把员工的信息保存在加密的Linux分区中
互联网 发布时间:2008-10-08 19:01:41 作者:佚名 我要评论
我们时不时地能看到这样的头条新闻:“某公司损失了3千万客户的个人社会安全码,以及其他个人敏感信息还有财务数据!我们不该愤怒吗?”通常都是“承包商”(注意为什么从来都不会是雇员)在他的(似乎是)带有千兆硬盘的笔记本上存储了所有这些信息,
我们时不时地能看到这样的头条新闻:“某公司损失了3千万客户的个人社会安全码,以及其他个人敏感信息还有财务数据!我们不该愤怒吗?”通常都是“承包商”(注意为什么从来都不会是雇员)在他的(似乎是)带有千兆硬盘的笔记本上存储了所有这些信息,然后这个笔记本丢失或者被盗走了,但是没有人知道准确的时间和地点。或者是,某个供应商负责运输一大盒备份磁带,而显然这个供应商“太穷了”,连带有防盗锁的汽车都买不起。对我来说,这些解释都是无稽之谈,甚至是荒谬;承包商怎么会最先获得所有的敏感数据?为什么他们需要把所有的数据放到笔记本上?为什么要让买不起高安全性能的汽车的那些人来运送一大盒的敏感信息备份磁带呢?他们怎么会知道丢失了哪些数据,怎么会知道这些数据是否被加密或者究竟有没有被妥善保护?
还真是有不少无法回答的问题。本文的主题就是如何用加密文件系统在硬盘中保护敏感数据。这个方案是提供给那些移动用户和需要在服务器和工作站中保护数据安全的人们的。我们将使用既简单又功能强大的cryptsetup-luks。我们会创建一个加密的分区,只需在装载时提供口令。然后你就可以像其他分区一样地使用该分区了。
Debian,Ubuntu,还有Fedora都可以用cryptsetup-luks了。你不需要修改内核或者其他任何东西;你只要安装就行了。
Debian和Ubuntu 系列上:
# aptitude安装cryptsetup
在Fedora上:
#yum安装cryptsetup-luks
让系统做好准备
不幸的是,cryptsetup不能给你系统中现有的数据加密;因此你必须创建加密的分区,然后将数据转移到新建的分区中。用GParted(Gnome分区编辑器)来管理分区很方便,所有主流的Linux版本上都有GParted。你可以用它重新设置分区大小、移动、删除或者创建分区,并且可以选择自己喜欢的文件系统格式化方式。它能够支持你系统内核所支持的所有的分区类型以及文件系统,因此如果你机器上是双系统的话,你甚至可以在Windows分区上使用该工具。如果是新的硬盘分区上的话,你可以用Gparted live CD。
本文中我们只探讨怎样给数据分区加密。我也知道许多方法可以给其他文件系统的、保存了潜在的敏感信息的那些分区加密,比如/var和/etc,但是这两个都很复杂并且刁钻,它们都不能能在启动的时候加密。因此,我这里只讨论现有的比较成熟的这些,因为根据我自己的测试,其他那些方法还无法稳定工作。
你用一种文件系统将分区格式化并没有什么关系,所有东西都可以重写,加密后文件格式也是可变的。
你将用密码来保护你的加密分区。如果你把密码弄丢了,那就太不幸了,你就无法取回这些数据了。
给分区加密
有了新的空白分区后,你可以用cryptsetup命令来给它加密。注意一定确保是在加密要保护的那个分区:
# cryptsetup --verbose --verify-passphrase -c aes-cbc-plain luksFormat /dev/sda2
当心!
这将把不可逆转地改写/dev/sda2 上的数据。
Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:
Command successful.
以上命令创建加密的分区。现在我们需要创建可以装载的逻辑分区,并给它命名。本例中,我们给它命名为sda2,你也可以叫它test、fred、我的秘密分区或者任何你喜欢的名字:
# cryptsetup luksOpen /dev/sda2 sda2
Enter LUKS passphrase:
key slot 0 unlocked.
Command successful.
如下命令将显示/dev/mapper路径中的隐藏设备:
$ ls -l /dev/mapper
total 0
crw-rw---- 1 root root 10, 63 2007-06-09 18:38 control
brw-rw---- 1 root disk 254, 0 2007-06-09 19:46 sda2
现在把文件系统放到逻辑分区上:
# mkfs.ext3 /dev/mapper/sda2
你需要做一个装载点,这样你就能装载并且使用这个新的、加密过的分区了。记住,你必须从/dev/mapper/路径下使用该设备。我会把它放在根目录下。注意哪些需要根权限的操作:
$ mkdir /home/me/crypted
# mount /dev/mapper/sda1 /home/me/crypted
确保它被装载了,编写一个测试文件:
# df -H
[...]
Filesystem Size Used Avail Use% Mounted on
/dev/mapper/sda2 7.9G 152M 7.3G 3% /home/carla/crypted
# cd /home/me/crypted
# nano test
# ls
lost found test
让它对用户可用
到目前为止一切顺利!但还有一个大问题:只有本地才能访问该分区。我们得让普通用户也能使用它。你可以在/etc/fstab中能够管理这个虚拟分区,就像管理其他分区一样。往/etc/fstab中加入一行,以便允许没有特殊权限的用户来加载或者卸载该分区:
/dev/mapper/sda2 /home/carla/crypted ext3 user,atime,noauto,rw,dev,exec,suid 0 0
这样Carla可以自己加载这个分区了:
$ mount ~/crypted
但是Carla仍然无法往其中写入数据。因此我们再次需要设置本地权限,把正确的权限和许可方如已经加载的隐藏设备:
# chown carla:carla /home/carla/crypted/
# chmod 0700 /home/carla/crypted/
好了那么,很多人都可以像Carlas一样了!但是我们需要让Carla读写一些加密的文件夹,而让其他人无法读写这些文件夹。
你可以卸载并且手动关闭加密分区:
$ umount crypted
# cryptsetup luksClose sda2
只有在打开加密设备的时候,你才需要输入LUKS密码。记住,如果丢了密码,你就完蛋了。你可以删除分区重新再来,但是数据是无法恢复的。打开加密设备并加载以后,你就可以像使用其它分区一样使用它了。
你得用本地权限来运行cryptsetup。这对用户来说可能不是很方便。我们也有很多针对这个问题的解决方法。其中一种就是使用sudo;Ubuntu用户有现成的全功能的sudo。另一种方法是把它设置成在系统启动的时候开启,并在系统关闭的时候关闭。或者你也可能想要创建一些桌面图标,以便让用户可以随时按需要启动和关闭它。
相关文章
- “CMOS密码”就是通常所说的“开机密码”,主要是为了防止别人使用自已的计算机,设置的一个屏障2023-08-01
QQScreenShot之逆向并提取QQ截图--OCR和其他功能
上一篇文章逆向并提取QQ截图没有提取OCR功能, 再次逆向我发现是可以本地调用QQ的OCR的,但翻译按钮确实没啥用, 于是Patch了翻译按钮事件, 改为了将截图用百度以图搜图搜索.2023-02-04- QQ截图是我用过的最好用的截图工具, 由于基本不在电脑上登QQ了, 于是就想将其提取出独立版目前除了屏幕录制功能其他都逆出来了, 在此分享一下2023-02-04
非系统分区使用BitLocker加密导致软件无法安装的解决方法
很多电脑用户在考虑自己电脑磁盘分区安全时会采用 Windows 自带的 BitLocker 加密工具对电脑磁盘分区进行加密。但有些人加密后就会忘记自己设置的密码从而导致在安装其它软2020-11-25防止离职员工带走客户、防止内部员工泄密、避免华为员工泄密事件的发生
这篇文章为大家详细介绍了如何才能防止离职员工带走客户、防止内部员工泄密、避免华为员工泄密事件的发生,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2017-06-27彻底防止计算机泄密、重要涉密人员离职泄密、涉密人员离岗离职前防范举
近些年企业商业机密泄漏的事件屡有发生,这篇文章主要教大家如何彻底防止计算机泄密、重要涉密人员离职泄密、告诉大家涉密人员离岗离职前的防范举措,具有一定的参考价值,2017-06-27- 最近有电脑用户反应量子计算机可以破解下载的所有的加密算法吗?其实也不是不可以,下面虚拟就为大家讲解买台量子计算机,如何分分钟破解加密算法2016-09-26
怎么破解Webshell密码 Burpsuite破解Webshell密码图文教程
webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,一种网页后门。黑客通常会通过它控制别人网络服务器,那么怎么破解webshell密码呢?一起来看看吧2016-09-19- 本文讨论了针对Linux系统全盘加密的冷启动攻击,大家都认为这种攻击是可行的,但执行这么一次攻击有多难?攻击的可行性有多少呢?需要的朋友可以参考下2015-12-28
防止泄露公司机密、企业数据防泄密软件排名、电脑文件加密软件排行
面对日渐严重的内部泄密事件,我们如何守护企业的核心信息,如何防止内部泄密也就成了摆在各个企业领导面前的一大问题。其实,针对内网安全,防止内部信息泄漏早已有了比较2015-12-17
最新评论