openSUSE 12.1: Глава 10. Шифрование файлов и разделов

Глава 10. Шифрование файлов и разделов¶

Содержание

10.1. Создание зашифрованной файловой системы при помощи YaST
10.2. Использование зашифрованных домашних директорий
10.3. Использование vi для шифрования отдельных текстовых ASCII файлов

Большинство пользователей имеет на своих компьютерах конфиденциальные данные, доступ к которым должен быть закрыт для третьих лиц. Чем больше Вы полагаетесь на переносные компьютеры и работу в различном окружении и разных сетях, тем более осторожным Вам следует быть со своими данными. При наличии сетевого или физического доступа к Вашей системе посторонних лиц рекомендуется шифровать файлы или целые дисковые разделы. Ноутбуки или носители информации, такие как внешние жесткие диски или USB-накопители, могут быть потеряны или украдены. Поэтому рекомендуется шифровать часть файловой системы, хранящую конфиденциальные данные.

Существует несколько способов защиты данных при помощи шифрования:

Шифрование раздела жесткого диска: Вы можете создать зашифрованный раздел во время инсталляции или на уже установленной системе при помощи YaST. Более подробная информация содержится в Раздел 10.1.1, «Создание зашифрованного раздела во время инсталляции» и Раздел 10.1.2, «Создание зашифрованного раздела на работающей системе». Этот же способ может быть использован для сменных накопителей, таких как внешние жесткие диски, как описано в Раздел 10.1.4, «Шифрование содержимого съемных носителей».
Создание зашифрованного файла в качестве контейнера: Вы можете создать зашифрованный файл на своем жестком диске или сменном накопителе при помощи YaST. Этот файл может быть использован для того, чтобы хранить другие файлы и каталоги. За дополнительной информацией обратитесь к Раздел 10.1.3, «Создание зашифрованного файла в качестве контейнера».
Шифрование домашних каталогов: С помощью openSUSE Вы также можете создавать зашифрованные домашние директории пользователей. Когда пользователь входит в систему, зашифрованная домашняя директория монтируется, и ее содержимое становится доступно пользователю. За подробной информацией обратитесь к Раздел 10.2, «Использование зашифрованных домашних директорий»
Шифрование отдельных текстовых файлов ASCII: Если вся Ваша конфиденциальная информация хранится в нескольких текстовых файлах ASCII, Вы можете зашифровать их отдельно и защитить паролем используя Kgpg или редактор vi. За дальнейшей информацией обратитесь к Раздел 10.3, «Использование vi для шифрования отдельных текстовых ASCII файлов» .

	Зашифрованный носитель предлагает ограниченную защиту
Описанные в этой главе методы предлагают только ограниченную защиту. Вы не можете защитить запущенную систему от взлома. После того, как зашифрованный носитель был благополучно смонтирован, любой пользователь с соответствующими привилегиями будет иметь к нему доступ. Однако зашифрованный носитель будет полезен в случае потери или кражи Вашего компьютера или для предотвращения чтения Ваших конфиденциальных данных третьими лицами.

Зашифрованный носитель предлагает ограниченную защиту

Описанные в этой главе методы предлагают только ограниченную защиту. Вы не можете защитить запущенную систему от взлома. После того, как зашифрованный носитель был благополучно смонтирован, любой пользователь с соответствующими привилегиями будет иметь к нему доступ. Однако зашифрованный носитель будет полезен в случае потери или кражи Вашего компьютера или для предотвращения чтения Ваших конфиденциальных данных третьими лицами.

10.1. Создание зашифрованной файловой системы при помощи YaST¶

YaST можно использовать для шифрования разделов или частей Вашей файловой системы как во время инсталляции, так и на уже установленной системе. Однако шифрование раздела уже установленной системы более трудоемко, поскольку оно требует внесения изменений в таблицу разделов. В этом случае более целесообразным может быть создание зашифрованного файла фиксированного размера, который будет использован для хранения других файлов или частей Вашей файловой системы. Чтобы зашифровать целый раздел, выделите в таблице разделов раздел для шифрования. Разметка, предлагаемая YaST по умолчанию, не содержит зашифрованых разделов. Добавьте их вручную в диалоге разметки диска.

10.1.1. Создание зашифрованного раздела во время инсталляции¶

	Вввод пароля
Убедитесь, что Вы хорошо запомнили пароль для зашифрованного раздела. Без этого пароля Вы не сможете ни получить доступ, ни восстановить зашифрованные данные.

Диалог YaST Разметка предоставляет возможность создания зашифрованного раздела. Чтобы создать новый зашифрованный раздел:

Запустите модуль YaST Разметка Компьютер+Система+Разметка.
Выберите жесткий диск, нажмите Добавить и выберите первичный или расширеный раздел.
Выберите размер раздела или область для использования на диске.
Выберите тип файловой системы и точку монтирования раздела.

Отметьте Шифровать устройство.

	Требуется дополнительное программное обеспечение
После выбора Шифровать устройство, возможно появление всплывающего окна, запрашивающего установку дополнительного програмного обеспечения. Подтвердите установку всех требуемых пакетов если хотите, чтобы зашифрованный раздел был работоспособен.

Требуется дополнительное программное обеспечение

После выбора Шифровать устройство, возможно появление всплывающего окна, запрашивающего установку дополнительного програмного обеспечения. Подтвердите установку всех требуемых пакетов если хотите, чтобы зашифрованный раздел был работоспособен.

Нажмите Далее и введите пароль, который будет использоваться для шифрования раздела. Он не будет отображаться на экране, поэтому во избежание ошибок его нужно будет ввести дважды.
Завершите процесс нажав Завершить, после чего будет создан новый зашифрованный раздел.
Когда Вам понадобится смонтировать зашифрованный раздел, откройте файловый менеджер и во вкладке, отображающей общие места Вашей файловой системы, выберите запись с разделом. У Вас будет запрошен пароль, после чего раздел будет смонтирован.

При инсталляции системы на компьютер с уже существующими разделами Вы можете зашифровать существующий раздел. В этом случае следуйте описанию в Раздел 10.1.2, «Создание зашифрованного раздела на работающей системе» и имейте в виду, что все существующие данные будут уничтожены во время этой операции.

10.1.2. Создание зашифрованного раздела на работающей системе¶

	Активация шифрования на работающей системе
Также возможно создать зашифрованный раздел на работающей системе. Однако шифрование существующего раздела уничтожит все данные на нем, а также потребует изменения размеров и структуры существующих разделов.

На запущенной системе выберите Система+Разметка в Центре управления YaST. Нажмите Да чтобы продолжить. В Экспертной разметке выберите раздел для шифрования и нажмите Редактировать. Остальная процедура сходна с описанной в Раздел 10.1.1, «Создание зашифрованного раздела во время инсталляции».

10.1.3. Создание зашифрованного файла в качестве контейнера¶

Вместо использования раздела можно создать зашифрованный файл, который будет содержать в себе другие файлы и каталоги с конфиденциальными данными. Такие контейнерные файлы создаются из диалога Экспертная разметка YaST. Выберите Шифрованные файлы+Добавить шифрованный файл и введите полный путь к файлу и его размер. Если YaST должен создать контейнерный файл, активируйте опцию Создать петлевой файл. Подтвердите или измените предлагаемые настройки форматирования и тип файловой системы. Укажите точку монтирования и убедитесь, что опция Зашифровать устройство выбрана.

Нажмите Далее, введите пароль для дешифрования файла и примените изменения нажав Завершить.

Преимущество зашифрованных файлов-контейнеров над разделами заключается в том, что они могут быть добавлены без изменения разметки жесткого диска. Они монтируются при помощи петлевого устройства и ведут себя как обычные разделы.

10.1.4. Шифрование содержимого съемных носителей¶

YaST относится к съемному носителю (такому, как жесткий диск или USB flash) так же, как обычному жесткому диску. Файлы-контейнеры или разделы на таких устройствах могут быть зашифрованы по инструкции выше. Однако не разрешайте им монтирование во время загрузки, поскольку съемные носители обычно подключаются к уже запущенной системе

Если съемное устройство было зашифровано при помощи YaST, то среды KDE и GNOME автоматически распознают зашифрованный раздел и запросят пароль при обнаружении устройства. Если Вы подключите съемное устройство отформатированное в FAT при запущенном KDE или GNOME, пользователь после ввода пароля автоматически станет владельцем устройства и сможет читать и записывать файлы. Для других файловых систем необходимо явно указать владельца отличного от root, чтобы разрешить этим пользователям чтение или запись файлов на устройство.

10.2. Использование зашифрованных домашних директорий¶

Для защиты данных в домашних директориях от кражи и последующего несанкционированного доступа, используйте модуль YaST Управление пользователями, чтобы разрешить шифрование домашних директорий. Вы можете создавать зашифрованные домашние директории для новых и существующих пользователей. Для шифрования или дешифрования домашних директорий уже существующих пользователей Вы должны знать их пароли. Раздел “Managing Encrypted Home Directories” (Глава 10, Managing Users with YaST, ↑Вступление) подробно описывает эту процедуру.

Зашифрованные домашние разделы создаются внутри файла-контейнера как описано в Раздел 10.1.3, «Создание зашифрованного файла в качестве контейнера». В директории /home создается два файла для каждой зашифрованной домашней директории:

LOGIN.img: Файл, содержащий образ директории
LOGIN.key: Защищенный паролем пользователя ключ к образу .

При входе в систему домашняя директория дешифруется автоматически. Для этого используется модуль pam называемый pam_mount. Если Вам надо добавить дополнительный метод входа в систему, который обеспечивает зашифрованные домашние директории, добавьте этот модуль в соответствующий конфигурационный файл /etc/pam.d/. За подробностями обратитесь к Глава 2, Авторизация с помощью PAM и man странице pam_mount.

Ограничения безопасности

	Ограничения безопасности
Шифрование домашней директории пользователя не обеспечивает высокого уровня защиты от других пользователей. Его можно добиться только не разделяя систему с другими пользователями физически. Для усиления безопасности Вы можете также зашифровать `swap` раздел, а также директории `/tmp` и `/var/tmp`, поскольку они могут содержать временные образы или критические данные. Зашифровать `swap`, `/tmp` и `/var/tmp` можно при помощи модуля Разметка YaST как описано в Раздел 10.1.1, «Создание зашифрованного раздела во время инсталляции» или Раздел 10.1.3, «Создание зашифрованного файла в качестве контейнера».

Шифрование домашней директории пользователя не обеспечивает высокого уровня защиты от других пользователей. Его можно добиться только не разделяя систему с другими пользователями физически.

Для усиления безопасности Вы можете также зашифровать swap раздел, а также директории /tmp и /var/tmp, поскольку они могут содержать временные образы или критические данные. Зашифровать swap, /tmp и /var/tmp можно при помощи модуля Разметка YaST как описано в Раздел 10.1.1, «Создание зашифрованного раздела во время инсталляции» или Раздел 10.1.3, «Создание зашифрованного файла в качестве контейнера».

10.3. Использование vi для шифрования отдельных текстовых ASCII файлов¶

Недостаток использования зашифрованных разделов очевиден: когда раздел смотирован, по крайней мере root будет также иметь доступ к данным в этом разделе. Для предотвращения этого можно использовать vi в режиме шифрования.

Чтобы отредактировать новый файл используйте команду vi -x filename. vi предложит Вам установить пароль, после чего он зашифрует содержимое файла. Откуда бы Вы не запросили доступ к этому файлу, vi будет требовать пароль для доступа.

Для еще большей безопасности Вы можете разместить зашифрованный файл на зашифрованном разделе. Это рекомендуется, поскольку используемое в vi шифрование не слишком устойчиво.