Titkosított filerendszer
A Unix/Linux szerverek üzemeltetése wikiből
(Változatok közti eltérés)
Vape (vitalap | szerkesztései) |
Vape (vitalap | szerkesztései) (→beállítás) |
||
40. sor: | 40. sor: | ||
** akár RAID és LVM is megvalósítható |
** akár RAID és LVM is megvalósítható |
||
− | ==== beállítás ==== |
+ | ==== A dm-crypt beállítása ==== |
TODO (később befejezem) |
TODO (később befejezem) |
A lap jelenlegi, 2006. november 14., 18:55-kori változata
Tartalomjegyzék |
[szerkesztés] 1 Titkosított fájlrendszerek Linux alatt
A hálózati titkosítást végző protokollok nem védenek az ellen, ha a géphez fizikailag hozzáférnek. Az ilyen típusú támadás ellen véd a filerendszeren lévő adatok titkosítása.
3 széles körben elterjedt megoldás készült a filerendszerek titkosítására.
[szerkesztés] 1.1 cryptoloop
- a kernel része
- a kernel cryptoapi által támogatott titkosító algoritmusokkal dolgozik
- a 2.6.3-as kernelváltozattal bezárólag ez az alapértelmezett titkosítási mechanizmus
- máig sem javított biztonsági rés van benne, ezért használata nem ajánlott
[szerkesztés] 1.2 loop-AES
- a 2.4-es és 2.6-os kernelekkel is jól működik
- nem része a hivatalos kernelnek
- szükség van a kernel és az util-linux programcsomag patchelésére a megfelelő működéséhez
- jól optimalizált titkosító algoritmussal dolgozik (nagyon gyors)
- nagyon biztonságos
- képes Multikey módban működni, azaz a titkosításhoz több kulcsot is képes használni
[szerkesztés] 1.3 dm-crypt
- a hivatalos kernel része
- a 2.6.4-es kernel óta ez az alapértelmezett titkosítási mechanizmus
- a device-mapper felett működik (akárcsak az LVM2/EVMS 2.x)
- a cryptoloop-ot váltja le, okai:
- sokkal rugalmasabban kezelhető
- biztonságosabb
- szintén a kernel cryptoapi titkosító algoritmusaival dolgozik
- lehetőség van a cryptoloop alatt használt fájlrendszerek migrálására
- lassabb és kevésbé biztonságos, mint a loop-AES
- viszont nem kell hozzá patchelni sem a kernelt, sem a kapcsolódó programokat
- még nem túl kiforrott, de folyamatosan fejlesztik és készülnek hozzá a használatot segítő eszközök
- valójában csak egy mappelést végez az adatok írásakor és olvasásakor
- beállítás után transzparensen használható
- eszköz szinten végzi a mappelést, így beállítás után bármilyen fájlrendszert létrehozhatunk rajta
- akár RAID és LVM is megvalósítható
[szerkesztés] 1.3.1 A dm-crypt beállítása
TODO (később befejezem)