有加密的swap或完全沒有swap空間是一個加密文件系統(tǒng)的先決條件。原因可以在文章“實(shí)現(xiàn)加密的home目錄”和BugTraq郵件列表中的一篇“Mac OS X在磁盤上存儲登陸/密鑰鏈/密碼”中找到。當(dāng)給啟動腳本軟件包應(yīng)用了https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=127378的補(bǔ)丁后，F(xiàn)edora允許用戶使用一個隨機(jī)生成的會話密鑰加密他們的swap分區(qū)，因為swap空間在重新啟動時通常不需要一致，當(dāng)系統(tǒng)關(guān)閉時會話密鑰也不保存，要啟用加密的swap，完成下面的步驟：
　　1)添加下面的行到/mnt/encroot/etc/fstab，替換任何先前的swap記錄：
　　/dev/mapper/swap swap swap defaults 0 0
　　2)添加下面的行到/mnt/encroot/etc/crypttab告訴系統(tǒng)如何完成加密：
　　swap /dev/hda3 /dev/urandom swap
　　至此我們應(yīng)該可以重新啟動系統(tǒng)并使用我們的加密文件系統(tǒng)，再說一次，我們需要暫停啟動選項命令進(jìn)入Open Firmware提示符。
　　正如上面說到的，閃存盤第二個分區(qū)路徑是/pci@f2000000/usb@1b,1/disk@1:2。了解了這一點(diǎn)，我們可以建立路徑/pci@f2000000/usb@1b,1/disk@1:2，\ofboot.b。在分區(qū)號和文件系統(tǒng)路徑之間的分隔符是‘，’，\ofboot.b是文件系統(tǒng)路徑，\與Unix的/類似。
　　
> dir /pci@f2000000/usb@1b,1/disk@1:2,\
Untitled GMT File/Dir
Size/ date time TYPE Name
bytes 9/ 3/ 4 21:44:41 ???? ???? initrd.gz
2212815 8/28/ 4 12:24:21 tbxi UNIX ofboot.b
3060 9/ 3/ 4 2:21:20 ???? ???? vmlinux
141868 9/28/ 4 12:24:22 boot UNIX yaboot
914 9/28/ 4 12:24:22 conf UNIX yaboot.conf
　　這就確定了Open Firmware可以讀取啟動系統(tǒng)需要的文件，設(shè)置boot-device變量的值為/pci@f2000000/usb@1b,1/disk@1:2,\ofboot.b使得系統(tǒng)可以從閃存盤啟動：
　　setenv boot-device /pci@f2000000/usb@1b,1/disk@1:2,\ofboot.b
　　一旦系統(tǒng)從加密root文件系統(tǒng)成功啟動，必須清除掉/dev/hda5上的所有數(shù)據(jù)，可以使用隨機(jī)排列root文件系統(tǒng)分區(qū)同樣的方法來實(shí)現(xiàn)：
　　dd if=/dev/urandom of=/dev/hda5
　　你可能想對hda5重寫幾次，要想了解處理干凈一個磁盤，請查看美國安全部門編寫的“National Industrial Security Program Operating Manual”第八章。
　　根據(jù)一個安全處理原則，/dev/hda5可能被掛載為/home，/home文件系統(tǒng)也應(yīng)該被加密，幸運(yùn)的是，這是一個簡單的過程，因為系統(tǒng)不需要/home啟動，象創(chuàng)建root文件系統(tǒng)一樣創(chuàng)建/home文件系統(tǒng)
　　1)確認(rèn)aes，dm-mod，dm-crypt模塊已經(jīng)載入內(nèi)核
　　2)卸載/dev/hda5
　　#umount /dev/hda5
　　3)創(chuàng)建一個隨機(jī)256位加密密鑰，存儲在/etc/home-key
　　#dd if=/dev/urandom of=/etc/home-key bs=1c count=32
　　4)創(chuàng)建一個dm-crypt設(shè)備，用剛剛生成的密鑰加密
　　#cryptsetup -d /etc/home-key create home /dev/hda5
　　5)在/dev/mapper/home上創(chuàng)建一個ext3文件系統(tǒng)
　　#mkfs.ext3 /dev/mapper/home
　　6)掛載新文件系統(tǒng)
　　#mount /dev/mapper/home /home
　　7)在/etc/crypttab中創(chuàng)建一個條目，讓各種實(shí)用程序都清楚文件系統(tǒng)是如何配置的
　　root /dev/hda5 /etc/home-key cipher=aes
　　8)最后，為/home更新/etc/fstab條目
　　/dev/mapper/home /home ext3 defaults 1 2
　　至此，可以添加非root系統(tǒng)賬號了，設(shè)置加密root文件系統(tǒng)的過程就結(jié)束了。
　　加密你所有數(shù)據(jù)可能很危險，如果加密密鑰丟失，你的數(shù)據(jù)就丟失了，就因為這個原因，備份你的包含有你的密鑰的閃存盤很重要，同樣，備份加密數(shù)據(jù)對應(yīng)的明文也很重要，如果你保存有一張可啟動的緊急救援磁盤，重新考慮應(yīng)該放哪些系統(tǒng)組件在上面或許很有意義，你的root和home文件系統(tǒng)、密鑰、parted、hfsutils、加密技術(shù)有關(guān)的內(nèi)核模塊以及cryptsetup腳本的拷貝都應(yīng)該放進(jìn)去。
　　這個技術(shù)在保護(hù)你的數(shù)據(jù)方面究竟有什么實(shí)際好處?在《Secrets and Lies》這本書中，作者Bruce Schneier提出了一個有用的手段來評估這個技術(shù)，一個攻擊樹可以用于模型危險，圖4呈現(xiàn)了一個攻擊我們加密文件系統(tǒng)的樹型圖，值得注意的是這顆攻擊樹不是完整的，可能隨時間推移會發(fā)生改變。
　　

　　圖4攻擊者如何讀取加密文件系統(tǒng)的數(shù)據(jù)
　　通過使用本文討論的技術(shù)和一點(diǎn)創(chuàng)新的想法，確保你磁盤上的數(shù)據(jù)對常見的偷竊行為更具抵抗性是可能的，跟蹤攻擊種類的發(fā)展比了解防御更重要，盡管還有其他的技術(shù)用于保護(hù)基于網(wǎng)絡(luò)的或其他類型的攻擊，但本文討論的技術(shù)對整個系統(tǒng)安全的目標(biāo)具有重要意義。

最新評論