Titkosított filerendszer

A Unix/Linux szerverek üzemeltetése wikiből
A lap korábbi változatát látod, amilyen Vape (vitalap | szerkesztései) 2006. november 14., 17:55-kor történt szerkesztése után volt.

(eltér) ←Régebbi változat | Aktuális változat (eltér) | Újabb változat→ (eltér)

Tartalomjegyzék

1 Titkosított fájlrendszerek Linux alatt

A hálózati titkosítást végző protokollok nem védenek az ellen, ha a géphez fizikailag hozzáférnek. Az ilyen típusú támadás ellen véd a filerendszeren lévő adatok titkosítása.

3 széles körben elterjedt megoldás készült a filerendszerek titkosítására.

1.1 cryptoloop

  • a kernel része
  • a kernel cryptoapi által támogatott titkosító algoritmusokkal dolgozik
  • a 2.6.3-as kernelváltozattal bezárólag ez az alapértelmezett titkosítási mechanizmus
  • máig sem javított biztonsági rés van benne, ezért használata nem ajánlott

1.2 loop-AES

  • a 2.4-es és 2.6-os kernelekkel is jól működik
  • nem része a hivatalos kernelnek
    • szükség van a kernel és az util-linux programcsomag patchelésére a megfelelő működéséhez
  • jól optimalizált titkosító algoritmussal dolgozik (nagyon gyors)
  • nagyon biztonságos
    • képes Multikey módban működni, azaz a titkosításhoz több kulcsot is képes használni

1.3 dm-crypt

  • a hivatalos kernel része
  • a 2.6.4-es kernel óta ez az alapértelmezett titkosítási mechanizmus
  • a device-mapper felett működik (akárcsak az LVM2/EVMS 2.x)
  • a cryptoloop-ot váltja le, okai:
    • sokkal rugalmasabban kezelhető
    • biztonságosabb
    • szintén a kernel cryptoapi titkosító algoritmusaival dolgozik
    • lehetőség van a cryptoloop alatt használt fájlrendszerek migrálására
  • lassabb és kevésbé biztonságos, mint a loop-AES
    • viszont nem kell hozzá patchelni sem a kernelt, sem a kapcsolódó programokat
  • még nem túl kiforrott, de folyamatosan fejlesztik és készülnek hozzá a használatot segítő eszközök
  • valójában csak egy mappelést végez az adatok írásakor és olvasásakor
    • beállítás után transzparensen használható
  • eszköz szinten végzi a mappelést, így beállítás után bármilyen fájlrendszert létrehozhatunk rajta
    • akár RAID és LVM is megvalósítható

1.3.1 A dm-crypt beállítása

TODO (később befejezem)

Személyes eszközök