Kürzlich habe ich demonstriert, wie man eine vollständige Laufwerksverschlüsselung unter Linux mit LUKS und dem cryptsetup implementiert Befehl. Während das Verschlüsseln eines ganzen Laufwerks in vielen Fällen nützlich ist, gibt es Gründe, warum Sie vielleicht nicht ein ganzes Laufwerk verschlüsseln möchten. Beispielsweise benötigen Sie möglicherweise ein Laufwerk, um auf mehreren Plattformen zu funktionieren, von denen einige möglicherweise keine LUKS-Integration (Linux Unified Key Setup) haben. Außerdem leben wir im 21. Jahrhundert, die Cloud existiert und Sie verwenden möglicherweise nicht für alle Ihre Daten ein physisches Laufwerk.
Weitere Linux-Ressourcen
- Spickzettel für Linux-Befehle
- Spickzettel für fortgeschrittene Linux-Befehle
- Kostenloser Online-Kurs:RHEL Technical Overview
- Spickzettel für Linux-Netzwerke
- SELinux-Spickzettel
- Spickzettel für allgemeine Linux-Befehle
- Was sind Linux-Container?
- Unsere neuesten Linux-Artikel
Vor einigen Jahren gab es ein System namens TrueCrypt, das es Benutzern ermöglichte, verschlüsselte Datei-„Tresore“ zu erstellen, die von TrueCrypt entschlüsselt werden konnten, um Lese-/Schreibzugriff zu ermöglichen. Es war eine nützliche Technik und stellte im Wesentlichen ein virtuelles tragbares und vollständig verschlüsseltes Laufwerk bereit, auf dem Sie wichtige Daten speichern konnten. TrueCrypt wurde eingestellt, dient aber als interessantes Modell.
Glücklicherweise ist LUKS ein flexibles System, und Sie können es und cryptsetup verwenden um einen verschlüsselten Tresor als eigenständige Datei zu erstellen, die Sie auf einem physischen Laufwerk oder im Cloud-Speicher speichern können.
So geht's.
1. Erstellen Sie eine leere Datei
Zunächst müssen Sie eine leere Datei mit einer vorgegebenen Größe erstellen. Dieser dient als eine Art Tresor oder Tresor, in dem Sie andere Dateien aufbewahren können. Der Befehl, den Sie dafür verwenden, ist fallocate , aus dem util-linux Paket:
$ dd if=/dev/urandom of=vaultfile.img bs=1M count=512Dieses Beispiel erstellt eine 512-MB-Datei, aber Sie können Ihre Datei beliebig groß machen.
(Mit /dev/urandom da die Quelle der Fülldaten sicherstellt, dass ein Hexdump nicht in der Lage ist, tatsächliche Daten von leerem Raum zu unterscheiden.)
2. Erstellen Sie ein LUKS-Volume
Erstellen Sie als Nächstes ein LUKS-Volume in der leeren Datei:
$ cryptsetup --verify-passphrase \
luksFormat vaultfile.img
3. Öffnen Sie das LUKS-Volume
Damit Sie ein Dateisystem erstellen können, das für die Dateispeicherung bereit ist, müssen Sie zuerst das LUKS-Volume öffnen und es auf Ihrem Computer einhängen:
$ sudo cryptsetup open \
--type luks vaultfile.img myvault
$ ls /dev/mapper
myvault
4. Erstellen Sie ein Dateisystem
Erstellen Sie ein Dateisystem in Ihrem offenen Tresor:
$ sudo mkfs.ext4 -L myvault /dev/mapper/myvaultWenn Sie es gerade nicht benötigen, können Sie es schließen:
$ sudo cryptsetup close myvault5. Beginnen Sie mit der Nutzung Ihres verschlüsselten Tresors
Jetzt, da alles eingerichtet ist, können Sie Ihren verschlüsselten Dateitresor verwenden, wann immer Sie private Daten speichern oder darauf zugreifen müssen. Um auf Ihren Tresor zuzugreifen, müssen Sie ihn als verwendbares Dateisystem einhängen:
$ sudo cryptsetup open \
--type luks vaultfile.img myvault
$ ls /dev/mapper
myvault
$ sudo mkdir /myvault
$ sudo mount /dev/mapper/myvault /myvault
Dieses Beispiel öffnet den Tresor mit cryptsetup und mountet dann den Tresor von /dev/mapper in ein neues Verzeichnis namens /myvault . Wie bei jedem Volume unter Linux können Sie das LUKS-Volume an einer beliebigen Stelle einhängen, also anstelle von /myvault , können Sie /mnt verwenden oder ~/myvault oder was auch immer Sie bevorzugen.
Während es gemountet ist, wird Ihr LUKS-Volume entschlüsselt. Sie können darauf Dateien lesen und schreiben, als wäre es ein physisches Laufwerk.
Wenn Sie mit der Verwendung Ihres verschlüsselten Tresors fertig sind, heben Sie die Bereitstellung auf und schließen Sie ihn:
$ sudo umount /myvault
$ sudo cryptsetup close myvault
Verschlüsselte Dateitresore
Eine Bilddatei, die Sie mit LUKS verschlüsseln, ist so portabel wie jede andere Datei, sodass Sie Ihren Tresor auf Ihrer Festplatte, einem externen Laufwerk oder sogar im Internet speichern können. Solange Sie LUKS zur Verfügung haben, können Sie es entschlüsseln, mounten und verwenden, um Ihre Daten zu schützen. Es ist eine einfache Verschlüsselung für verbesserte Datensicherheit, also probieren Sie es aus.