12.13 Шифрование дисковых разделов во FreeBSD


Текст предоставилLucky Green.

FreeBSD предоставляет прекрасную возможность по защите от несанкционированного доступа к данным. Права на доступ к файлам и технология мандатного контроля доступа MAC (Mandatory Access Control) (смотрите see Section 10.12) помогают предотвратить несанкционированный доступ посторонних лиц к данным, при условии работы операционной системы и компьютера. Однако права доступа, контролируемые операционной системой, не имеют значения, если нападающий получает физический доступ к компьютеру и может просто перенести жёсткий диск на другую машину для копирования и дальнейшего анализа важных данных.

Вне зависимости от того, как атакующий завладел жёстким диском или выключенным компьютером, технология gbde (GEOM Based Disk Encryption - шифрование диска на уровне GEOM) может защитить данные файловой системы компьютера даже против очень заинтересованной атакующей стороны с достаточными ресурсами. В отличие от громоздких систем шифрования, которые шифруют отдельные файлы, gbde шифрует в прозрачном режиме файловую систему в целом, при этом данные в открытом виде на диск никогда не записываются.
12.13.1 Включение gbde в ядре

Получите права пользователя root

Настройка gbde требует права доступа администратора системы.
% su -
Password:

Проверьте номер версии операционной системы

Для работы gbde(4) требуется FreeBSD 5.0 и выше.
# uname -r
5.0-RELEASE

Включите поддержку gbde(4) в конфигурационный файл ядра

При помощи вашего любимого текстового редактора добавьте следующую строку в файл конфигурации вашего ядра:

options GEOM_BDE

Выполните конфигурацию, компиляцию и установку нового ядра FreeBSD. Этот процесс описан в Chapter 9.

Перезагрузитесь, запустив новое ядро.
12.13.2 Подготовка зашифрованного жёсткого диска

В следующем примере предполагается, что в вашу систему вы добавляете новый винчестер, на котором будет располагаться единственный раздел с зашифрованными данными. Этот раздел будет монтироваться в каталог /private. gbde может также использоваться для шифрования /home и /var/mail, но это требует более сложной последовательности действий, что выходит за рамки этого вводного материала.

Подключите новый жёсткий диск

Установите новый диск в систему, как это описано в Section 12.3. В рамках этого примера раздел, соответствующий новому жёсткому диску, будет называться /dev/ad4s1c. Устройства /dev/ad0s1* представляют существующие стандартные разделы FreeBSD нашей тестовой системы.
# ls /dev/ad*
/dev/ad0 /dev/ad0s1b /dev/ad0s1e /dev/ad4s1
/dev/ad0s1 /dev/ad0s1c /dev/ad0s1f /dev/ad4s1c
/dev/ad0s1a /dev/ad0s1d /dev/ad4

Создайте каталог для размещения файлов блокировок GBDE
# mkdir /etc/gbde

Файл блокировки gbde содержит информацию, которая нужна gbde для доступа к зашифрованному разделу. Не имея доступа к файлу блокировки, gbde не сможет расшифровать данные, хранимые в зашифрованном разделе, без значительного ручного вмешательства, что программно не поддерживается. Каждый зашифрованный раздел использует отдельный файл блокировки.

Инициализируйте раздел gbde

Перед началом работы с разделом gbde его необходимо проинициализировать. Эта инициализация производится только один раз:
# gbde init /dev/ad4s1c -i -L /etc/gbde/ad4s1c

gbde(8) запустит редактор, что позволит вам задать в шаблоне различные конфигурационные параметры. При работе с файловыми системами UFS1 и UFS2 задайте значение sector_size равным 2048:
$FreeBSD: src/sbin/gbde/template.txt,v 1.1 2002/10/20 11:16:13 phk Exp $
#
# Sector size is the smallest unit of data which can be read or written.
# Making it too small decreases performance and decreases available space.
# Making it too large may prevent filesystems from working. 512 is the
# minimum and always safe. For UFS, use the fragment size
#
sector_size = 2048
[...]

gbde(8) дважды запросит ввод пароля, который будет использоваться для защиты данных. Пароль в обоих случаях должен вводиться одинаковый. Возможности gbde по защите ваших данных полностью зависят от качества выбранной вами ключевой фразы. [1]

По команде gbde init создаётся файл блокировок для вашего раздела gbde, который в нашем случае будет иметь имя /etc/gbde/ad4s1c.

Caution: Резервные копии файлов блокировок gbde должны храниться вместе с содержимым шифруемых разделов. Хотя удаление только блокировочного файла не сможет противостоять дешифрации атакующим раздела gbde, без этого файла даже легитимный пользователь не сможет получить доступ к данным без определённых и значительных усилий, что не поддерживается gbde(8) и его разработчиком.

Подключите зашифрованный раздел к системе
# gbde attach /dev/ad4s1c -l /etc/gbde/ad4s1c

Будет выдан запрос на ввод ключевой фразы, которую вы выбирали во время инициализации зашифрованного раздела. Новое защищённое устройство будет видно в каталоге /dev под названием /dev/device_name.bde:
# ls /dev/ad*
/dev/ad0 /dev/ad0s1b /dev/ad0s1e /dev/ad4s1
/dev/ad0s1 /dev/ad0s1c /dev/ad0s1f /dev/ad4s1c
/dev/ad0s1a /dev/ad0s1d /dev/ad4 /dev/ad4s1c.bde

Создайте файловую систему на зашифрованном устройстве

Как только защищённое устройство будет подключено к системе, вы сможете создать на нём файловую систему. Для этого используется утилита newfs(8). Так как инициализация новой файловой системы UFS2 происходит быстрее, чем инициализация файловой системы старого формата UFS1, то рекомендуется использовать newfs(8) с параметром -O2.

Note: Во FreeBSD 5.1-RELEASE и последующих релизах параметр -O2 используется по умолчанию.
# newfs -U -O2 /dev/ad4s1c.bde

Note: Запуск команды newfs(8) должен выполняться над подключенном разделе gbde, который идентифицируется по расширению *.bde в имени устройства.

Смонтируйте зашифрованный раздел

Создайте точку монтирования для зашифрованной файловой системы.
# mkdir /private

Смонтируйте защищённую файловую систему.
# mount /dev/ad4s1c.bde /private

Проверьте доступность зашифрованной файловой системы

Защищённая файловая система теперь должна быть доступна утилите df(1) и доступной для использования.
% df -H
Filesystem Size Used Avail Capacity Mounted on
/dev/ad0s1a 1037M 72M 883M 8%
/devfs 1.0K 1.0K 0B 100% /dev
/dev/ad0s1f 8.1G 55K 7.5G 0% /home
/dev/ad0s1e 1037M 1.1M 953M 0% /tmp
/dev/ad0s1d 6.1G 1.9G 3.7G 35% /usr
/dev/ad4s1c.bde 150G 4.1K 138G 0% /private
12.13.3 Монтирование имеющихся зашифрованных файловых систем

После каждой загрузки для каждой защищённой файловой системы перед их использованием должны выполняться повторное подключение к системе, проверка на наличие ошибок и монтирование. Требуемые для этого команды должны выполняться пользователем root.

Подключение gbde-раздела к системе
# gbde attach /dev/ad4s1c -l /etc/gbde/ad4s1c

Будет выдан запрос на ввод ключевой фразы, выбранной на этапе инициализации зашифрованного раздела gbde.

Проверка файловой системы на наличие ошибок

Так как защищаемая файловая система не может пока быть указана в файле /etc/fstab для автоматического монтирования, то она должны проверяться на наличие ошибок посредством ручного запуска fsck(8) до её монтирования.
# fsck -p -t ffs /dev/ad4s1c.bde

Монтирование зашифрованной файловой системы
# mount /dev/ad4s1c.bde /private

Теперь защищённая файловая система доступна для работы.
12.13.3.1 Автоматическое монтирование зашифрованных разделов

Для автоматического подключения, проверки и монтирования зашифрованного раздела можно создать скрипт, но во соображениям безопасности в этом скрипте пароля для gbde(8) быть не должно. Поэтому рекомендуется запускать такие скрипты вручную, а пароль задавать с консоли или сеанса ssh(1).
12.13.4 Криптографическая защита, применяемая в gbde

gbde(8) шифрует содержимое секторов при помощи 128-битного AES в режиме CBC. Каждый сектор диска шифруется различным ключом AES. Более полная информацию о системе шифрования gbde, включая алгоритм генерации ключей для секторов из ключевой фразы, вводимой пользователем, можно найти на страницах справочной системы о gbde(4).
12.13.5 Вопросы совместимости

sysinstall(8) несовместим с устройствами, зашифрованными gbde. Все устройства *.bde перед запуском sysinstall(8) должны быть отключены от системы, или эта утилита аварийно завершит работу на этапе обнаружения устройств. Для отключения защищённого устройства, используемого в нашем примере, воспользуйтесь такой командой:
# gbde detach /dev/ad4s1c

Также заметьте, что, так как vinum(4) работает не через подсистему geom(4), то вы не можете использовать тома vinum с gbde.
Notes[1]
Советы по выбору легкозапоминающихся ключевых фраз можно найти на сайте Diceware Passphrase.

Обновлено: 12.03.2015