🎷 👩🏿‍🤝‍👩🏾 👩🏼‍🏭 क्रिप्टो बाइक, या सर्वर से USB कुंजी 🕴🏻 ⚽️ 🐌

कई प्रणाली प्रशासकों ने एक से अधिक बार "साइकिल का आविष्कार किया" कुछ प्रतीत होता है कि तुच्छ कार्यों को करने के लिए। मैं एक विस्तृत कहानी बताना चाहता हूं, जो एक सर्वर के लॉग से प्रेरित है जो सर्वर रखरखाव को रोकने के लिए आया था और आधिकारिक दस्तावेजों के अनुसार बहाल किया गया था, इनमें से एक साइकिल के आविष्कार के बारे में। बहुत सारे पत्र और (एच) कंसोल को सावधानी!

लगभग 2 साल पहले, मुझे काम के लिए एक रैक-माउंट सर्वर प्रदान किया गया था, जिसमें GNU / linux ऑपरेटिंग सिस्टम (काफी पुराने ubuntu पढ़ें), और 2 गीगाबाइट की क्षमता के साथ 2 Trans USB USB ड्राइव (मैं ऐसा क्यों नहीं करता) के निर्माण के लिए प्रमुख वाहक।
कार्य सेट किया गया था: अनधिकृत पहुंच को रोकने के लिए सर्वर पर स्थित डेटाबेस के साथ विभाजन को एन्क्रिप्ट करने के लिए।
कार्य को पूरा करने के लिए, एलयूकेएस विभाजन एन्क्रिप्शन प्रौद्योगिकी को चुना गया था।
निम्नलिखित उपकरण भी आवश्यक थे:

बाहरी मीडिया (usb hdd) जिसमें बूट करने योग्य GNU / linux ऑपरेटिंग सिस्टम और पर्याप्त मात्रा में खाली जगह है;
स्क्रिप्ट लिखने और परीक्षण करने के लिए आर्क-लिनक्स ऑपरेटिंग सिस्टम वाला कंप्यूटर;

मूल रूप से एन्क्रिप्टेड फ़ाइल सिस्टम को माउंट करने और कनेक्ट करने के लिए अंतर्निहित वितरण एल्गोरिदम का उपयोग करने की योजना बनाई गई थी, लेकिन या तो अनुभव की कमी थी, या कुछ अन्य कारणों ने मुझे एक ठहराव के लिए प्रेरित किया। खैर, पहले बातें पहले।

शुरुआत में, निश्चित रूप से, मैंने बाहरी मीडिया से बूट किया और सर्वर से सभी डेटा का पूर्ण बैकअप बनाया, उसी समय मैंने / etc / fstab फ़ाइल का अध्ययन किया। चूँकि बैकअप हटाने के तुरंत बाद किसी को भी सुपरसुअर पासवर्ड का पता नहीं था, इसलिए मैंने रूट यूजर लाइन में पता किए पासवर्ड का हैश लिखकर / etc / shadow फाइल को संशोधित किया। इस प्रकार स्थापित प्रणाली तक पहुँच प्राप्त करने के बाद, मैं काम करने के लिए तैयार हूँ:
नेटवर्क से जुड़ा:

# dhclient

Cryptsetup उपयोगिता स्थापित की, जिसमें LUKS एन्क्रिप्शन सिस्टम के साथ काम करने के लिए उपकरण शामिल हैं:

 # apt-get update # apt-get install cryptsetup

फ़ाइल "/ tmp / key" के लिए लिखा गया 256-वर्ण का छद्म-यादृच्छिक अनुक्रम उत्पन्न करता है:

 # dd if=/dev/random of=/tmp/key bs=1 count=256

वैसे, ऑपरेटिव में टीएमपी लगाया गया था। Crypto_LUKS के पहले खंड के दूसरे विभाजन के प्रकार को सेट करें और वर्चुअल विभाजन "/ dev / mapper / dtb" बनाया, जिसे LUKS एल्गोरिदम का उपयोग करके वास्तविक एन्क्रिप्टेड में मैप किया गया है:

 # cryptsetup luksFormat /dev/sdb2 /tmp/key # cryptsetup luksOpen /dev/sdb2 dtb

एन्क्रिप्टेड के लिए मैप किए गए वर्चुअल पार्टीशन पर, उसने एक नई ext4 फाइल सिस्टम बनाया और इसे / mnt डायरेक्टरी में माउंट किया:

 # mkfs.ext4 /dev/mapper/dtb # mount /dev/mapper/dtb /mnt

आदेश का उपयोग करके, डेटा ट्रांसफर करने के लिए:

 # /etc/init.d/postgresql stop

पोस्टग्रैक्स्ल डेमन को रोक दिया, और मिडनाइट कमांडर प्रोग्राम का उपयोग करते हुए, मैंने सभी फाइलों को / var / lib / pgsql / mnt से कॉपी किया, जिसके बाद / var / lib / pgsql डायरेक्टरी को क्लियर किया गया। पहले खंड का एन्क्रिप्ट किया गया दूसरा खंड / var / lib / pgsql निर्देशिका में अनमाउंट किया गया था:

 # umount /dev/mapper/dtb # mount /dev/mapper/dtb /var/lib/pgsql

विभाजन एन्क्रिप्शन कुंजी के रूप में उपयोग की गई फ़ाइल "/ tmp / key" फ्लैश ड्राइव में से एक को भेजी गई थी।

कैसे एक फ्लैश ड्राइव पकाने के लिए

फ्लैश ड्राइव सीधे पैकेज में लाया गया। जब मैंने फ्लैश ड्राइव में से एक को अपने कंप्यूटर में चिपका दिया, तो यह देखने के लिए कि क्या यह प्रारूपित है और किस फाइल सिस्टम में है, यह पता चला कि मुख्य खंड के सामने सात मेगाबाइट की खाली जगह थी। तुरंत मुझे यह पता चला कि उपयोगकर्ता को गलती से कुंजी को हटाने से कैसे बचाया जाए! आगे एक खंड बनाया, ext2 में स्वरूपित। खिड़कियों के नीचे, अनुभाग बिल्कुल भी दिखाई नहीं देता है, भले ही उपयोगकर्ता फ्लैश ड्राइव के मुख्य अनुभाग को प्रारूपित करता है, यह अपनी सर्वर-लॉन्चिंग क्षमताओं को नहीं खोता है।

मिडनाइट कमांडर प्रोग्राम और कमांड-लाइन उपयोगिताओं का उपयोग करके एन्क्रिप्टेड विभाजन का कॉन्फ़िगरेशन / etc / cryptsupup फ़ाइल में जोड़ा गया था। हालाँकि, परीक्षण रिबूट के दौरान यह पाया गया कि ऑपरेटिंग सिस्टम को लोड करने की ख़ासियत के कारण, यह / etc / fstab से प्रमुख मीडिया को माउंट नहीं कर सकता / सकती है जब तक कि / etc / cryptsetup फ़ाइल की प्रोसेसिंग नहीं होती है, परिणामस्वरूप, एन्क्रिप्टेड विभाजन माउंट नहीं किया जाता है, क्योंकि यह तब से है बिना कुंजी फ़ाइल के माउंट नहीं किया जा सकता है।

आवश्यक निर्देश (कुंजी माध्यम को बढ़ाना, एन्क्रिप्टेड विभाजन को सक्रिय करना, कुंजी विभाजन को अनमाउंट करना और एन्क्रिप्टेड विभाजन को बढ़ाना) उचित आदेशों का उपयोग करके /etc/rc.local फ़ाइल में दर्ज किए गए थे

इस क्रिया ने सकारात्मक परिणाम दिए (डाउनलोड पूरा होने के बाद, विभाजन को सही जगह पर रखा गया था), हालांकि, r rllocal फ़ाइल पोस्टग्रैक्स्ल डेमॉन की तुलना में बहुत बाद में लॉन्च की गई थी, जो डेमॉन के संचालन के दौरान डेटाबेस फ़ाइलों को सही तरीके से माउंट किए जाने के बाद अप्रत्याशित परिणाम दे सकती थी।

वर्तमान स्थिति का विश्लेषण करने के साथ-साथ, बैकअप अनुभाग और स्वैप विभाजन को एन्क्रिप्ट करने की आवश्यकता को ध्यान में रखते हुए, डेटाबेस और कुंजियों से अनधिकृत पहुंच को रोकने के लिए जो स्वैप स्थान में हो सकती है, एक विशेष स्टार्ट-अप स्क्रिप्ट बनाने का निर्णय लिया गया था। जो लोडिंग के प्रारंभिक चरण में प्रमुख डिवाइस और एन्क्रिप्टेड विभाजन को माउंट करेगा, जब तक कि पोस्टग्रैस्कल डेमन की शुरुआत और स्वैपिंग की आवश्यकता नहीं होगी।

नतीजतन, एक विशेष शुरुआती बैश स्क्रिप्ट बनाई गई थी जो उपरोक्त सभी कार्यों का प्रदर्शन करती थी, अर्थात्

मैंने एक महत्वपूर्ण उपकरण खोजा और उसे लगाया
यदि एक प्रमुख डिवाइस का पता लगाया गया है और सफलतापूर्वक माउंट किया गया है, तो यह एन्क्रिप्टेड विभाजन को जोड़ता है और माउंट करता है
सुरक्षित हटाने के लिए महत्वपूर्ण उपकरण नहीं है
पिछले ऑपरेशन के परिणाम के बावजूद, यह सुनिश्चित करेगा कि स्वैप विभाजन एक एन्क्रिप्टेड विभाजन पर मुहिम की जाती है

इसके अलावा, स्क्रिप्ट लिखने और डिबग करने की प्रक्रिया में, हम निम्नलिखित विशेषताओं को लागू करने में कामयाब रहे:

Fstab फ़ाइल के सिंटैक्स के समान सरल वाक्यविन्यास के साथ एक विशेष फ़ाइल का उपयोग करके लुक्स एल्गोरिथ्म का उपयोग करके एन्क्रिप्ट किए गए सभी संस्करणों को केंद्रीय रूप से प्रबंधित करने की क्षमता
असीमित संख्या में एन्क्रिप्टेड विभाजन के लिए असीमित संख्या में कुंजियों का उपयोग करने की सैद्धांतिक क्षमता (सिस्टम संसाधनों की थकावट से जुड़ी कुछ सीमाएं हैं)
विभिन्न फाइलों के एक अलग सेट के साथ विभिन्न स्वतंत्र कुंजी मीडिया बनाने की क्षमता
एन्क्रिप्टेड ड्राइव के विभिन्न सेटों को माउंट और अनमाउंट करने की क्षमता

स्क्रिप्ट लिखने की प्रक्रिया में, यह पाया गया कि उबंटू रिपॉजिटरी में क्रायसेपसेटअप पैकेज का एक पुराना संस्करण था, (यह निर्दिष्ट यूयूआईडी के साथ एक खंड उत्पन्न नहीं कर सकता था), इसलिए कार्यक्रम का वर्तमान संस्करण स्रोत कोड से संकलित किया गया था और मानक ubuntu पैकेज के बजाय स्थापित किया गया था।
बैश स्क्रिप्ट को /etc/init.d/encryptdb में स्थापित किया गया था। स्क्रिप्ट को स्थापित करने के बाद, विभिन्न डिबगिंग क्रियाएं की गईं, जो सिस्टम की सामान्य स्थिति को नहीं बदलती हैं। डिबगिंग के बाद, अपडेट-rc.d एनक्रिप्टड डिफॉल्ट्स कमांड का उपयोग करके स्क्रिप्ट को स्वचालित मोड में चलाने के लिए सक्रिय किया गया था। स्क्रिप्ट के साथ-साथ, सेटिंग्स फ़ाइल / etc / keycrypt / keycryptab और / etc / keycrypt / keydrv स्थापित किए गए थे।

अनुप्रयोगों:

रूसी में टिप्पणियों के साथ एनक्रिप्टेड स्क्रिप्ट

 #!/bin/bash ### BEGIN INIT INFO # Provides: cryptdisks # Required-Start: checkroot cryptdisks-early # Required-Stop: umountroot cryptdisks-early # Should-Start: udev mdadm-raid lvm2 # Should-Stop: udev mdadm-raid lvm2 # X-Start-Before: checkfs # X-Interactive: true # Default-Start: 2 3 4 5 # Default-Stop: 0 6 # Short-Description: Setup remaining encrypted block devices. # Description: ### END INIT INFO #     ,   , #          KEYCRYPTAB_DIR=/etc/keycrypt #   KEYCRYPTAB_FILE=$KEYCRYPTAB_DIR/keycryptab #        #       #              # : # <uuid > <  > <   links> < > #          "swap". #          2 : "none"  "random" # Use the option "none" is not recommended. # Examples: # 11111111-2222-3333-4444-555555555555 random swap1 swap # #safety swap partition. It no need any keyfile, but must be encrypted # 12345678-1234-4321-1234-567890123456 harry.key harry /home/harry # #home directory for Harry, Harry have the "harry.key" in his flash drive # 66666666-9999-8888-7777-000000000000 ntldr public "/var/ftp" # #publuc directory, all staff have the "ntldr" file in flash drives KEYDRIVER_FILE=$KEYCRYPTAB_DIR/keydrv #       #              # : # <uuid> <timeout> <dotmount> # Examples: # kkkkkkkk-kkkk-kkkk-kkkk-kkkkkkkkkkkk 20 /media/keys SWAPCLEAN_FILE=$KEYCRYPTAB_DIR/swapclean.flg # NOTE!!! If u are not using the encription swap # u need to run "dd if=/dev/urandom of=/u/swap/partition". # Otherwise encryption will not make sense. # I was include this functional on the skript, but # it will take a very long time to load OS. #=====================Begin of script===================== # Do not edit next if you are not sure what you are doing! #DBG="on" #       UMOUNT_FLAG="" #       #   ,     , 6  ( !     ) DEBUG() { if [ "$DBG" = "on" ] then echo -e "\E[33;40m$1 $2 $3 $4 $5 $6"; tput sgr0 fi } #           SetStruct() { str=`echo $1 | sed 's/#.*/ /g'` n=0 for arg in $str do let "n+=1" case "$n" in 1) CRYPT_UUID=$arg ;; 2) KEY_FILENAME=$arg ;; 3) CRYPT_NAME=$arg ;; 4) CRYPT_MOUNTPOINT=$arg return 0 ;; *) DEBUG "too many arguments: $arg" ;; esac done return 1 } #            SetKey() { nk=0 str=`echo $1 | sed 's/#.*/ /g'` for arg in $str do let "nk+=1" case "$nk" in 1) KEY_UUID=$arg ;; 2) KEY_TIMEOUT=$arg if (( KEY_TIMEOUT < 0 )) then echo "Invalid key timeout for $KEY_UUID" KEY_TIMEOUT=1 fi if (( KEY_TIMEOUT > 60 )) then echo "Invalid key timeout for $KEY_UUID" KEY_TIMEOUT=60 fi DEBUG "KEY_TIMEOUT=$KEY_TIMEOUT" ;; 3) KEY_MOUNTPOINT=$arg return 0 ;; *) DEBUG "too many arguments: $arg" ;; esac done return 1 } #     PrepareKeyDrv() { if [ ! -e "/dev/disk/by-uuid/$KEY_UUID" ] then #     echo -en "Waiting $KEY_TIMEOUT seconds for the key device \r" #    for (( n = ++KEY_TIMEOUT; n ; n-- )) do if [ ! -e "/dev/disk/by-uuid/$KEY_UUID" ] then (( KEY_TIMEOUT-- )) echo -en "Waiting $KEY_TIMEOUT seconds for the key device \r" else echo echo "Key device was found!" DEBUG $KEY_UUID break fi if [ "$n" = "1" ] then echo echo "Not found a key device!" DEBUG "Now completing PrepareKeyDrv()" # ,  return 1 fi sleep 1 # it is not a debug! Do not comment it! done fi #, ,     uuid DEBUG "Mounting the key device" if [ ! -d "$KEY_MOUNTPOINT" ]; then RM_KMP=1 mkdir $KEY_MOUNTPOINT fi uuid_l=`echo $KEY_UUID | wc -m` case "$uuid_l" in 10) mount /dev/disk/by-uuid/$KEY_UUID $KEY_MOUNTPOINT -t vfat -o ro DEBUG "fat detected" ;; 17) mount /dev/disk/by-uuid/$KEY_UUID $KEY_MOUNTPOINT -t ntfs-3g -o force,ro DEBUG "ntfs detected" ;; 37) mount /dev/disk/by-uuid/$KEY_UUID $KEY_MOUNTPOINT -o ro DEBUG `mount | grep $KEY_MOUNTPOINT ` ;; *) DEBUG "Can not identify type of the file system on the specified uuid:" DEBUG "$KEY_UUID" mount /dev/disk/by-uuid/$KEY_UUID $KEY_MOUNTPOINT -o ro ;; esac } #       UmountKey() { DEBUG "Unmounting the key device" umount $1 /dev/disk/by-uuid/$KEY_UUID if [ "$RM_KMP" = "1" ]; then rmdir $KEY_MOUNTPOINT fi } #      PrepareSwap() { if [ "$KEY_FILENAME" = "random" ] then #      if [ ! -e "/dev/disk/by-uuid/$CRYPT_UUID" ] then #    #  echo "Not found any partition for swap with UUID:" echo "$CRYPT_UUID" ###              else #   echo "Prepare to encripting swap" DEBUG "Disable all swaps" #    (,     ?) swapoff -a DEBUG "Regenerating new temporary key" #      mkdir /tmp/key ###                  #       (   ?     ?) mount -t ramfs none /tmp/key -o maxsize=1 #   dd if=/dev/urandom of=/tmp/key/swapkey$CRYPT_UUID bs=1 count=256 &> /dev/null DEBUG "Configuring encrypt on the swap partition" #      echo "YES"|cryptsetup luksFormat /dev/disk/by-uuid/$CRYPT_UUID /tmp/key/swapkey$CRYPT_UUID --uuid=$CRYPT_UUID #   DEBUG "Openinig swap partition for operations" cryptsetup luksOpen /dev/disk/by-uuid/$CRYPT_UUID $CRYPT_NAME --key-file /tmp/key/swapkey$CRYPT_UUID #   DEBUG "Erasing temporary key" rm -r -f /tmp/key/swapkey$CRYPT_UUID #   umount none #   UUID   (   uuid luks    ) DEBUG "Regenerating swapfs uuid" FS_CRYPT_UUID=`uuidgen` #echo $FS_CRYPT_UUID > $KEYCRYPTAB_DIR/swaps/$CRYPT_UUID DEBUG "Creating swap format" if [ -e "$SWAPCLEAN_FILE" ] then #     -            ###            ,   ,            . echo "Swap partition was mounted unsafe, cleaning..." echo -e 'It may take a long time. \e[31;40mDo not halt the computer! \e[0m' S=`fdisk -s /dev/mapper/$CRYPT_NAME` let "S *= 1024" dd if=/dev/urandom | pv -s $S | dd of=/dev/mapper/$CRYPT_NAME 2> /dev/null rm -r -f $SWAPCLEAN_FILE fi #  swapfs mkswap -f -U $FS_CRYPT_UUID /dev/mapper/$CRYPT_NAME &> /dev/null #   DEBUG "Activating swap" swapon -U $FS_CRYPT_UUID fi else #  ,           - if [ ! -e "/dev/disk/by-uuid/$CRYPT_UUID" ] then echo "Not found any partition for swap with UUID:" echo "$CRYPT_UUID" else chkswapt=`cat /proc/swaps | grep "$CRYPT_NAME"` if [ ! "$chkswapt" = "" ] then echo "Oops! \e[31;40mYou already have the swap! \e[0m" cat /proc/swaps echo "heck your 'fstab', 'cryptab' and '$KEYCRYPTAB_FILE'" echo "files for duplicate entries for swap partition" echo "In future use only one of these files to manage swaps" return 0 else echo -e '\e[31;40mWARNING!!! \e[0mThe system uses the unface way to manage swap!' echo 'You need to use value "random" of <key filename> on the' echo "$KEYCRYPTAB_FILE file for all swap partition!" fi swapoff -a mkswap -f -U $CRYPT_UUID /dev/disk/by-uuid/$CRYPT_UUID &> /dev/null swapon -U $CRYPT_UUID && echo "Remoove this file for disable cleaning swap on boot time" > $SWAPCLEAN_FILE # echo $CRYPT_UUID > $KEYCRYPTAB_DIR/swaps/$CRYPT_UUID fi fi } #       PrepareVolumes() { cat $KEYCRYPTAB_FILE | while read line; do #        if SetStruct "$line" then #     if [ ! -e "/dev/disk/by-uuid/$CRYPT_UUID" ] then #     # ,    echo "Not found encrypted partition with UUID:" echo "$CRYPT_UUID" else #    if [[ "$CRYPT_MOUNTPOINT" = "swap" && "$1" = "swaps" ]] then #          "swaps" #        PrepareSwap else #     if [[ "$CRYPT_MOUNTPOINT" != "swap" && "$1" != "swaps" ]] ###   ,  !                 ,            . then #        "swaps" #    echo "Opening encrypted volume" cryptsetup luksOpen /dev/disk/by-uuid/$CRYPT_UUID $CRYPT_NAME --key-file $KEY_MOUNTPOINT/$KEY_FILENAME if [ -e "/dev/mapper/$CRYPT_NAME" ] then #   #      echo "Mounting encrypted volume" if [ ! -d "$CRYPT_MOUNTPOINT" ]; then mkdir $CRYPT_MOUNTPOINT fi mount /dev/mapper/$CRYPT_NAME $CRYPT_MOUNTPOINT fi fi fi fi fi done } case "$1" in start) #         start #     # if [ -d "$KEYCRYPTAB_DIR/swaps/" ] # then # rm -r -f $KEYCRYPTAB_DIR/swaps/*.* # else # mkdir --parents $KEYCRYPTAB_DIR/swaps/ # fi cat $KEYDRIVER_FILE | while read line; do #      if SetKey "$line" then #     if PrepareKeyDrv then #      #    PrepareVolumes #    UmountKey fi fi done #   PrepareVolumes swaps DEBUG "Now comleting" ;; stop) #         st #    OS cat $KEYCRYPTAB_FILE | while read line; do #        if SetStruct "$line" then #     if [ "$CRYPT_MOUNTPOINT" = "swap" ] then #       DEBUG "Deactivating swap /dev/mapper/$CRYPT_NAME" #      swapoff /dev/mapper/$CRYPT_NAME # swapoff -UUID=`cat $KEYCRYPTAB_DIR/swaps/$CRYPT_UUID` else #  (    ) #      chkmnt=`mount | grep "$CRYPT_NAME"` if [ "$chkmnt" != "" ] then #   #  echo "Unmounting encrypted volume" DEBUG "/dev/mapper/$CRYPT_NAME" umount $UMOUNT_FLAG /dev/mapper/$CRYPT_NAME fi fi if [ -e "/dev/mapper/$CRYPT_NAME" ] then #     echo "Closing encrypted volume" DEBUG "/dev/mapper/$CRYPT_NAME" #  cryptsetup luksClose $CRYPT_NAME fi fi done ;; restart|reload) do_stop do_start ;; force-reload) UMOUNT_FLAG="-f" do_stop do_start ;; *) echo "Usage: $1 {start|stop|restart|reload|force-reload}" echo "Actions 'stop', 'restart', 'reload' and 'force-reload' will unmount" echo "all encrypted disk partitions, including partition containing swap" echo "To mount the additional partitions without unount already mounted," echo "run $1 script with the parameter 'start' again" exit 1 ;; esac

Keycryptab फ़ाइल

 #All swap partition is required for the mount point "swap" #key file name for swap can take only 2 values: #"none" (is strongly not recommended) and "random" example: #11111111-2222-3333-4444-555555555555 random swap1 swap #<uuid> <key filename> <luks name> <dotmount> 0cf1c420-09a0-4338-85b4-df6aed780425 random swap1 swap 4ebecf51-4a5a-4aaf-ba97-3523129e567c keyfile.key dtb /var/lib/pgsql 0feb764f-195e-487d-a0ed-1de525fb3282 bacup.key bkp /media/old #this file MUST contain final newline or final comment

Keydrv फ़ाइल

 # Syntax: # <uuid> <timeout> <dotmount> # Example: # kkkkkkkk-kkkk-kkkk-kkkk-kkkkkkkkkkkk 20 /media/keys # <uuid> <timeout> <dotmount> 609e85b7-5fa8-4434-9210-b8df1d4c0a66 20 /media/keys bc5e202a-1523-46bc-95f4-3c89f10edd27 120 /media/keys #bacup user #this file MUST contain final newline or final comment

वर्तमान में समाधान पहले से ही कई सर्वरों पर चल रहा है और डेबियन के लिए अनुकूलित किया गया है

ArchLinux

 #!/bin/bash #Keycrypt 1.1 2012  ArchLinux #     ,   , #          #         . /etc/rc.conf . /etc/rc.d/functions KEYCRYPTAB_DIR=/etc/keycrypt #   KEYCRYPTAB_FILE=$KEYCRYPTAB_DIR/keycryptab #    #        #       #              # : # <uuid > <  > <   links> < > #          "swap". #          2 : "none"  "random" # Use the option "none" is not recommended. # Examples: # 11111111-2222-3333-4444-555555555555 random swap1 swap # #safety swap partition. It no need any keyfile, but must be encrypted # 12345678-1234-4321-1234-567890123456 harry.key harry /home/harry # #home directory for Harry, Harry have the "harry.key" in his flash drive # 66666666-9999-8888-7777-000000000000 ntldr public "/var/ftp" # #publuc directory, all staff have the "ntldr" file in flash drives KEYDRIVER_FILE=$KEYCRYPTAB_DIR/keydrv #     #       #              # : # <uuid> <timeout> <dotmount> # Examples: # kkkkkkkk-kkkk-kkkk-kkkk-kkkkkkkkkkkk 20 /media/keys SWAPCLEAN_FILE=$KEYCRYPTAB_DIR/swapclean.flg # NOTE!!! If u are not using the encription swap # u need to run "dd if=/dev/urandom of=/u/swap/partition". # Otherwise encryption will not make sense. # I was include this functional on  sript, but # it will take a very long time to load OS. DBG="on" #       #=====================Begin of script===================== # Do not edit next if you are not sure what you are doing! UMOUNT_FLAG="" #       #   ,     , 6  ( !     ) DEBUG() { if [ "$DBG" = "on" ] then echo -e "\E[33;40m$1 $2 $3 $4 $5 $6"; tput sgr0 fi } #           SetStruct() { str=`echo $1 | sed 's/#.*/ /g'` n=0 for arg in $str do let "n+=1" case "$n" in 1) CRYPT_UUID=$arg ;; 2) KEY_FILENAME=$arg ;; 3) CRYPT_NAME=$arg ;; 4) CRYPT_MOUNTPOINT=$arg return 0 ;; *) DEBUG "too many arguments: $arg" ;; esac done return 1 } #            SetKey() { nk=0 str=`echo $1 | sed 's/#.*/ /g'` for arg in $str do let "nk+=1" case "$nk" in 1) KEY_UUID=$arg ;; 2) KEY_TIMEOUT=$arg if (( KEY_TIMEOUT < 0 )) then echo "Invalid key timeout for $KEY_UUID" KEY_TIMEOUT=1 fi if (( KEY_TIMEOUT > 60 )) then echo "Invalid key timeout for $KEY_UUID" KEY_TIMEOUT=60 fi DEBUG "KEY_TIMEOUT=$KEY_TIMEOUT" ;; 3) KEY_MOUNTPOINT=$arg return 0 ;; *) DEBUG "too many arguments: $arg" ;; esac done return 1 } #     PrepareKeyDrv() { if [ ! -e "/dev/disk/by-uuid/$KEY_UUID" ] then #     echo -en "Waiting $KEY_TIMEOUT seconds for the key device \r" #    for (( n = ++KEY_TIMEOUT; n ; n-- )) do if [ ! -e "/dev/disk/by-uuid/$KEY_UUID" ] then (( KEY_TIMEOUT-- )) echo -en "Waiting $KEY_TIMEOUT seconds for the key device \r" else DEBUG "Key device was found!" DEBUG $KEY_UUID break fi if [ "$n" = "1" ] then DEBUG "Not found a key device!" DEBUG "Now completing PrepareKeyDrv()" # ,  return 1 fi sleep 1 # it is not a debug! Do not comment it! done fi #, ,     uuid DEBUG "Mounting the key device" if [ ! -d "$KEY_MOUNTPOINT" ]; then RM_KMP=1 mkdir $KEY_MOUNTPOINT fi uuid_l=`echo $KEY_UUID | wc -m` case "$uuid_l" in 10) mount /dev/disk/by-uuid/$KEY_UUID $KEY_MOUNTPOINT -t vfat -o ro DEBUG "fat detected" ;; 17) mount /dev/disk/by-uuid/$KEY_UUID $KEY_MOUNTPOINT -t ntfs-3g -o force,ro DEBUG "ntfs detected" ;; 37) mount /dev/disk/by-uuid/$KEY_UUID $KEY_MOUNTPOINT -o ro DEBUG `mount | grep $KEY_MOUNTPOINT ` ;; *) DEBUG "Can not identify type of the file system on the specified uuid:" DEBUG "$KEY_UUID" mount /dev/disk/by-uuid/$KEY_UUID $KEY_MOUNTPOINT -o ro ;; esac } #       UmountKey() { DEBUG "Unmounting the key device" umount $1 /dev/disk/by-uuid/$KEY_UUID if [ "$RM_KMP" = "1" ]; then rmdir $KEY_MOUNTPOINT fi } #      PrepareSwap() { if [ "$KEY_FILENAME" = "random" ] then #      if [ ! -e "/dev/disk/by-uuid/$CRYPT_UUID" ] then #    #  DEBUG "Not found any partition for swap with UUID:" DEBUG "$CRYPT_UUID" ###              else #   DEBUG "Prepare to encripting swap" DEBUG "Disable all swaps" #    (,     ?) swapoff -a DEBUG "Regenerating new temporary key" #      mkdir /tmp/key ###                  #       (   ?     ?) mount -t ramfs none /tmp/key -o maxsize=1 #   dd if=/dev/urandom of=/tmp/key/swapkey$CRYPT_UUID bs=1 count=256 &> /dev/null DEBUG "Configuring encrypt on the swap partition" #      echo "YES"|cryptsetup luksFormat /dev/disk/by-uuid/$CRYPT_UUID /tmp/key/swapkey$CRYPT_UUID --uuid=$CRYPT_UUID #   DEBUG "Openinig swap partition for operations" cryptsetup luksOpen /dev/disk/by-uuid/$CRYPT_UUID $CRYPT_NAME --key-file /tmp/key/swapkey$CRYPT_UUID #   DEBUG "Erasing temporary key" rm -r -f /tmp/key/swapkey$CRYPT_UUID #   umount none #   UUID   (   uuid luks    ) DEBUG "Regenerating swapfs uuid" FS_CRYPT_UUID=`uuidgen` #echo $FS_CRYPT_UUID > $KEYCRYPTAB_DIR/swaps/$CRYPT_UUID DEBUG "Creating swap format" if [ -e "$SWAPCLEAN_FILE" ] then #     -            ###            ,   ,            . echo "Swap partition was mounted unsafe, cleaning..." echo -e 'It may take a long time. \e[31;40mDo not halt the computer! \e[0m' S=`fdisk -s /dev/mapper/$CRYPT_NAME` let "S *= 1024" dd if=/dev/urandom | pv -s $S | dd of=/dev/mapper/$CRYPT_NAME 2> /dev/null rm -r -f $SWAPCLEAN_FILE fi #  swapfs mkswap -f -U $FS_CRYPT_UUID /dev/mapper/$CRYPT_NAME &> /dev/null #   DEBUG "Activating swap" swapon -U $FS_CRYPT_UUID fi else #  ,           - if [ ! -e "/dev/disk/by-uuid/$CRYPT_UUID" ] then DEBUG "Not found any partition for swap with UUID:" DEBUG "$CRYPT_UUID" else chkswapt=`cat /proc/swaps | grep "$CRYPT_NAME"` if [ ! "$chkswapt" = "" ] then echo "Oops! \e[31;40mYou already have the swap! \e[0m" cat /proc/swaps echo "heck your 'fstab', 'cryptab' and '$KEYCRYPTAB_FILE'" echo "files for duplicate entries for swap partition" echo "In future use only one of these files to manage swaps" return 0 else echo -e '\e[31;40mWARNING!!! \e[0mThe system uses the unface way to manage swap!' echo 'You need to use value "random" of <key filename> on the' echo "$KEYCRYPTAB_FILE file for all swap partition!" fi swapoff -a mkswap -f -U $CRYPT_UUID /dev/disk/by-uuid/$CRYPT_UUID &> /dev/null swapon -U $CRYPT_UUID && echo "Remoove this file for disable cleaning swap on boot time" > $SWAPCLEAN_FILE # echo $CRYPT_UUID > $KEYCRYPTAB_DIR/swaps/$CRYPT_UUID fi fi } #       PrepareVolumes() { cat $KEYCRYPTAB_FILE | while read line; do #        if SetStruct "$line" then #     if [ ! -e "/dev/disk/by-uuid/$CRYPT_UUID" ] then #     # ,    DEBUG "Not found encrypted partition with UUID:" DEBUG "$CRYPT_UUID" else #    if [[ "$CRYPT_MOUNTPOINT" = "swap" && "$1" = "swaps" ]] then #          "swaps" #        PrepareSwap else #     if [[ "$CRYPT_MOUNTPOINT" != "swap" && "$1" != "swaps" ]] ###   ,  !                 ,            . then #        "swaps" #    DEBUG "Opening encrypted volume" cryptsetup luksOpen /dev/disk/by-uuid/$CRYPT_UUID $CRYPT_NAME --key-file $KEY_MOUNTPOINT/$KEY_FILENAME if [ -e "/dev/mapper/$CRYPT_NAME" ] then #   #      DEBUG "Mounting encrypted volume" if [ ! -d "$CRYPT_MOUNTPOINT" ]; then mkdir $CRYPT_MOUNTPOINT fi mount /dev/mapper/$CRYPT_NAME $CRYPT_MOUNTPOINT fi fi fi fi fi done } case "$1" in start) #         start #     stat_busy "Preparing encrypted partitions" # if [ -d "$KEYCRYPTAB_DIR/swaps/" ] # then # rm -r -f $KEYCRYPTAB_DIR/swaps/*.* # else # mkdir --parents $KEYCRYPTAB_DIR/swaps/ # fi cat $KEYDRIVER_FILE | while read line; do #      if SetKey "$line" then #     if PrepareKeyDrv then #      #    PrepareVolumes #    UmountKey fi fi done #   PrepareVolumes swaps DEBUG "Now comleting" if [ $? -gt 0 ]; then stat_fail else stat_done fi add_daemon internet ;; stop) #         st #    OS cat $KEYCRYPTAB_FILE | while read line; do #        if SetStruct "$line" then #     if [ "$CRYPT_MOUNTPOINT" = "swap" ] then #       DEBUG "Deactivating swap /dev/mapper/$CRYPT_NAME" #      swapoff /dev/mapper/$CRYPT_NAME # swapoff -UUID=`cat $KEYCRYPTAB_DIR/swaps/$CRYPT_UUID` else #  (    ) #      chkmnt=`mount | grep "$CRYPT_NAME"` if [ "$chkmnt" != "" ] then #   #  DEBUG "Unmounting encrypted volume" DEBUG "/dev/mapper/$CRYPT_NAME" umount $UMOUNT_FLAG /dev/mapper/$CRYPT_NAME fi fi if [ -e "/dev/mapper/$CRYPT_NAME" ] then #     DEBUG "Closing encrypted volume" DEBUG "/dev/mapper/$CRYPT_NAME" #  cryptsetup luksClose $CRYPT_NAME fi fi done rm_daemon internet if [ $? -gt 0 ]; then stat_fail else stat_done fi ;; restart|reload) do_stop do_start ;; force-reload) UMOUNT_FLAG="-f" do_stop do_start ;; *) echo "Usage: $1 {start|stop|restart|reload|force-reload}" echo "Actions 'stop', 'restart', 'reload' and 'force-reload' will unmount" echo "all encrypted disk partitions, including partition containing swap" echo "To mount the additional partitions without unount already mounted," echo "run $1 script with the parameter 'start' again" exit 1 ;; esac

(इससे पहले कि वह systemd हो गया)।

क्रिप्टो बाइक, या सर्वर से USB कुंजी

More articles: