পাসওয়ার্ডের পরিবর্তে কী ফাইলের সাহায্যে একটি হার্ড ডিস্ক এনক্রিপ্ট করা সম্ভব?


14

হার্ড ডিস্ক এনক্রিপশন অনুসন্ধান করা। সমাধানে যেতে মনে হয় একটি পাসওয়ার্ড ব্যবহার করে LUKS এর সাথে ডিএম-ক্রিপ্ট রয়েছে। আমি একাধিক স্বতন্ত্র হার্ড ডিস্ক পড়ার জন্য একটি ডিস্ক পুলে মাউন্ট করা নিয়ে কাজ করি। এই ক্ষেত্রে, আমাকে একাধিকবার একটি পাসওয়ার্ড টাইপ করতে হবে।

আমার জন্য কী কী ফাইলের সাহায্যে হার্ড ডিস্কগুলি এনক্রিপ্ট করার কোনও উপায় আছে, সম্ভবত এটি একটি ইউএসবি ড্রাইভে রেখে এবং যখন প্রয়োজন হয় তখন এটি প্লাগ ইন করুন ??

উত্তর:


11

এটি করার সর্বোত্তম উপায়গুলির মধ্যে একটি হ'ল আপনার এনক্রিপ্ট হওয়া ব্লক ডিভাইসের কীগুলি আনলক করতে এতে একটি ক্রিপ্টো কী সহ একটি স্মার্ট কার্ড ব্যবহার করা। আপনাকে কেবল পাসফ্রেজ প্রবেশ করতে হবে (সরঞ্জামগুলির দ্বারা "পিন" নামে পরিচিত তবে এটি সত্যই একটি পাসফ্রেজ) একবার, এর পরে এটি ক্যাশে হবে। আপনার কাছে থাকা কোনও জিনিস (স্মার্ট কার্ড নিজেই, যার মধ্যে থেকে ব্যক্তিগত কীটি বের করা যায় না) এবং আপনি কী জানেন (পাসফ্রেজ) দিয়ে এনক্রিপ্ট হওয়া ডেটা সুরক্ষিত করার এতে অতিরিক্ত সুবিধা রয়েছে।

আপনার /etc/crypttabমত এটি ফর্ম্যাট করুন :

mapper-name /dev/disk/raw-device /var/lib/filename-containing-encrypted-key \
    luks,keyscript=/lib/cryptsetup/scripts/decrypt_opensc

ডেবিয়ান এবং ডেরিভেটিভগুলিতে, initramfs- সরঞ্জামগুলি কী-স্ক্রিপ্টটি লক্ষ্য করবে এবং স্বয়ংক্রিয়ভাবে স্বয়ংচালিতভাবে স্মার্ট কার্ড অ্যাক্সেসের জন্য প্রয়োজনীয় সমস্ত সরঞ্জাম এবং ডিমনগুলি অনুলিপি করবে।

স্মার্ট কার্ড স্থাপন এবং কীগুলি তৈরি (এবং এনক্রিপ্ট করা) সম্পর্কিত তথ্য পাওয়া যায় /usr/share/doc/cryptsetup/README.opensc.gz

আপনি একটি ইউবিকে 4 ব্যবহার করতে পারেন এই উদ্দেশ্যে অন্যদের মধ্যে বা ইউবিকি এনইও

বাস্তবায়ন নোট : এই বৈশিষ্ট্যটির মোটামুটি প্রান্ত রয়েছে এবং স্পষ্টতই বাক্সটি কার্যকর হয় না তাই ওয়াইএমএমভি। শেষবার যখন আমি সফলভাবে এটি অর্জন করেছি তখন আমাকে নিম্নলিখিত হ্যাকগুলি যুক্ত করতে হয়েছিল:

  • অক্ষম করুন systemdকারণ এটি এনক্রিপ্ট করা ডিভাইসগুলি সেটআপ করার পুরো প্রক্রিয়াটি ধ্বংসাত্মকভাবে গ্রহণ করার চেষ্টা করে /etc/crypttabতবে keyscriptকোনটি বড় ধরনের ব্যর্থতার দিকে পরিচালিত করে সে সম্পর্কে এটি কিছুই জানে না । ভাগ্যক্রমে, দেবিয়ানতে, আপনি এখনও অপ্ট আউট করতে পারেন systemd
  • এই ফিক্সার-ওপরের স্ক্রিপ্টটি ইনস্টল করুন /etc/initramfs-tools/hooks/yubipinকারণ বিল্ট-ইন বৈশিষ্ট্যটি ইউবিকেকে ইনি্রামফ থেকে ব্যবহারযোগ্য হওয়ার জন্য যথেষ্ট সমর্থন ইনস্টল করেনি install আপনার এটি সামঞ্জস্য করতে হতে পারে।

    #!/bin/sh
    
    PREREQ=cryptroot
    
    prereqs()
    {
        echo "$PREREQ"
    }
    
    case $1 in
    prereqs)
        prereqs
        exit 0
        ;;
    esac
    
    # /scripts/local-top/cryptopensc calls pcscd with the wrong path
    ln -s ../usr/sbin/pcscd ${DESTDIR}/sbin/pcscd
    mkdir -p "${DESTDIR}/usr/lib/x86_64-linux-gnu"
    # opensc-tool wants this dynamically, copy_exec doesn't know that
    cp -pL /usr/lib/x86_64-linux-gnu/libpcsclite.so.1 "${DESTDIR}/usr/lib/x86_64-linux-gnu/libpcsclite.so.1"
    mkdir -p "${DESTDIR}/lib/x86_64-linux-gnu"
    # without this, pcscd aborts with a pthread_cancel error
    cp -pL /lib/x86_64-linux-gnu/libgcc_s.so.1 "${DESTDIR}/lib/x86_64-linux-gnu/libgcc_s.so.1"
    # this gets copied as a dangling symlink, fix it
    rm "${DESTDIR}/usr/lib/pcsc/drivers/ifd-ccid.bundle/Contents/Info.plist"
    cp -pL /usr/lib/pcsc/drivers/ifd-ccid.bundle/Contents/Info.plist "${DESTDIR}/usr/lib/pcsc/drivers/ifd-ccid.bundle/Contents/Info.plist"
    # pcscd needs this to open the reader once it has found it
    cp -pL /lib/x86_64-linux-gnu/libusb-1.0.so.0 "${DESTDIR}/lib/x86_64-linux-gnu/libusb-1.0.so.0"
    
  • /etc/initramfs-tools/scripts/local-bottom/killpcscdপরিষ্কার করার জন্য অন্য স্ক্রিপ্ট ইনস্টল করুন :

    #!/bin/sh
    
    set -e
    
    PREREQ=cryptopensc
    
    prereqs()
    {
        echo "$PREREQ"
    }
    
    case $1 in
        prereqs)
            prereqs
            exit 0
            ;;
    esac
    
    # because cryptopensc does not do it properly
    killall pcscd
    

1
এটি অর্জনের জন্য স্মার্ট-কার্ড এবং কুদোগুলি ব্যবহার করার জন্য খুব দুর্দান্ত প্ররোচনা, তবে আমি বলব যে একটি বিতরণ-নির্দিষ্ট পদ্ধতিতে যার মধ্যে থ্রিজি সিস্টেম এবং তৃতীয় পক্ষের হ্যাক স্ক্রিপ্টগুলি অপরিবর্তনীয় পাথ সহ সিস্টেম ডিরেক্টরিতে পরিবর্তিত করা হয়, কীভাবে তার উত্তর হিসাবে বিবেচিত হবে না? পাসকি ফাইল প্রশ্ন ব্যবহার করতে। এই সফ্টওয়্যারটি হ'ল অবিশ্বাস্য গন্ডগোলটি হাইলাইট করে।
dbanet

@ ডাবনেট, আমি সম্পূর্ণরূপে একমত এবং আমি আশা করি যে অন্য কেউ আসবেন এবং কীভাবে এই উপায়টিকে আরও সরল উপায়ে করবেন তা বর্ণনা করে একটি উত্তর যুক্ত করবেন। তারপরে ওপি তাদের পছন্দসইটি বেছে নিতে পারে।
সেলেদা

ডাবনেট এবং @ কেলাডা, ঠিক আমার চিন্তাভাবনা। এটি অনেক জটিল এবং আমি যদি এটি পরিচালনা করতে পারি তবে এর মালিকানা, অর্থ অন্য বিক্রেতার কাছে অন্য পদ্ধতি থাকবে। :(
নীতিন

3

লুক্স পাসওয়ার্ড কেবল একটি ফাইলে সংরক্ষণ করা সম্ভব।

আমি এটি আমার বাড়ির কম্পিউটারে ব্যবহার করি; রুট ফাইল সিস্টেমটি নিয়মিত লুক্স ভলিউমে থাকে যা আমি বুট করার সময় আমার পাসফ্রেজের সাথে আনলক করি। একটি অতিরিক্ত ড্রাইভে উত্পন্ন পাসওয়ার্ড সহ লুক্স ভলিউম থাকে।

এই অতিরিক্ত ভলিউমটি একটি পাসওয়ার্ড ফাইল দ্বারা আনলক করা থাকে যা এনক্রিপ্ট করা রুট ফাইল সিস্টেমে থাকে। রুট ফাইল সিস্টেমটি আনলক করা থাকলে বুটের সময় এটি স্বয়ংক্রিয়ভাবে আনলক হয়ে যায়।

আমার /etc/crypttabচেহারাটি এরকম:

crypt-root UUID=c5a2cf25-0aae-457e-874f-fca7ea3d5742 none luks
crypt-data UUID=96d79323-246d-49e0-9149-ec3a4cfc1c1e /etc/crypt-data.key luks

তৃতীয় ক্ষেত্রটি noneমূল ফাইল সিস্টেমের জন্য কীফাইল , তবে /etc/crypt-data.keyডেটা ফাইল সিস্টেমের জন্য। /etc/crypt-data.keyলুক্স পাসওয়ার্ড রয়েছে:

Tm90IHJlYWxseSBteSBwYXNzd29yZC4K

দ্রষ্টব্য, একটি নতুন লাইন বা অন্য কোনও সাদা স্থান পাসওয়ার্ডের অংশ হিসাবে নেওয়া হবে! নতুন লাইনটি অনুসরণ না করে এই ফাইলটি উত্পন্ন করার জন্য যত্ন নিন। এছাড়াও, এটির কঠোর অনুমতি রয়েছে তা নিশ্চিত করুন:

-rw------- 1 root root 59 Sep 14 23:57 /etc/crypt-data.key

আপনার একাধিক খণ্ডের জন্য এই পদ্ধতির নকল করতে সক্ষম হওয়া উচিত (হয় আলাদা পাসওয়ার্ড বা একটি ভাগ করা পাসওয়ার্ড সহ, আপনার পছন্দ)।


আপনি কীভাবে পাসওয়ার্ডের পরিবর্তে কীফিলটি ব্যবহার করতে LUKS কনফিগার করবেন তা উল্লেখ করতে পারেন?
নিতিন

@ নীথিন কীফাইলটি আমার উদাহরণের তৃতীয় ক্ষেত্র /etc/crypttab। আমি আরও পরিষ্কার করার জন্য কিছুটা অতিরিক্ত পাঠ্য যুক্ত করেছি।
মার্সেলেম
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.