LUKS - zmiana domyślnego punktu montowania

Dyskusje o wszystkim co służy ochronie systemu i danych przed nieautoryzowanym dostępem.
Dibo
Serdeczny Borsuk
Serdeczny Borsuk
Posty: 116
Rejestracja: 29 lip 2008, 20:15
Płeć: Mężczyzna
Wersja Ubuntu: 12.04
Środowisko graficzne: Unity
Architektura: x86_64

LUKS - zmiana domyślnego punktu montowania

Post autor: Dibo » 23 lis 2014, 20:03

Witam,

Zakupiłem nowego laptopa i już na etapie tworzenia partycji, stworzyłem dodatkową która ma być zaszyfrowana. Wcześniej używałem truecrypta ale w związkuu z aferą chciałbym się przenieść na LUKS'a. Udało mi się stworzyć partycje luks, podczas bootowania ubuntu (a dokładnie xubuntu) ładnie pyta sie o hasło. Problem w tym że partycja montowana jest w /media/dibo/tc_home/ a chciałbym w /home/dibo/tc_home.
Partycja znajduje się w /dev/sda6 a mój plik /etc/crypttab wygląda następująco:
# <target name> <source device> <key file> <options>
tc_home /dev/sda6 none luks
Wzorowałem się tym artykułem: https://help.ubuntu.com/community/Encry ... stemHowto3 i tym http://david.dw-perspective.org.uk/da/i ... with-luks/
Powinienem również dodać nową linię w /etc/fstab ale po jej dodaniu xubuntu ma jakiś "serious problem" podczas bootowania i proponuje pominięcie montowania tej partycji. Oryginalnie fstab wygląda tak (ta dodatkowa partycja w instalatorze xubuntu została zaznaczona jako ext4 ale bez żadnego punktu montowania)
# /etc/fstab: static file system information.
#
# Use 'blkid' to print the universally unique identifier for a
# device; this may be used with UUID= as a more robust way to name devices
# that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point> <type> <options> <dump> <pass>
# / was on /dev/sdb1 during installation
UUID=39d5060c-72d4-4b5d-81db-5c2ae03dab9e / ext4 noatime,errors=remount-ro 0 1
# /home was on /dev/sdb5 during installation
UUID=340e64e0-dae8-4be7-b199-165c71cc4a05 /home ext4 noatime,defaults 0 2
tmpfs /tmp tmpfs noexec,defaults,noatime 0 0
tmpfs /var/tmp tmpfs noexec,defaults,noatime 0 0
A tak wygląda po dodaniu nowej lini:
# /etc/fstab: static file system information.
#
# Use 'blkid' to print the universally unique identifier for a
# device; this may be used with UUID= as a more robust way to name devices
# that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point> <type> <options> <dump> <pass>
# / was on /dev/sdb1 during installation
UUID=39d5060c-72d4-4b5d-81db-5c2ae03dab9e / ext4 noatime,errors=remount-ro 0 1
# /home was on /dev/sdb5 during installation
UUID=340e64e0-dae8-4be7-b199-165c71cc4a05 /home ext4 noatime,defaults 0 2
tmpfs /tmp tmpfs noexec,defaults,noatime 0 0
tmpfs /var/tmp tmpfs noexec,defaults,noatime 0 0
/dev/sda6 /home/tc_home ext4 noatime,defaults 1 3
Może coś nie tak z kolumną dump lub pass? Nie wiem również czy "mke2fs -j -m 0 -L /home /dev/mapper/home" sformatowało partycje z ext4
Druga sprawa. Chciałbym aby szyfrowana partycja miała opcję "noatime" ponieważ wszystkie moje dyski są na SSD a to wydłuża ich żywotność
infort
Serdeczny Borsuk
Serdeczny Borsuk
Posty: 204
Rejestracja: 19 paź 2010, 02:13
Płeć: Mężczyzna
Wersja Ubuntu: 14.04
Środowisko graficzne: Unity
Architektura: x86_64
Kontakt:

Re: LUKS - zmiana domyślnego punktu montowania

Post autor: infort » 24 lis 2014, 02:12

Dibo pisze: /dev/sda6 /home/tc_home ext4 noatime,defaults 1 3
Problem tkwi w tym wpisie. Chyba nie do końca rozumiesz, jak działa takie szyfrowanie.
Zgodnie z wpisem w /etc/crypttab:

Kod: Zaznacz cały

tc_home /dev/sda6 none luks
nastąpiło utworzenie blokowego urządzenia /dev/mapper/tc_home. Odpowiada to komendzie cryptsetup luksOpen jeśli bawiłeś się w ręczne otwieranie takiego kontenera.
I teraz to urządzenie musisz zamontować jako partycję w /etc/fstab. Czyli:

Kod: Zaznacz cały

/dev/mapper/tc_home   /home/dibo/tc_home       ext4    defaults,noatime    1        3
co odpowiada komendzie mount. Oczywiście /home/dibo/tc_home musi istnieć.

Formatujesz szyfrowaną partycję z pomocą mke2fs zawsze jako mapowane urządzenie blokowe czyli formatujesz /dev/mapper/tc_home ale zanim wpiszesz to urządzenie do fstab (musi być odmontowane).
W żadnym wypadku nie wolno formatować /dev/mapper/home (u Ciebie zresztą nie powinno tego wogóle być), chyba, że chcesz mieć szyfrowaną całą partycję /home. To by wymagało jednak zmiany zarówno w /etc/crypttab jak i /etc/fstab, ustawienia odpowiednich uprawnień do plików i nie zrobisz tego inaczej niż z systemu liveusb/livecd. Jeśli mogę coś poradzić, do formatowania kontenerów/partycji użyj programu Dyski (gnome disks), unikniesz kosztownych pomyłek (utrata danych itp.).
Toshiba C850 i3-3210M 4GB RAM, Intel HD4000, Ubuntu 14.04
Samsung N145 Lubuntu 14.04

www.bezpieczneubuntu.pl
Dibo
Serdeczny Borsuk
Serdeczny Borsuk
Posty: 116
Rejestracja: 29 lip 2008, 20:15
Płeć: Mężczyzna
Wersja Ubuntu: 12.04
Środowisko graficzne: Unity
Architektura: x86_64

Re: LUKS - zmiana domyślnego punktu montowania

Post autor: Dibo » 24 lis 2014, 14:56

Dzięki infort! O to chodziło! Wszystko działa idealnie. Mam tylko dwa pytanka

1. Dysk sformatowałem tą komendą:

Kod: Zaznacz cały

sudo mke2fs -m 0 -t ext4 -L tc_home /dev/mapper/tc_home
Niby wszystko ok, ale jak wejde w GParted to pokazuje mi ów partycje z czerwonym wykrzyknikiem. To normalne? Co to oznacza? (załączyłem screen)
gparted.png
(67.23 KiB) Nie pobierany
2. Czy przed wyłączeniem komputera muszę coś ręcznie odmontowywać czy ubuntu już sam o to dba? Chodzi mi o to żeby nie utracić danych czy coś. Bo mam jeszcze dodatkowy kontener (jako plik) który montuje następująco:

Kod: Zaznacz cały

#!/bin/bash
sudo losetup /dev/loop0 /home/dibo/tc_mj.bin
sudo cryptsetup luksOpen /dev/loop0 tc_mj
sudo mount /dev/mapper/tc_mj /home/dibo/tc_mj
Czy powinien dla pewności dodać umount w /etc/rc.6 ?
infort
Serdeczny Borsuk
Serdeczny Borsuk
Posty: 204
Rejestracja: 19 paź 2010, 02:13
Płeć: Mężczyzna
Wersja Ubuntu: 14.04
Środowisko graficzne: Unity
Architektura: x86_64
Kontakt:

Re: LUKS - zmiana domyślnego punktu montowania

Post autor: infort » 24 lis 2014, 16:54

Dibo pisze: Niby wszystko ok, ale jak wejde w GParted to pokazuje mi ów partycje z czerwonym wykrzyknikiem. To normalne? Co to oznacza?
Tak, to normalne, ponieważ gparted nie obsługuje szyfrowania. Dla tego programu partycja LUKS jest widoczna jako niesformatowana lub system plików nieznany. Do obsługi szyfrowanych partycji, kontenerów itp używaj programu Dyski, on sobie radzi zarówno z montowaniem partycji szyfrowanych jak i szyfrowanych kontenerów plikowych.
Dibo pisze: Czy przed wyłączeniem komputera muszę coś ręcznie odmontowywać czy ubuntu już sam o to dba? Chodzi mi o to żeby nie utracić danych czy coś. Bo mam jeszcze dodatkowy kontener (...)
Czy powinien dla pewności dodać umount w /etc/rc.6 ?
Ubuntu przy zamykaniu systemu automatycznie odmontowuje partycje uwidocznione w /etc/fstab więc nie trzeba nic robić. Jeśli chodzi o kontener, to zasadniczo nie powinieneś go montować z uprawnieniami roota (ponownie użyj programu Dyski - opisałem to tutaj), wtedy przy wylogowaniu usera automatycznie jest wszystko odmontowane. Teoretycznie nie ma potrzeby ręcznego odmontowywania w przypadku normalnego zamknięcia systemu, nie słyszałem o przypadku utraty danych gdy kontener jest na dysku twardym komputera. Niemniej, w przypadku ważnych danych zawsze musisz mieć kopię zapasową, coś może pójść nie tak i wtedy szanse na odzyskanie danych są przy szyfrowaniu praktycznie żadne.
Toshiba C850 i3-3210M 4GB RAM, Intel HD4000, Ubuntu 14.04
Samsung N145 Lubuntu 14.04

www.bezpieczneubuntu.pl
ODPOWIEDZ

Wróć do „Bezpieczeństwo Ubuntu”