[HOWTO] Veracrypt szyfrowanie (folderu/partycji) /home / klucz USB

Awatar użytkownika
kobrawerde
Wytworny Kaczor
Wytworny Kaczor
Posty: 436
Rejestracja: 10 wrz 2006, 16:00
Płeć: Mężczyzna
Wersja Ubuntu: 18.04
Środowisko graficzne: MATE
Architektura: x86_64

[HOWTO] Veracrypt szyfrowanie (folderu/partycji) /home / klucz USB

Post autor: kobrawerde » 06 kwie 2019, 21:32

Pewnie jest więcej sposobów / metod na zaszyfrowanie folderu /home programem Veracrypt .....ja przedstawię jeden z nich który działa prawidłowo na systemie Linux Mint - Tara (mate) / Xubuntu 18.04.2 LTS
W tej konfiguracji na początku musimy zainstalować dwa programy: Veracrypt / Cryptsetup

Kod: Zaznacz cały

sudo apt-get install cryptsetup
a veracrypt najlepiej z PPA:

Kod: Zaznacz cały

sudo add-apt-repository ppa:unit193/encryption
sudo apt update
sudo apt install veracrypt
Tworzymy plik o nazwie: crypttab

Kod: Zaznacz cały

sudo touch /etc/crypttab
i folder w moim przypadku o nazwie np. vc-kris ( oczywiście najlepiej zastosować własną nazwę jednak unikajmy standardowej : veracrypt1 bo potem nie będziemy mieli możliwości utworzyć kontenera z menu gui programu Veracrypt !!! ) w ścieżce:

Kod: Zaznacz cały

sudo mkdir /media/nazwa_użytkownika_systemu!/vc-kris
W menu gui programu Veracrypt tworzymy kontener ( lub szyfrujemy partycję ) o nazwie np : vc-m i wielkości sporo większej niż folder /home !!! ( uwzględniając późniejsze rozrastanie się systemu ) format u mnie to ext4 :razz:
Uwaga! kontener najlepiej utworzyć w podstawowej lokalizacji systemu czyli / lub na osobnej partycji i potem przenieść w w/w miejsce. Lokalizacja /home ... /Pulpit ... /dokumenty ...etc nie jest wskazana na późniejsze przeniesienie i skasowanie danych z w/w ścieżki /home :mrgreen:
Gdyby program veracrypt nie chciał utworzyć kontenera w lokalizacji / możemy wcześniej utworzyć plik o nazwie vc-m i nadać mu odpowiednie uprawnienia a potem w programie veracrypt zastąpić/nadpisać w/w.
Edytujemy plik crypttab i wpisujemy dane ( np. uwzględniając ścieżkę do kontenera vc-m )

Kod: Zaznacz cały

sudo nano /etc/crypttab
wpis:

Kod: Zaznacz cały

vc-kris /vc-m none tcrypt-veracrypt
Montujemy na chwilę nasz kontener vc w programie veracrypt żeby odczytać w systemie nazwę/numer UUID podmontowanego dysku.

Kod: Zaznacz cały

sudo blkid
przykładowo jest to :
/dev/mapper/vc-kris: UUID="klbba604-5f99-4scb-8aba-5b46f1dfs8cc" TYPE="ext4"
edytujemy plik fstab i dodajemy na końcu :

Kod: Zaznacz cały

sudo nano /etc/fstab
wpisy:

Kod: Zaznacz cały

/dev/mapper/vc-kris /media/nazwa_użytkownika_systemu!/vc-kris auto nosuid,nodev,nofail 0 0
Montujemy kontener i przenosimy folder /home zgodnie ze świetnie napisanym tuto-rialem @kszyhus Przenoszenie /home z partycji systemowej na inną partycję
na zamontowaną partycję z tym że w całej konfiguracji zmieniamy opcję :
ext4 defaults 0 2 na : auto nofail 0 0

Jeśli wszystko pójdzie OK to podczas startu systemu mając włączoną w grub-ie opcję :
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash "
Ukaże nam się menu wpisania hasła do zamontowania dysku/kontenera veracrypt ...3 - krotne wpisane nieprawidłowe hasło spowoduje próbę uruchomienia systemu ....oczywiście nieudaną ! :razz:
Obrazek

Klucz USB pendrive

Jeśli ktoś chce jeszcze bardziej utrudnić dostanie się do kontenera veracrypt... to tak dla paranoików :razz: a może w dzisiejszych czasach już niekoniecznie ? Musimy zaszyfrować kontener veracrypt z opcją pliku klucza : keyfile np. generując go w opcjach dodatkowych :
Obrazek
Najlepiej nadając mu niezbyt adekwatną do zastosowania nazwę np. install ... a nie key / klucz itd :razz:
Formatujemy jakiś USB/pendrive na system plików FAT32 i kopiujemy w/w plik na pendrive.
Teraz musimy spowodować żeby pendrive był montowany podczas startu systemu. Ale tylko ten nasz konkretny pendrive !
Tworzymy folder pod który będzie montowany nasz pendrive np:

Kod: Zaznacz cały

sudo mkdir /media/key
Identyfikujemy unikalny nr UUID naszego USB-stick-a :

Kod: Zaznacz cały

sudo blkid
np. jest to:

Kod: Zaznacz cały

/dev/sdb1: LABEL="USB" UUID="A888-7777" TYPE="vfat" PARTUUID="d7d475d06-02"
Edytujemy plik fstab i dodajemy wpis :

Kod: Zaznacz cały

UUID=A888-7777	/media/key	vfat auto,nofail,noatime,users,rw,uid=1000,gid=1000,x-systemd.device-timeout=1 0 0
opcja : x-systemd.device-timeout=1 - spowoduje iż nawet gdy pendrive nie zostanie użyty system nie zawiesi się ani nie zgłosi żadnego błędu. Będzie można standardowo wpisać w menu nawet poprawne hasło do kontenera ale .... system się nie uruchomi ! :razz:
opcje rw,uid=1000,gid=1000 - umożliwią zapisywanie danych na USB w systemie.
Dodajemy do pliku crypttab wpis dotyczący utworzonego keyfile: install

Kod: Zaznacz cały

vc-kris /vc-m none tcrypt-veracrypt,tcrypt-keyfile=/media/key/install
Po całej zabawie zawartość pliku fstab u mnie wygląda tak:

Kod: Zaznacz cały

# /etc/fstab: static file system information.
#
# Use 'blkid' to print the universally unique identifier for a
# device; this may be used with UUID= as a more robust way to name devices
# that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
# / was on /dev/sda3 during installation
UUID=9g3d6587-c3f9-4ca5-55ad-fgb7d9bcdd88 /               ext4    errors=remount-ro 0       1
/swapfile                                 none            swap    sw              0       0

UUID=A888-7777	/media/key	vfat auto,nofail,noatime,users,rw,uid=1000,gid=1000,x-systemd.device-timeout=1 0 0

/dev/mapper/vc-kris /media/kris/vc-kris auto nosuid,nodev,nofail 0 0

UUID=klbba604-5f99-4scb-8aba-5b46f1dfs8cc /home auto nofail 0 0
Mam nadzieję że wszystko poprawnie opisałem. Ale z racji tego iż są to bardzo wrażliwe a nawet niebezpieczne zmiany w systemie linux przed wykonaniem tego HOWTO polecam dokonanie backup-u partycji systemowej programem Clonezilla !
np. Uruchamianie Clonezilli-live / ISO z GRUB / Automatyzacja
Na koniec możemy pokusić się o automatyczne logowanie w systemie i pozbycie się także ekranu logowania by niepotrzebnie wpisywać dwa razy hasło ...wystarczy tylko hasło do kontenera veracrypt :razz:
Powodzenia !
ODPOWIEDZ

Wróć do „Instalacja i konfiguracja systemu”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość