Могу ли я создать новый ext4
зашифрованный раздел с ядром 4.1 в Ubuntu 15.04?
15.04
encryption
ext4
Oto_Shan
источник
источник
Ответы:
Прежде всего, отказ от ответственности: я делал это не с Ubuntu, а на машине с установленным Debian «Stretch», используя собственное ядро Linux 4.2.3, на котором я включил
EXT4_FS_ENCRYPTION
.Инструкции, данные kmeaw , не работают для меня точно так, как опубликовано. Несколько вещей были опущены (параметры командной строки и шаги).
e2fsprogs
как показано вышеСоздайте свою случайную соль. Я использовал следующее, чтобы сохранить его в «безопасном месте»:
Чтобы использовать шифрование ext4 в файловой системе, в суперблоке должен быть установлен флаг «шифровать». Это не значение по умолчанию при создании файловой системы ext4. Используя утилиту "tune2fs" из e2fsprogs 1.43 или более поздней версии, установите параметр "encrypt":
Смонтируйте или перемонтируйте файловую систему, чтобы ядро знало об изменениях (возможно, это происходит автоматически, но я сделал это только на отдельном разделе, поэтому я не уверен).
Создайте каталог в файловой системе, которая монтируется с включенным шифрованием:
Создайте ключ в связке ключей и используйте его для установки политики шифрования каталога (здесь
sudo
команда не нужна):После каждой перезагрузки
add_key
можно использовать команду установки ключа для расшифровки каталога и его потомков:Введите тот же пароль, который использовался на предыдущем шаге, и вам не нужно запоминать шестнадцатеричную строку дескриптора.
Вы также можете использовать
add_key
напрямую. При этом будет использоваться соль, специфичная для файловой системы (поэтому все папки в этом разделе будут иметь одинаковую соль)источник
cp .. /secret/home/$USER/.
я получаю: «cp: не может создать обычный файл '/secret/home/alexis/test-top-secret-image.svg': требуемый ключ отсутствует доступно » . Я просто следовал твоим инструкциям, так что думаю что-то изменилось./usr/bin/e4crypt
" отсутствует "s" в "/ [s] bin".Linux 4.1 поставляется с новой функцией Ext4 для шифрования каталогов файловой системы. Ключи шифрования хранятся в связке ключей. Для начала, убедитесь , что вы включили
CONFIG_KEYS
иCONFIG_EXT4_FS_ENCRYPTION
параметры ядра и у вас есть ядро 4.1 или выше.Прежде всего, вам необходимо обновить e2fsprogs по крайней мере до версии 1.43, которая на момент написания статьи еще была WIP, поэтому нам нужно извлечь ее из репозитория git :
Исходный код e4crypt отключил соответствующий раздел в своем исходном коде, включите его, отредактировав misc / e4crypt.c и удалив эти две строки рядом со строкой 714:
Теперь соберите и установите новые e2fsprogs:
Проверьте вашу версию сейчас, она должна быть 1.43-WIP:
Для работы с ключами нам необходимо установить
keyutils
пакет:Давайте создадим каталог, который мы будем шифровать. Политика шифрования может быть установлена только для пустых каталогов:
Сначала сгенерируйте случайное значение соли и сохраните его в безопасном месте:
Теперь сгенерируйте и добавьте новый ключ в вашу связку ключей: этот шаг следует повторять каждый раз, когда вы очищаете свою цепочку для ключей (перезагрузка)
Теперь вы знаете дескриптор вашего ключа. Убедитесь, что вы добавили ключ в свою цепочку для ключей:
Почти готово. Теперь установите политику шифрования для каталога:
Это все. Если вы попытаетесь получить доступ к диску без добавления ключа в цепочку для ключей, имена файлов и их содержимое будут рассматриваться как зашифрованный бред. Будьте осторожны при запуске старых версий e2fsck в вашей файловой системе - зашифрованные имена файлов будут считаться недействительными.
источник