Установка Kali Linux с полным шифрованием диска и с зашифрованной домашней папкой пользователя

Оглавление

1. Полнодисковое шифрование, шифрование разделов, шифрование отдельных папок и файлов

2. Как шифруются диски и разделы в Linux

3. Пароль для шифрования диска и пароль учётной записи пользователя

4. Установка Kali Linux с полным шифрованием диска

5. Как установить Kali Linux с зашифрованной домашней папкой пользователя

5.1 Как установить Kali Linux с зашифрованной домашней папкой пользователя (автоматическая разметка)

5.2 Как установить Kali Linux с зашифрованной домашней папкой пользователя (ручная разметка)

6. Команды для работы с зашифрованными дисками LVM


Сравнение различных способов развёртывания: Варианты установки Kali Linux

Полнодисковое шифрование, шифрование разделов, шифрование отдельных папок и файлов

Наверное, каждый сталкивался с зашифрованными файлами, для просмотра которых нужно ввести пароль. Это могли быть архивы или офисные файлы. Очень надёжно шифровать папки и файлы можно с помощью, например, VeraCrypt.

Смотрите также: Как надёжно зашифровать файлы, диски, флешку (инструкция по VeraCrypt)

Конечно, всё это доступно и в Linux. Вы можете создавать зашифрованные архивы, установить VeraCrypt или другую программу для шифрования файлов и папок.

Смотрите также: Как установить VeraCrypt в Linux

Кроме такого подхода к шифрованию, установщики дистрибутивов Linux предлагают полнодисковое шифрование (или полное шифрование диска). Суть заключается в том, что все данные на диске зашифрованы. При запуске компьютера загрузчик предлагает ввести пароль для расшифровки диска. Если пароль правильный, то диск расшифровывается и компьютер продолжает загрузку и работу. При таком подходе не нужно думать о шифровании отдельных файлов — зашифровано всё, поэтому нет опасности, что что-то может быть скопировано с выключенного компьютера.

Обратной стороной такого подхода является то, что шифрование немного замедляет работу системы, поскольку при чтении и записи данных на диск требуется их обработка (шифровка/расшифровка).

Другая опасность — при сбое диска (файловой системы) есть вероятность потерять данные, либо потребуется загрузка со сторонней ОС для выполнения операций по восстановлению дисков.

Шифрование разделов — это промежуточный вариант. Например, зачем шифровать корневую файловую систему и бинарные файлы, которые одинаковые у всех пользователей? При этом многие пользователи были бы не против зашифровать свою папку в директории /home. В результате получается хороший компромисс: с одной стороны, действительно важные данные зашифрованы, но при этом работа системы не замедляется, так как её файлы в большей части не зашифрованы.

Как шифруются диски и разделы в Linux

Конечно же шифрование дисков и разделов в Linux можно использовать без понимания технических деталей. Например, вы видите на скриншоте опцию «Guided — use entire disk and set up encrypted LVM».

Если её выбрать, то многое в настройке шифрования диска (или раздела), на который устанавливается ОС, будет сделано автоматически, отличие от стандартной настройки сводится к тому, что вам нужно придумать и запомнить пароль для шифрования диска.

Но если возникнут проблемы, например, ошибка в файловой системе из-за сбоя диска, то вы не сможете просто запустить fsck и исправить ошибки диска. Опять же, если вы захотите что-то другое кроме предлагаемой по умолчанию конфигурации разметки, то вам непросто будет это сделать без понимания сути LVM.

Поэтому пару слов о программах для полнодискового шифрования.

Для шифрования используются Cryptsetup и LUKS. Например, в статье «LIVE система Kali Linux на флэшке: полное руководство» показано, как создать и зашифровать постоянное хранилище. В той инструкции для создания раздела используется утилита parted, то есть получается обычный раздел диска. Шифрование раздела выполнялось утилитой cryptsetup. В той же статье показано как добавить пароль самоуничтожения данных, а также как сделать резервную копию заголовков. Поскольку «уничтожение данных» не означает повреждение самих данных, это означает только удаление заголовков, в результате чего данные невозможно расшифровать. Но если вы где-то сделали резервную копию заголовков, то вы можете их вернуть на диск и продолжить пользоваться системой как ни в чём не бывало.

Установщик Kali Linux (и других дистрибутивов на основе Debian) предлагает LVM для создания и управления томами, причём если вы хотите выбрать шифрование дисков или разделов, то они будут созданы именно с помощью LVM. Сама по себе технология LVM (Logical Volume Manager, то есть менеджер логических разделов) в первую очередь предоставляет мощные и гибкие инструменты для организации дискового пространства, например, вы можете из нескольких дисков создать один раздел или менять размеры разделов без перезагрузки системы. Установщик Kali Linux использует LVM для разметки диска и уже знакомые нам Cryptsetup и LUKS для шифрования. Всё это нужно знать хотя бы для того, что при возникновении сбоя диска, в зависимости от того, на каком этапе произошёл сбой, перед использованием fsck может понадобиться расшифровка диска с помощью «cryptsetup open --type luks» и/или активация диска с помощью lvchange/vgchange.

Смотрите также: Что такое LVM и для чего он используется?

Пароль для шифрования диска и пароль учётной записи пользователя

На первый взгляд может показаться, что пароль пользователя для входа в систему (этот же пароль применяется для выполнения команд с sudo и для разблокировки экрана, а также входа по SSH) и пароль для расшифровки диска очень похожи. Они оба предназначены для безопасности компьютера и защищают его от доступа посторонних.

Но на самом деле с практической точки зрения это довольно разные вещи. Пароль учётной записи легко изменить или сбросить. Пароль любого пользователя может изменить любой другой пользователь, имеющие право выполнять команды с sudo. Даже если отсутствуют права администратора, но имеется физический доступ к компьютеру, то можно сбросить пароль для любого пользователя, в том числе и root, подробности смотрите в статье «Как в Linux сбросить забытый пароль входа».

Что касается пароля расшифровки диска, то с ним всё по-другому: если забыть этот пароль, то его никак не получится сбросить. Теоретически, пароль можно восстановить с помощью брут-форса, но это требует время и вычислительных ресурсов.

Если вы используете полнодисковое шифрование, то в принципе можно вообще отказаться от пароля пользователя и включить автоматический вход в систему.

То есть пароль пользователя позволительно забыть, а пароль расшифровки диска забывать нельзя!

Установка Kali Linux с полным шифрованием диска

Это самый простой вариант настройки и использования — будет зашифрован весь диск. Для шифрования во время установки Kali Linux, а также для использования вам необязательно вникать в то, как это работает.

Переходим на страницу https://www.kali.org/get-kali/, в разделе Bare Metal скачиваем установочный образ.

С помощью кроссплатформенной программы Etcher записывает образ на флешку.

Смотрите также: Etcher: запись образов ОС на флешки и USB диски

Как установить Kali Linux с зашифрованной домашней папкой пользователя

Зашифрованная папка пользователя и незашифрованные файлы системы — хороший вариант, если вы хотите обезопасить свои файлы, но при этом не хотите мериться с потерей производительности системы.

В этом примере будет полностью зашифрована папка /home. Раздел с установленной ОС и зашифрованный раздел будут помещаться на одном диске, хотя можно разместить их на разных дисках.

Как установить Kali Linux с зашифрованной домашней папкой пользователя (автоматическая разметка)

Установщик имеет шаблон шифрования домашней папки пользователя и он отлично подойдёт для начинающих пользователей — параметры по умолчанию вполне приемлемые, настройка выполняется очень просто.

Шаблон разметки имеет следующие параметры:

  • EFI раздел – 500 МБ
  • /boot раздел – 500 МБ
  • / (корневой) раздел — 30 ГБ
  • swap (раздел подкачки) — 1 ГБ
  • /home раздел — всё оставшееся место

Остановимся непосредственно на разметке дисков, поскольку остальные этапы установки идентичные.

Как установить Kali Linux с зашифрованной домашней папкой пользователя (ручная разметка)

Если рассмотренный выше автоматический шаблон разметки дисков с шифрованием домашней папки вас чем-либо не удовлетворяет, то можно настроить разметку дисков вручную, ниже показано как это сделать.

При ручной разметке нужно помнить, что для нормальной установки нужно минимум два раздела:

  • EFI — достаточно 200 Мегабайт
  • / (корень файловой системы) — сюда устанавливается ОС. Если других разделов нет, то здесь же будут храниться файлы пользователей

В этом примере в дополнение к двум необходимым мы создадим ещё один раздел и зашифруем его, этот раздел будет монтироваться по пути /home.

Остановимся непосредственно на разметке дисков, поскольку остальные этапы установки идентичные.

Команды для работы с зашифрованными дисками LVM

Вывод списка блочных устройств:

lsblk

Поиск всех групп томов:

sudo vgscan

Автоактивация групп томов:

sudo vgchange -ay

Вывод списка всех логических томов во всех группах томов:

sudo lvscan

Автоактивация указанного логического тома:

sudo lvchange -ay /dev/xubuntu-vg/root

Следующая команда расшифровывает и открывает, то есть создаёт сопоставление с именем nvme0n1p3_crypt раздела /dev/nvme0n1p3.

sudo cryptsetup open --type luks /dev/nvme0n1p3 nvme0n1p3_crypt

Фактически, предыдущая команда создаёт новое блочное устройство по пути /dev/mapper/ИМЯ с расшифрованным содержимым, в данном случае это будет /dev/mapper/nvme0n1p3_crypt). Это устройство можно монтировать с помощью команды mount.

Монтирование зашифрованного раздела (после того, как он был открыт с помощью cryptsetup):

sudo mount /dev/mapper/HackWare--Kali--vg-home /home

Смотрите также: Всё о монтировании: от системного администрирования до IT криминалистики

Конфигурация для зашифрованных блочных устройств:

cat /etc/crypttab

Информация о точках монтирования содержится в файле /etc/fstab:

cat /etc/fstab

Смотрите также:

Рекомендуется Вам:

2 комментария to Установка Kali Linux с полным шифрованием диска и с зашифрованной домашней папкой пользователя

  1. Kali:

    Спасибо за статью. А можно ли по этому гайду записать Kali на ту флешку, с которой загружаюсь?

    • Alexey:

      Если задача установить Linux на флешку имея одну флешку, то да, это можно сделать. Для этого в VirtualBox создаётся виртуальная машина без диска и к ней подключаете флешку (она становится для виртуальной машины диском), а затем запускаете установку с ISO файла на «диск» виртуальной машины, который на самом деле флешка. Подробности смотрите в статье «Установка Kali Linux на флэшку или на внешний диск как полноценную ОС».

      Но конкретно в данной статье я использовал чуть другой метод подключения флешки к виртуальной машине — она подключается не как USB устройство, а как RAW диск. Подробности описаны в статьях:

      Для Linux, если я всё правильно помню, разницы нет. Но дело в том, что я сейчас пытаюсь сделать флешку с установленными на ней Windows 11 и Kali Linux, причём чтобы можно было загружаться с этой флешки как на обычном компьютере, так и в виртуальной машине. Мне лень было делать вторую виртуальную машину, поэтому я и использую уже имеющуюся с RAW диском. Но вы можете подключить флешку как USB устройство, думаю, разницы не будет. Хотя, может быть, это как-то повлияет на скорость: если у вас флешка USB 3.1 и гнездо компьютера USB 3.1 (у меня так — скорость, огонь!), то лучше подключить флешку как RAW диск.

Добавить комментарий

Ваш адрес email не будет опубликован.