পাসওয়ার্ডের পরিবর্তে কী ফাইলের সাহায্যে একটি হার্ড ডিস্ক এনক্রিপ্ট করা সম্ভব?

14

হার্ড ডিস্ক এনক্রিপশন অনুসন্ধান করা। সমাধানে যেতে মনে হয় একটি পাসওয়ার্ড ব্যবহার করে LUKS এর সাথে ডিএম-ক্রিপ্ট রয়েছে। আমি একাধিক স্বতন্ত্র হার্ড ডিস্ক পড়ার জন্য একটি ডিস্ক পুলে মাউন্ট করা নিয়ে কাজ করি। এই ক্ষেত্রে, আমাকে একাধিকবার একটি পাসওয়ার্ড টাইপ করতে হবে।

আমার জন্য কী কী ফাইলের সাহায্যে হার্ড ডিস্কগুলি এনক্রিপ্ট করার কোনও উপায় আছে, সম্ভবত এটি একটি ইউএসবি ড্রাইভে রেখে এবং যখন প্রয়োজন হয় তখন এটি প্লাগ ইন করুন ??

encryption  luks  disk-encryption 
Nithin
সূত্র

উত্তর:

11

এটি করার সর্বোত্তম উপায়গুলির মধ্যে একটি হ'ল আপনার এনক্রিপ্ট হওয়া ব্লক ডিভাইসের কীগুলি আনলক করতে এতে একটি ক্রিপ্টো কী সহ একটি স্মার্ট কার্ড ব্যবহার করা। আপনাকে কেবল পাসফ্রেজ প্রবেশ করতে হবে (সরঞ্জামগুলির দ্বারা "পিন" নামে পরিচিত তবে এটি সত্যই একটি পাসফ্রেজ) একবার, এর পরে এটি ক্যাশে হবে। আপনার কাছে থাকা কোনও জিনিস (স্মার্ট কার্ড নিজেই, যার মধ্যে থেকে ব্যক্তিগত কীটি বের করা যায় না) এবং আপনি কী জানেন (পাসফ্রেজ) দিয়ে এনক্রিপ্ট হওয়া ডেটা সুরক্ষিত করার এতে অতিরিক্ত সুবিধা রয়েছে।

আপনার /etc/crypttabমত এটি ফর্ম্যাট করুন :

mapper-name /dev/disk/raw-device /var/lib/filename-containing-encrypted-key \
    luks,keyscript=/lib/cryptsetup/scripts/decrypt_opensc

ডেবিয়ান এবং ডেরিভেটিভগুলিতে, initramfs- সরঞ্জামগুলি কী-স্ক্রিপ্টটি লক্ষ্য করবে এবং স্বয়ংক্রিয়ভাবে স্বয়ংচালিতভাবে স্মার্ট কার্ড অ্যাক্সেসের জন্য প্রয়োজনীয় সমস্ত সরঞ্জাম এবং ডিমনগুলি অনুলিপি করবে।

স্মার্ট কার্ড স্থাপন এবং কীগুলি তৈরি (এবং এনক্রিপ্ট করা) সম্পর্কিত তথ্য পাওয়া যায় /usr/share/doc/cryptsetup/README.opensc.gz

আপনি একটি ইউবিকে 4 ব্যবহার করতে পারেন এই উদ্দেশ্যে অন্যদের মধ্যে বা ইউবিকি এনইও

বাস্তবায়ন নোট : এই বৈশিষ্ট্যটির মোটামুটি প্রান্ত রয়েছে এবং স্পষ্টতই বাক্সটি কার্যকর হয় না তাই ওয়াইএমএমভি। শেষবার যখন আমি সফলভাবে এটি অর্জন করেছি তখন আমাকে নিম্নলিখিত হ্যাকগুলি যুক্ত করতে হয়েছিল:

  • অক্ষম করুন systemdকারণ এটি এনক্রিপ্ট করা ডিভাইসগুলি সেটআপ করার পুরো প্রক্রিয়াটি ধ্বংসাত্মকভাবে গ্রহণ করার চেষ্টা করে /etc/crypttabতবে keyscriptকোনটি বড় ধরনের ব্যর্থতার দিকে পরিচালিত করে সে সম্পর্কে এটি কিছুই জানে না । ভাগ্যক্রমে, দেবিয়ানতে, আপনি এখনও অপ্ট আউট করতে পারেন systemd

  • এই ফিক্সার-ওপরের স্ক্রিপ্টটি ইনস্টল করুন /etc/initramfs-tools/hooks/yubipinকারণ বিল্ট-ইন বৈশিষ্ট্যটি ইউবিকেকে ইনি্রামফ থেকে ব্যবহারযোগ্য হওয়ার জন্য যথেষ্ট সমর্থন ইনস্টল করেনি install আপনার এটি সামঞ্জস্য করতে হতে পারে।

    #!/bin/sh

PREREQ=cryptroot

prereqs()
{
    echo "$PREREQ"
}

case $1 in
prereqs)
    prereqs
    exit 0
    ;;
esac

# /scripts/local-top/cryptopensc calls pcscd with the wrong path
ln -s ../usr/sbin/pcscd ${DESTDIR}/sbin/pcscd
mkdir -p "${DESTDIR}/usr/lib/x86_64-linux-gnu"
# opensc-tool wants this dynamically, copy_exec doesn't know that
cp -pL /usr/lib/x86_64-linux-gnu/libpcsclite.so.1 "${DESTDIR}/usr/lib/x86_64-linux-gnu/libpcsclite.so.1"
mkdir -p "${DESTDIR}/lib/x86_64-linux-gnu"
# without this, pcscd aborts with a pthread_cancel error
cp -pL /lib/x86_64-linux-gnu/libgcc_s.so.1 "${DESTDIR}/lib/x86_64-linux-gnu/libgcc_s.so.1"
# this gets copied as a dangling symlink, fix it
rm "${DESTDIR}/usr/lib/pcsc/drivers/ifd-ccid.bundle/Contents/Info.plist"
cp -pL /usr/lib/pcsc/drivers/ifd-ccid.bundle/Contents/Info.plist "${DESTDIR}/usr/lib/pcsc/drivers/ifd-ccid.bundle/Contents/Info.plist"
# pcscd needs this to open the reader once it has found it
cp -pL /lib/x86_64-linux-gnu/libusb-1.0.so.0 "${DESTDIR}/lib/x86_64-linux-gnu/libusb-1.0.so.0"

  • /etc/initramfs-tools/scripts/local-bottom/killpcscdপরিষ্কার করার জন্য অন্য স্ক্রিপ্ট ইনস্টল করুন :

    #!/bin/sh

set -e

PREREQ=cryptopensc

prereqs()
{
    echo "$PREREQ"
}

case $1 in
    prereqs)
        prereqs
        exit 0
        ;;
esac

# because cryptopensc does not do it properly
killall pcscd
Celada
সূত্র
1
এটি অর্জনের জন্য স্মার্ট-কার্ড এবং কুদোগুলি ব্যবহার করার জন্য খুব দুর্দান্ত প্ররোচনা, তবে আমি বলব যে একটি বিতরণ-নির্দিষ্ট পদ্ধতিতে যার মধ্যে থ্রিজি সিস্টেম এবং তৃতীয় পক্ষের হ্যাক স্ক্রিপ্টগুলি অপরিবর্তনীয় পাথ সহ সিস্টেম ডিরেক্টরিতে পরিবর্তিত করা হয়, কীভাবে তার উত্তর হিসাবে বিবেচিত হবে না? পাসকি ফাইল প্রশ্ন ব্যবহার করতে। এই সফ্টওয়্যারটি হ'ল অবিশ্বাস্য গন্ডগোলটি হাইলাইট করে।
dbanet
@ ডাবনেট, আমি সম্পূর্ণরূপে একমত এবং আমি আশা করি যে অন্য কেউ আসবেন এবং কীভাবে এই উপায়টিকে আরও সরল উপায়ে করবেন তা বর্ণনা করে একটি উত্তর যুক্ত করবেন। তারপরে ওপি তাদের পছন্দসইটি বেছে নিতে পারে।
সেলেদা
ডাবনেট এবং @ কেলাডা, ঠিক আমার চিন্তাভাবনা। এটি অনেক জটিল এবং আমি যদি এটি পরিচালনা করতে পারি তবে এর মালিকানা, অর্থ অন্য বিক্রেতার কাছে অন্য পদ্ধতি থাকবে। :(
নীতিন
3

লুক্স পাসওয়ার্ড কেবল একটি ফাইলে সংরক্ষণ করা সম্ভব।

আমি এটি আমার বাড়ির কম্পিউটারে ব্যবহার করি; রুট ফাইল সিস্টেমটি নিয়মিত লুক্স ভলিউমে থাকে যা আমি বুট করার সময় আমার পাসফ্রেজের সাথে আনলক করি। একটি অতিরিক্ত ড্রাইভে উত্পন্ন পাসওয়ার্ড সহ লুক্স ভলিউম থাকে।

এই অতিরিক্ত ভলিউমটি একটি পাসওয়ার্ড ফাইল দ্বারা আনলক করা থাকে যা এনক্রিপ্ট করা রুট ফাইল সিস্টেমে থাকে। রুট ফাইল সিস্টেমটি আনলক করা থাকলে বুটের সময় এটি স্বয়ংক্রিয়ভাবে আনলক হয়ে যায়।

আমার /etc/crypttabচেহারাটি এরকম:

crypt-root UUID=c5a2cf25-0aae-457e-874f-fca7ea3d5742 none luks
crypt-data UUID=96d79323-246d-49e0-9149-ec3a4cfc1c1e /etc/crypt-data.key luks

তৃতীয় ক্ষেত্রটি noneমূল ফাইল সিস্টেমের জন্য কীফাইল , তবে /etc/crypt-data.keyডেটা ফাইল সিস্টেমের জন্য। /etc/crypt-data.keyলুক্স পাসওয়ার্ড রয়েছে:

Tm90IHJlYWxseSBteSBwYXNzd29yZC4K

দ্রষ্টব্য, একটি নতুন লাইন বা অন্য কোনও সাদা স্থান পাসওয়ার্ডের অংশ হিসাবে নেওয়া হবে! নতুন লাইনটি অনুসরণ না করে এই ফাইলটি উত্পন্ন করার জন্য যত্ন নিন। এছাড়াও, এটির কঠোর অনুমতি রয়েছে তা নিশ্চিত করুন:

-rw------- 1 root root 59 Sep 14 23:57 /etc/crypt-data.key

আপনার একাধিক খণ্ডের জন্য এই পদ্ধতির নকল করতে সক্ষম হওয়া উচিত (হয় আলাদা পাসওয়ার্ড বা একটি ভাগ করা পাসওয়ার্ড সহ, আপনার পছন্দ)।

marcelm
সূত্র
আপনি কীভাবে পাসওয়ার্ডের পরিবর্তে কীফিলটি ব্যবহার করতে LUKS কনফিগার করবেন তা উল্লেখ করতে পারেন?
নিতিন
@ নীথিন কীফাইলটি আমার উদাহরণের তৃতীয় ক্ষেত্র /etc/crypttab। আমি আরও পরিষ্কার করার জন্য কিছুটা অতিরিক্ত পাঠ্য যুক্ত করেছি।
মার্সেলেম
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.