Định cấu hình khối lượng được mã hóa từ Hướng dẫn cài đặt Ubuntu của OnWorks

Bỏ để qua phần nội dung

trình cài đặt debian cho phép bạn thiết lập các phân vùng được mã hóa. Mọi tệp bạn ghi vào một phân vùng như vậy sẽ ngay lập tức được lưu vào thiết bị ở dạng mã hóa. Quyền truy cập vào dữ liệu được mã hóa chỉ được cấp sau khi nhập mật khẩu được sử dụng khi phân vùng được mã hóa ban đầu được tạo. Tính năng này rất hữu ích để bảo vệ dữ liệu nhạy cảm trong trường hợp máy tính xách tay hoặc ổ cứng của bạn bị đánh cắp. Kẻ trộm có thể có quyền truy cập vật lý vào ổ cứng, nhưng nếu không biết cụm mật khẩu phù hợp, dữ liệu trên ổ cứng sẽ giống như các ký tự ngẫu nhiên.

Hai phân vùng quan trọng nhất cần mã hóa là: phân vùng chính, nơi chứa dữ liệu cá nhân của bạn và phân vùng hoán đổi, nơi dữ liệu nhạy cảm có thể được lưu trữ tạm thời trong quá trình hoạt động. Tất nhiên, không có gì ngăn cản bạn mã hóa bất kỳ phân vùng nào khác có thể được quan tâm. Ví dụ / var nơi máy chủ cơ sở dữ liệu, máy chủ thư hoặc máy chủ in lưu trữ dữ liệu của họ, hoặc / Tmp được sử dụng bởi các chương trình khác nhau để lưu trữ các tệp tạm thời thú vị. Một số người thậm chí có thể muốn mã hóa toàn bộ hệ thống của họ. Ngoại lệ duy nhất là / khởi động phân vùng phải vẫn chưa được mã hóa, vì hiện tại không có cách nào để tải hạt nhân từ một phân vùng được mã hóa.

Lưu ý: Xin lưu ý rằng hiệu suất của các phân vùng được mã hóa sẽ kém hơn so với các phân vùng không được mã hóa vì dữ liệu cần được giải mã hoặc mã hóa cho mỗi lần đọc hoặc ghi. Tác động đến hiệu suất phụ thuộc vào tốc độ CPU của bạn, mật mã đã chọn, độ dài khóa và liệu bạn có sử dụng các hoạt động mật mã được phần cứng hỗ trợ hay không.

Để sử dụng mã hóa, bạn phải tạo một phân vùng mới bằng cách chọn một số không gian trống trong menu phân vùng chính. Một tùy chọn khác là chọn một phân vùng hiện có (ví dụ như một phân vùng thông thường, một ổ đĩa lưu trữ LVM hoặc một ổ đĩa RAID). bên trong Cài đặt phân vùng menu, bạn cần chọn khối lượng vật lý để mã hóa tại Sử dụng như là: Lựa chọn. Sau đó, menu sẽ thay đổi để bao gồm một số tùy chọn mật mã cho phân vùng.

Phương pháp mã hóa được hỗ trợ bởi trình cài đặt debian is dm-mật mã (bao gồm trong các nhân Linux mới hơn, có thể lưu trữ các khối lượng vật lý LVM).

Hãy xem các tùy chọn có sẵn khi bạn chọn mã hóa qua Trình lập bản đồ thiết bị (dm-crypt). Như mọi khi: khi nghi ngờ, hãy sử dụng các giá trị mặc định, vì chúng đã được lựa chọn cẩn thận với lưu ý đến tính bảo mật.

Mã hóa: aes

Tùy chọn này cho phép bạn chọn thuật toán mã hóa (vô giá trị) sẽ được sử dụng để mã hóa dữ liệu trên phân vùng. trình cài đặt debian hiện hỗ trợ các mật mã khối sau: aes, cá thổi, con rắnvà hai con cá. Việc thảo luận về chất lượng của các thuật toán khác nhau này nằm ngoài phạm vi của tài liệu này, tuy nhiên, nó có thể giúp ích cho quyết định của bạn khi biết rằng vào năm 2000, AES đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ chọn làm thuật toán mã hóa tiêu chuẩn để bảo vệ thông tin nhạy cảm trong thế kỷ 21.

Kích thước khóa: 256

Tại đây bạn có thể chỉ định độ dài của khóa mã hóa. Với kích thước khóa lớn hơn, sức mạnh của mã hóa thường được cải thiện. Mặt khác, việc tăng độ dài của phím thường có tác động tiêu cực đến hiệu suất. Kích thước khóa có sẵn khác nhau tùy thuộc vào mật mã.

Thuật toán IV: xts-trơn64

Sản phẩm Véc tơ khởi tạo or IV thuật toán được sử dụng trong mật mã để đảm bảo rằng việc áp dụng mật mã trên cùng một văn bản rõ ràng dữ liệu có cùng một khóa luôn tạo ra một văn bản mật mã. Ý tưởng là ngăn kẻ tấn công suy diễn thông tin từ các mẫu lặp lại trong dữ liệu được mã hóa.

Từ các lựa chọn thay thế được cung cấp, mặc định xts-trơn64 hiện là loại ít dễ bị tấn công nhất. Chỉ sử dụng các lựa chọn thay thế khác khi bạn cần đảm bảo khả năng tương thích với một số hệ thống đã cài đặt trước đó không thể sử dụng các thuật toán mới hơn.

Khóa mã hóa: Cụm từ mật khẩu

Tại đây bạn có thể chọn loại khóa mã hóa cho phân vùng này.

Cụm từ mật khẩu

Khóa mã hóa sẽ được tính6 trên cơ sở cụm mật khẩu mà bạn có thể nhập vào sau này trong quá trình này.

Khóa ngẫu nhiên

Một khóa mã hóa mới sẽ được tạo từ dữ liệu ngẫu nhiên mỗi khi bạn cố gắng mở phân vùng được mã hóa. Nói cách khác: mỗi lần tắt, nội dung của phân vùng sẽ bị mất do khóa bị xóa khỏi bộ nhớ. (Tất nhiên, bạn có thể cố gắng đoán khóa bằng một cuộc tấn công bạo lực, nhưng trừ khi có một điểm yếu chưa xác định trong thuật toán mật mã, nó không thể đạt được trong suốt cuộc đời của chúng ta.)

Các khóa ngẫu nhiên rất hữu ích cho các phân vùng hoán đổi vì bạn không cần phải bận tâm đến việc ghi nhớ cụm mật khẩu hoặc xóa thông tin nhạy cảm khỏi phân vùng hoán đổi trước khi tắt máy tính của mình. Tuy nhiên, nó cũng có nghĩa là bạn sẽ không có thể sử dụng chức năng “tạm ngưng vào đĩa” được cung cấp bởi các hạt nhân Linux mới hơn vì sẽ không thể (trong lần khởi động tiếp theo) để khôi phục dữ liệu bị treo được ghi vào phân vùng hoán đổi.

6. Sử dụng cụm mật khẩu làm khóa hiện tại có nghĩa là phân vùng sẽ được thiết lập bằng LUKS (https://gitlab.com/cryptsetup/cryptsetup).

Xóa dữ liệu: Vâng

Xác định xem có nên ghi đè nội dung của phân vùng này bằng dữ liệu ngẫu nhiên hay không trước khi thiết lập mã hóa. Điều này được khuyến khích vì kẻ tấn công có thể phân biệt được phần nào của phân vùng đang được sử dụng và phần nào không được sử dụng. Ngoài ra, điều này sẽ khiến việc khôi phục dữ liệu còn sót lại từ các lần cài đặt trước khó khăn hơn7.

Sau khi bạn đã chọn các tham số mong muốn cho các phân vùng được mã hóa của mình, hãy quay lại menu phân vùng chính. Bây giờ sẽ có một mục menu mới được gọi là Định cấu hình khối lượng được mã hóa. Sau khi bạn chọn nó, bạn sẽ được yêu cầu xác nhận việc xóa dữ liệu trên các phân vùng được đánh dấu là xóa và có thể các hành động khác như viết bảng phân vùng mới. Đối với các phân vùng lớn, điều này có thể mất một chút thời gian.

Tiếp theo, bạn sẽ được yêu cầu nhập cụm mật khẩu cho các phân vùng được cấu hình để sử dụng. Mật khẩu tốt phải dài hơn 8 ký tự, phải là sự kết hợp của các chữ cái, số và các ký tự khác và không được chứa các từ thông dụng trong từ điển hoặc thông tin dễ kết hợp với bạn (chẳng hạn như ngày sinh, sở thích, tên vật nuôi, tên của các thành viên trong gia đình hoặc họ hàng, Vân vân.).

Cảnh báo

Trước khi bạn nhập bất kỳ cụm mật khẩu nào, bạn nên đảm bảo rằng bàn phím của bạn được định cấu hình trực tiếp và tạo ra các ký tự mong đợi. Nếu không chắc chắn, bạn có thể chuyển sang bảng điều khiển ảo thứ hai và nhập một số văn bản tại lời nhắc. Điều này đảm bảo rằng bạn sẽ không bị ngạc nhiên sau này, chẳng hạn bằng cách thử nhập cụm mật khẩu bằng cách sử dụng bố cục bàn phím qwerty khi bạn sử dụng bố cục azerty trong quá trình cài đặt. Tình trạng này có thể có một số nguyên nhân. Có thể bạn đã chuyển sang bố cục bàn phím khác trong khi cài đặt hoặc bố cục bàn phím đã chọn có thể chưa được thiết lập khi nhập cụm mật khẩu cho hệ thống tệp gốc.

Nếu bạn đã chọn sử dụng các phương pháp không phải là cụm mật khẩu để tạo khóa mã hóa, chúng sẽ được tạo ngay bây giờ. Bởi vì hạt nhân có thể chưa thu thập đủ lượng entropy ở giai đoạn đầu của quá trình cài đặt, quá trình này có thể mất nhiều thời gian. Bạn có thể giúp tăng tốc quá trình bằng cách tạo entropy: ví dụ: bằng cách nhấn các phím ngẫu nhiên hoặc bằng cách chuyển sang shell trên bảng điều khiển ảo thứ hai và tạo một số lưu lượng mạng và đĩa (tải xuống một số tệp, cấp các tệp lớn vào / dev / null, Vân vân.). Điều này sẽ được lặp lại cho mỗi phân vùng được mã hóa.

Sau khi quay lại menu phân vùng chính, bạn sẽ thấy tất cả các ổ đĩa được mã hóa dưới dạng các phần bổ sung có thể được cấu hình theo cách tương tự như các phân vùng thông thường. Ví dụ sau đây cho thấy một khối lượng được mã hóa qua dm-crypt.

Khối lượng được mã hóa (sda2_crypt) - Trình lập bản đồ thiết bị Linux 115.1 GB

# 1 115.1 GB F ext3

Bây giờ là lúc để gán các điểm gắn kết cho các ổ đĩa và tùy chọn thay đổi loại hệ thống tệp nếu các giá trị mặc định không phù hợp với bạn.

Chú ý đến các định danh trong ngoặc đơn (sda2_crypt trong trường hợp này) và các điểm gắn kết mà bạn đã chỉ định cho mỗi ổ đĩa được mã hóa. Bạn sẽ cần thông tin này sau khi khởi động hệ thống mới. Sự khác biệt giữa quy trình khởi động thông thường và quy trình khởi động có liên quan đến mã hóa sẽ được đề cập sau trong Phần 7.2.

Khi bạn đã hài lòng với sơ đồ phân vùng, hãy tiếp tục cài đặt.