Beveiliging zou een van de belangrijkste pijlers moeten zijn in elke organisatie en voor elke gebruiker, ongeacht hun functie, rol of te gebruiken vaardigheid. Het waarom is een essentiële en eenvoudige pijler: elke dag worden we geconfronteerd met miljoenen aanvallen van allerlei aard op het netwerk en extern of intern die onze informatie kunnen aantasten en ervoor kunnen zorgen dat deze in verkeerde handen valt.
Nadenkend over dit beveiligingsniveau, wil Solvetic via deze tutorial diepgaand uitleggen hoe we onze bestandssystemen in Linux op een praktische en functionele manier kunnen versleutelen dankzij een hulpprogramma genaamd Cryptmount.
Wat is CryptmountCryptmount is een hulpprogramma dat is ontwikkeld voor GNU/Linux-besturingssystemen waarmee een gebruiker zonder root-privileges de mogelijkheid krijgt om een gecodeerd bestandssysteem te mounten zonder het gebruik van superuser-privileges, iets dat standaard wordt overwogen in alle Linux-distributies.
Cryptmount kan worden geïmplementeerd in Linux-distributies die kernel 2.6 of hoger gebruiken. Verder biedt Cryptmount eenvoudig beheer aan de systeembeheerder om versleutelde bestandssystemen te creëren en te beheren volgens het dm-crypt device-mapper-doel van de gebruikte kernel.
Momenteel hebben we twee hoofdbenaderingen voor het gebruik van gecodeerde bestandssystemen in de kernel van elke Linux-distributie, namelijk:
- Het stuurprogramma van het cryptoloop-apparaat
- Het device-mapper-systeem, met behulp van het dm-crypt-doel.
Het nieuwe devmapper-systeem zorgt voor een schonere organisatie van codering en toegang tot verschillende apparaten, wat zich vertaalt in superieure prestaties.
Onder de verschillende kenmerken van dit hulpprogramma hebben we:
Cryptmount-functies
- Toegang tot verbeterde functionaliteit in de kernel
- Transparante ondersteuning voor bestandssystemen die zijn opgeslagen op onbewerkte schijfpartities of loopback-bestanden
- Het heeft aparte codering van toegangssleutels tot het bestandssysteem, wat ons de mogelijkheid geeft om toegangswachtwoorden te wijzigen zonder het hele bestandssysteem opnieuw te coderen, waardoor de tijden worden verbeterd
- Mogelijkheid om meerdere gecodeerde bestandssystemen op te slaan binnen een enkele schijfpartitie, met behulp van een aangewezen subset van blokken voor elk
- Voor bestandssystemen die niet vaak worden gebruikt, hoeven ze niet te worden gemount bij het opstarten van het systeem.
- Het ontkoppelen van elk bestandssysteem is vergrendeld, zodat het alleen kan worden gedaan door de gebruiker die het heeft aangekoppeld of de supergebruiker.
- Alle versleutelde bestandssystemen worden ondersteund door cryptsetup
- Versleutelde wachtwoorden kunnen worden gekozen om openssl-compatibel te zijn, of beheerd via libgcrypt, of (voor versie 2.0-serie) met ingebouwde SHA1 / Blowfish-tags
- Ondersteuning voor versleutelde swap-partities (alleen superuser)
- Ondersteuning voor het configureren van versleutelde of crypto-swap bestandssystemen bij het opstarten van het systeem
Hoe Cryptmount op Linux te installeren
Stap 1
Voor Debian- of Ubuntu-systemen gaan we de volgende opdracht uitvoeren om Cryptmount te installeren:
sudo apt install cryptmountIn het geval van Fedora, RedHat of CentOS gaan we eerst het volgende uitvoeren om bepaalde vereiste pakketten te installeren:
yum install device-mapper-deve
Daar voeren we de letter y in om het downloaden en installeren van genoemde pakketten te bevestigen.
Stap 2
Zodra dit pakket is geïnstalleerd, gaan we de opdracht wget gebruiken om het hulpprogramma te downloaden:
wget https://downloads.sourceforge.net/project/cryptmount/cryptmount/cryptmount-5.2/cryptmount-5.2.4.tar.gz
Stap 3
We gaan verder met het uitpakken van dit gedownloade bestand:
tar -xzf cryptmount-5.2.4.tar.gzWe hebben toegang tot de gemaakte map:
cd cryptmount-5.2.4Daar zullen we de volgende opdracht uitvoeren om het configuratieproces te starten:
./configureren
Stap 4
Ten slotte voeren we de installatie uit met de volgende commando's:
maken maken installerenZodra dit proces is voltooid, gaan we cryptmount configureren en een gecodeerd bestandssysteem maken met behulp van het hulpprogramma cryptmount-setup als superuser of via sudo als volgt:
cyptmount-setup sudo cyptmount-setupBij het uitvoeren van deze opdracht zullen we een reeks vragen zien om een veilig bestandssysteem te configureren dat wordt beheerd door cryptmount. Eerst wordt gevraagd naar de bestemmingsnaam voor het bestandssysteem, de gebruiker die eigenaar moet zijn van het versleutelde bestandssysteem, de locatie en grootte van het bestandssysteem, de bestandsnaam (absolute naam) voor uw versleutelde container, de sleutellocatie en het wachtwoord voor de bestemming.
Voor dit geval hebben we de naam Solvetic gebruikt voor het doelbestandssysteem. Het volgende is een voorbeelduitvoer van de uitvoer van de opdracht r-setup:
VERGROTEN
Stap 5
Later configureren we de gewenste wachtwoorden en definiëren we paden en bestandsgroottes:
VERGROTEN
Stap 6
Tot slot zien we het volgende:
VERGROTEN
Zodra we het nieuwe gecodeerde bestandssysteem hebben gemaakt, is het mogelijk om er toegang toe te krijgen op de volgende manier, met vermelding van de naam die we voor het doel gebruiken en we zullen een bericht zien waarin het wachtwoord voor de bestemming wordt gevraagd:
cryptmount Solvetic
VERGROTEN
Stap 8
Om het aangemaakte systeem te ontkoppelen gaan we het volgende uitvoeren:
cryptmount -u Solvetic
VERGROTEN
Stap 9
In het geval van meerdere versleutelde bestandssystemen kunnen we de volgende opdracht uitvoeren om te verifiëren welke we hebben:
cryptmount -l
VERGROTEN
Stap 10
Als u het wachtwoord van het doel wilt wijzigen, voeren we het volgende uit:
cryptmount -c SolveticDaar zullen we het nieuwe wachtwoord invoeren.
Om meer hulp bij dit hulpprogramma te krijgen, kunnen we een van de volgende opdrachten uitvoeren:
man cryptmount man cmtab
VERGROTEN
Cryptmount is dus een ander alternatief als het gaat om het toevoegen van beveiligingslagen, niet alleen aan het Linux-bestandssysteem, maar ook aan alle informatie die daar is opgeslagen.