Криптография

У меня наконец-то дошли руки настроить шифрование на ноуте. Традиционно не обошлось без последствий.

Для начала я сделал полный бэкап раздела /home

dd if=/dev/md126p3 of=/media/arch/home.img bs=1G

После проверки корректности образа можно приступать к развлечению. Форматируем в шифрованный раздел.

cryptsetup luksFormat /dev/md126p3

Для ручного монтирования можно выполнить ледующие команды.

cryptsetup open /dev/md126p3 home

Эта команда создаст устройтво /dev/mapper/home. Этим устройством можно пользоваться как обычным разделом.

mkfs.ext4 /dev/mapper/home
mount /dev/mapper/home /home

Само собой эти команды можно запихать в скрипт, который вызывать при логине, но вводить пароль два раза не очень хочется. Поэтому я настроил автомонтирование через pam_mount по вот этому гайду.

После этого пришло время восстановить данные. Внезапно выяснилось, что образ, который я создал не открывается. Я решил развернуть образ на диск. На это понадобилось порядка двух часов. После этого предполагалось вытащить файлы с помощью R-Studio. Выяснилось, что он стоит 80$ и я подумал, что опять придется нарушить копирайт, но раздел распознался и я спокойно перенес все файлы.

Итоговая схема выглядит так:

  • Загружается система
  • Я ввожу логин и пароль
  • Пароль передается в библиотеку libpam.so
  • раздел расшфровывается и монтируется

Незашифрованным у меня остался только /boot и / Но там нет никаких данных.

Забавно, что текущая версия не сильно отличается от того, что я придумал пару месяцев назад.

Скорость шифрования достаточно хорошая — 1Gb/s. Все за счет аппаратной поддержки AES процессором.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *