the partition.We have to allow ordinary users to use it, too.You can manage this virtual partition in /etc/fstab, just like managing other partitions.Add a line to /etc/fstab to allow users without special privileges to load or uninstall the partition:
/ dev /制图/ / /卡拉SDA2家 /加密的ext3用户,一时间,noauto,RW,dev,exec,猪00
因此,卡拉可以自己加载这个分区:
山~美元/加密
但是卡拉仍然无法向它写入数据。因此,我们需要再次
设置本地权限,使
正确的权限和许可方能够像已经加载的隐藏设备一样:
# chown卡拉:卡拉 / / /家卡拉加密 /
# chmod 0700 /家/卡拉 / /加密
嗯,很多人可以像Carlas!但我们需要让卡拉读写加密文件夹,让其他人不读和写这些文件夹。
您可以
卸载并手动
关闭加密分区:
卸载加密美元
# cryptsetup luksclose SDA2
只有当加密装置打开,你需要进入公司的密码。请记住,如果你失去了你的密码,你就完了。你可以删除分区
恢复,但数据无法恢复,当你打开加密装置和加载它,你可以使用它像其他分区。
你必须
运行cryptsetup本地权限。这可能不是很方便。我们也有很多的方法去
解决这个问题。其中一个是sudo使用;Ubuntu用户有一个现成的-是-全
功能的sudo。另一个办法是将它打开时,系统
启动和关闭时系统是关闭的,或者你也可能想创造一些
桌面图标,用户可以启动并根据需要随时关闭。