我們時(shí)不時(shí)地能看到這樣的頭條新聞：“某公司損失了3千萬客戶的個(gè)人社會(huì)安全碼，以及其他個(gè)人敏感信息還有財(cái)務(wù)數(shù)據(jù)!我們不該憤怒嗎？”通常都是“承包商”（注意為什么從來都不會(huì)是雇員）在他的（似乎是）帶有千兆硬盤的筆記本上存儲(chǔ)了所有這些信息，然后這個(gè)筆記本丟失或者被盜走了，但是沒有人知道準(zhǔn)確的時(shí)間和地點(diǎn)?；蛘呤?，某個(gè)供應(yīng)商負(fù)責(zé)運(yùn)輸一大盒備份磁帶，而顯然這個(gè)供應(yīng)商“太窮了”，連帶有防盜鎖的汽車都買不起。對(duì)我來說，這些解釋都是無稽之談，甚至是荒謬；承包商怎么會(huì)最先獲得所有的敏感數(shù)據(jù)？為什么他們需要把所有的數(shù)據(jù)放到筆記本上？為什么要讓買不起高安全性能的汽車的那些人來運(yùn)送一大盒的敏感信息備份磁帶呢？他們?cè)趺磿?huì)知道丟失了哪些數(shù)據(jù)，怎么會(huì)知道這些數(shù)據(jù)是否被加密或者究竟有沒有被妥善保護(hù)？ 　　還真是有不少無法回答的問題。本文的主題就是如何用加密文件系統(tǒng)在硬盤中保護(hù)敏感數(shù)據(jù)。這個(gè)方案是提供給那些移動(dòng)用戶和需要在服務(wù)器和工作站中保護(hù)數(shù)據(jù)安全的人們的。我們將使用既簡單又功能強(qiáng)大的cryptsetup-luks。我們會(huì)創(chuàng)建一個(gè)加密的分區(qū)，只需在裝載時(shí)提供口令。然后你就可以像其他分區(qū)一樣地使用該分區(qū)了。 　　Debian，Ubuntu，還有Fedora都可以用cryptsetup-luks了。你不需要修改內(nèi)核或者其他任何東西；你只要安裝就行了。 　　Debian和Ubuntu 系列上： 　　# aptitude安裝cryptsetup 　　在Fedora上： 　　#yum安裝cryptsetup-luks 　　讓系統(tǒng)做好準(zhǔn)備 　　不幸的是，cryptsetup不能給你系統(tǒng)中現(xiàn)有的數(shù)據(jù)加密；因此你必須創(chuàng)建加密的分區(qū)，然后將數(shù)據(jù)轉(zhuǎn)移到新建的分區(qū)中。用GParted（Gnome分區(qū)編輯器）來管理分區(qū)很方便，所有主流的Linux版本上都有GParted。你可以用它重新設(shè)置分區(qū)大小、移動(dòng)、刪除或者創(chuàng)建分區(qū)，并且可以選擇自己喜歡的文件系統(tǒng)格式化方式。它能夠支持你系統(tǒng)內(nèi)核所支持的所有的分區(qū)類型以及文件系統(tǒng)，因此如果你機(jī)器上是雙系統(tǒng)的話，你甚至可以在Windows分區(qū)上使用該工具。如果是新的硬盤分區(qū)上的話，你可以用Gparted live CD。 　　本文中我們只探討怎樣給數(shù)據(jù)分區(qū)加密。我也知道許多方法可以給其他文件系統(tǒng)的、保存了潛在的敏感信息的那些分區(qū)加密，比如/var和/etc，但是這兩個(gè)都很復(fù)雜并且刁鉆，它們都不能能在啟動(dòng)的時(shí)候加密。因此，我這里只討論現(xiàn)有的比較成熟的這些，因?yàn)楦鶕?jù)我自己的測試，其他那些方法還無法穩(wěn)定工作。 　　你用一種文件系統(tǒng)將分區(qū)格式化并沒有什么關(guān)系，所有東西都可以重寫，加密后文件格式也是可變的。 　　你將用密碼來保護(hù)你的加密分區(qū)。如果你把密碼弄丟了，那就太不幸了，你就無法取回這些數(shù)據(jù)了。 　　給分區(qū)加密 　　有了新的空白分區(qū)后，你可以用cryptsetup命令來給它加密。注意一定確保是在加密要保護(hù)的那個(gè)分區(qū)： 　　# cryptsetup --verbose --verify-passphrase -c aes-cbc-plain luksFormat /dev/sda2 　　當(dāng)心！ 　　這將把不可逆轉(zhuǎn)地改寫/dev/sda2 上的數(shù)據(jù)。 　　Are you sure? (Type uppercase yes): YES 　　Enter LUKS passphrase: 　　Verify passphrase: 　　Command successful. 　　以上命令創(chuàng)建加密的分區(qū)?，F(xiàn)在我們需要?jiǎng)?chuàng)建可以裝載的邏輯分區(qū)，并給它命名。本例中，我們給它命名為sda2，你也可以叫它test、fred、我的秘密分區(qū)或者任何你喜歡的名字： 　　# cryptsetup luksOpen /dev/sda2 sda2 　　Enter LUKS passphrase: 　　key slot 0 unlocked. 　　Command successful. 　　如下命令將顯示/dev/mapper路徑中的隱藏設(shè)備： 　　$ ls -l /dev/mapper 　　total 0 　　crw-rw---- 1 root root 10, 63 2007-06-09 18:38 control 　　brw-rw---- 1 root disk 254, 0 2007-06-09 19:46 sda2 　　現(xiàn)在把文件系統(tǒng)放到邏輯分區(qū)上： 　　# mkfs.ext3 /dev/mapper/sda2 　　你需要做一個(gè)裝載點(diǎn)，這樣你就能裝載并且使用這個(gè)新的、加密過的分區(qū)了。記住，你必須從/dev/mapper/路徑下使用該設(shè)備。我會(huì)把它放在根目錄下。注意哪些需要根權(quán)限的操作： 　　$ mkdir /home/me/crypted 　　# mount /dev/mapper/sda1 /home/me/crypted 　　確保它被裝載了，編寫一個(gè)測試文件： 　　# df -H 　　[...] 　　Filesystem Size Used Avail Use% Mounted on 　　/dev/mapper/sda2 7.9G 152M 7.3G 3% /home/carla/crypted 　　# cd /home/me/crypted 　　# nano test 　　# ls 　　lost found test 　　讓它對(duì)用戶可用 　　到目前為止一切順利！但還有一個(gè)大問題：只有本地才能訪問該分區(qū)。我們得讓普通用戶也能使用它。你可以在/etc/fstab中能夠管理這個(gè)虛擬分區(qū)，就像管理其他分區(qū)一樣。往/etc/fstab中加入一行，以便允許沒有特殊權(quán)限的用戶來加載或者卸載該分區(qū)： 　　/dev/mapper/sda2 /home/carla/crypted ext3 user,atime,noauto,rw,dev,exec,suid 0 0 　　這樣Carla可以自己加載這個(gè)分區(qū)了： 　　$ mount ~/crypted 　　但是Carla仍然無法往其中寫入數(shù)據(jù)。因此我們?cè)俅涡枰O(shè)置本地權(quán)限，把正確的權(quán)限和許可方如已經(jīng)加載的隱藏設(shè)備： 　　# chown carla:carla /home/carla/crypted/ 　　# chmod 0700 /home/carla/crypted/ 　　好了那么，很多人都可以像Carlas一樣了！但是我們需要讓Carla讀寫一些加密的文件夾，而讓其他人無法讀寫這些文件夾。 　　你可以卸載并且手動(dòng)關(guān)閉加密分區(qū)： 　　$ umount crypted 　　# cryptsetup luksClose sda2 　　只有在打開加密設(shè)備的時(shí)候，你才需要輸入LUKS密碼。記住，如果丟了密碼，你就完蛋了。你可以刪除分區(qū)重新再來，但是數(shù)據(jù)是無法恢復(fù)的。打開加密設(shè)備并加載以后，你就可以像使用其它分區(qū)一樣使用它了。 　　你得用本地權(quán)限來運(yùn)行cryptsetup。這對(duì)用戶來說可能不是很方便。我們也有很多針對(duì)這個(gè)問題的解決方法。其中一種就是使用sudo；Ubuntu用戶有現(xiàn)成的全功能的sudo。另一種方法是把它設(shè)置成在系統(tǒng)啟動(dòng)的時(shí)候開啟，并在系統(tǒng)關(guān)閉的時(shí)候關(guān)閉。或者你也可能想要?jiǎng)?chuàng)建一些桌面圖標(biāo)，以便讓用戶可以隨時(shí)按需要啟動(dòng)和關(guān)閉它。

最新評(píng)論