Linux – tworzenie zaszyfrowanej partycji (alternatywa dla TrueCrypta)

W Linuksie służy do tego program cryptsetup. Niestety ma on tę wadę, że nie da się zaszyfrować partycji zachowując dane na niej się znajdujące.

Najprostszy sposób zaszyfrowania partycji na hasło na przykładzie partycji sda8, sformatowanie jej później jako ext4, nadanie jej identyfikatora work, stworzenie katalogu /mnt/work i zamontowanie w nim odszyfrowanej partycji:

# cryptsetup luksFormat /dev/sda8
WARNING!
========
This will overwrite data on /dev/sda8 irrevocably.
Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:
# cryptsetup luksOpen /dev/sda8 work
Enter passphrase for /dev/sda8:
# mkfs.ext4 /dev/mapper/work
(...)
jakiś output
(...)
# mkdir /mnt/work
# mount /dev/mapper/work /mnt/work/
# chmod 777 /mnt/work

Teraz można pracować w katalogu /mnt/work, tworzyć tam pliki, kopiować je itd. Nadałem tu prawa 777, ale jak ktoś chce, to może zrobić to inaczej, lub przypisać nawet innego właściciela niż root. Partycja w formie zaszyfrowanej jest reprezentowana przez plik /dev/sda8, a w formie odszyfrowanej przez plik /dev/mapper/work.

Odmontowanie i zamknięcie dostępu do partycji wykonuje się poleceniami (po uprzednim skończeniu pracy, zamknięciu wszystkich plików, programów itd. które odwołują się w jakiś sposób do /mnt/work):

# umount /dev/mapper/work
# rmdir /mnt/work
# cryptsetup luksClose work

Nie trzeba partycji odmontowywać jeśli po prostu chcemy zamknąć cały system. Po ponownym uruchomieniu partycje są przecież niezamontowane, poza tymi, które montują się automatycznie (np. przez wpisy w /etc/fstab).

Otwieranie i montowanie partycji odbywa się następująco:

# cryptsetup luksOpen /dev/sda8 work
Enter passphrase for /dev/sda8:

# mkdir /mnt/work
# mount /dev/mapper/work /mnt/work/
# chmod 777 /mnt/work

Oczywiście lepiej to wszystko zapisać w skrypcie.

Cryptsetup od wersji 1.6 potrafi też otwierać partycje TrueCrypta. Zamiast luksOpen należy wtedy wpisać open --type tcrypt, a luksClose zastąpić close.

1 thought on “Linux – tworzenie zaszyfrowanej partycji (alternatywa dla TrueCrypta)”

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Log Out / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Log Out / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Log Out / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Log Out / Zmień )

Connecting to %s