Cryptmount - ยูทิลิตี้สำหรับสร้างระบบไฟล์ที่เข้ารหัสใน Linux
Cryptmount เป็นโปรแกรมอรรถประโยชน์อันทรงพลังที่ช่วยให้ผู้ใช้สามารถเข้าถึงระบบไฟล์ที่เข้ารหัสได้ตามความต้องการภายใต้ระบบ GNU/Linux โดยไม่ต้องใช้สิทธิ์ระดับรูท ต้องใช้ Linux 2.6 หรือสูงกว่า มันจัดการทั้งพาร์ติชั่นที่เข้ารหัสและไฟล์ที่เข้ารหัส
ทำให้เป็นเรื่องง่าย (เมื่อเทียบกับวิธีการเก่าๆ เช่น ไดรเวอร์อุปกรณ์ cryptoloop และเป้าหมายตัวทำแผนที่อุปกรณ์ dm-crypt) สำหรับผู้ใช้ทั่วไปในการเข้าถึงระบบไฟล์ที่เข้ารหัสตามความต้องการโดยใช้ กลไก devmapper ที่ใหม่กว่า Cryptmount ช่วยผู้ดูแลระบบในการสร้างและจัดการระบบไฟล์ที่เข้ารหัสโดยอิงตามเป้าหมายตัวแมปอุปกรณ์ dm-crypt ของเคอร์เนล
Cryptmount มีข้อดีดังต่อไปนี้:
- เข้าถึงฟังก์ชันการทำงานที่ได้รับการปรับปรุงในเคอร์เนล
- รองรับระบบไฟล์ที่จัดเก็บไว้ในพาร์ติชั่นดิสก์ดิบหรือไฟล์ลูปแบ็ค
- การเข้ารหัสคีย์การเข้าถึงระบบไฟล์ที่แตกต่างกัน ทำให้สามารถแก้ไขรหัสผ่านการเข้าถึงได้โดยไม่ต้องเข้ารหัสใหม่ทั้งระบบ
- เก็บระบบไฟล์ที่เข้ารหัสต่างๆ ไว้บนพาร์ติชันดิสก์เดียว โดยใช้ชุดย่อยของบล็อกที่กำหนดสำหรับแต่ละพาร์ติชัน
- ไม่จำเป็นต้องติดตั้งระบบไฟล์ที่ไม่ค่อยได้ใช้ในระหว่างการเริ่มต้นระบบ
- การยกเลิกการติดตั้งระบบไฟล์ทุกระบบจะถูกล็อคเพื่อให้สามารถทำได้โดยผู้ใช้ที่ติดตั้งหรือผู้ใช้รูทเท่านั้น
- ระบบไฟล์ที่เข้ารหัสเข้ากันได้กับ cryptsetup
- รองรับพาร์ติชั่นสลับที่เข้ารหัส (เฉพาะ superuser เท่านั้น)
- รองรับการสร้างระบบไฟล์ที่เข้ารหัสหรือ crypto-swap เมื่อบูตระบบ
วิธีการติดตั้งและกำหนดค่า Cryptmount ใน Linux
ในการแจกจ่าย Debian/Ubuntu คุณสามารถติดตั้ง Cryptmount ได้โดยใช้คำสั่ง apt ตามที่แสดง
sudo apt install cryptmount
ในการแจกจ่าย RHEL/CentOS/Fedora คุณสามารถติดตั้งได้จากแหล่งที่มา ขั้นแรกให้เริ่มการติดตั้งแพ็คเกจที่จำเป็นเพื่อสร้างและใช้ cryptmount ให้สำเร็จ
yum install device-mapper-devel [On CentOS/RHEL 7]
dnf --enablerepo=PowerTools install device-mapper-devel [On CentOS/RHEL 8 and Fedora 30+]
จากนั้นดาวน์โหลดไฟล์ต้นฉบับ Cryptmount ล่าสุดโดยใช้คำสั่ง wget และติดตั้งตามที่แสดง
wget -c https://sourceforge.net/projects/cryptmount/files/latest/download -O cryptmount.tar.gz
tar -xzf cryptmount.tar.gz
cd cryptmount-*
./configure
make
make install
หลังจากการติดตั้งสำเร็จ ก็ถึงเวลากำหนดค่า cyptmount และสร้างระบบไฟล์ที่เข้ารหัสโดยใช้ยูทิลิตี cyptmount-setup ในฐานะผู้ใช้ขั้นสูง มิฉะนั้น ให้ใช้คำสั่ง sudo ตามที่แสดง
cyptmount-setup
OR
sudo cyptmount-setup
การเรียกใช้คำสั่งข้างต้นจะถามคำถามคุณหลายชุดเพื่อตั้งค่าระบบไฟล์ที่ปลอดภัยซึ่งจะได้รับการจัดการโดย cryptmount มันจะถามชื่อเป้าหมายสำหรับระบบไฟล์ของคุณ ผู้ใช้ที่ควรเป็นเจ้าของระบบไฟล์ที่เข้ารหัส ตำแหน่งและขนาดของระบบไฟล์ ชื่อไฟล์ (ชื่อที่แน่นอน) สำหรับคอนเทนเนอร์ที่เข้ารหัสของคุณ ตำแหน่งของคีย์ตลอดจนรหัสผ่านสำหรับเป้าหมาย
ในตัวอย่างนี้ เราใช้ชื่อ 'tecmint' สำหรับระบบไฟล์เป้าหมาย ต่อไปนี้คือเอาต์พุตตัวอย่างของเอาต์พุตคำสั่ง crytmount-setup
เมื่อสร้างระบบไฟล์ที่เข้ารหัสใหม่แล้ว คุณสามารถเข้าถึงได้ดังต่อไปนี้ (ป้อนชื่อที่คุณระบุสำหรับเป้าหมายของคุณ – tecmint) คุณจะได้รับแจ้งให้ป้อนรหัสผ่านสำหรับเป้าหมาย
cryptmount tecmint
cd /home/crypt
หากต้องการยกเลิกการต่อเชื่อมคำสั่ง cd เป้าหมายเพื่อออกจากระบบไฟล์ที่เข้ารหัส จากนั้นใช้สวิตช์ -u เพื่อยกเลิกการต่อเชื่อมดังที่แสดง
cd
cryptmount -u tecmint
ในกรณีที่คุณสร้างระบบไฟล์ที่เข้ารหัสมากกว่าหนึ่งระบบ ให้ใช้สวิตช์ -l เพื่อแสดงรายการ
cryptsetup -l
หากต้องการเปลี่ยนรหัสผ่านเก่าสำหรับเป้าหมายเฉพาะ (ระบบไฟล์ที่เข้ารหัส) ให้ใช้แฟล็ก -c ตามที่แสดง
cryptsetup -c tecmint
จดบันทึกประเด็นสำคัญต่อไปนี้ขณะใช้เครื่องมือสำคัญนี้
- อย่าลืมรหัสผ่านของคุณ เมื่อคุณลืมแล้วจะไม่สามารถกู้คืนได้
- ขอแนะนำอย่างยิ่งให้บันทึกสำเนาสำรองของไฟล์คีย์ การลบหรือทำให้ไฟล์คีย์เสียหายหมายความว่าระบบไฟล์ที่เข้ารหัสจะไม่สามารถเข้าถึงได้
- ในกรณีที่คุณลืมรหัสผ่านหรือลบคีย์ คุณสามารถลบระบบไฟล์ที่เข้ารหัสออกได้อย่างสมบูรณ์และเริ่มต้นใหม่ได้ อย่างไรก็ตาม คุณจะสูญเสียข้อมูลของคุณ (ซึ่งไม่สามารถกู้คืนได้)
หากคุณต้องการใช้ตัวเลือกการตั้งค่าขั้นสูง กระบวนการตั้งค่าจะขึ้นอยู่กับระบบโฮสต์ของคุณ คุณสามารถอ้างอิงถึงหน้าคู่มือ cryptmount และ cmtab หรือไปที่หน้าแรกของ cyptmount ใต้ " ไฟล์ ” สำหรับคำแนะนำที่ครอบคลุม
man cryptmount
man cmtab
บทสรุป
cryptmount เปิดใช้งานสำหรับการจัดการและการติดตั้งโหมดผู้ใช้ของระบบไฟล์ที่เข้ารหัสบนระบบ GNU/Linux ในบทความนี้ เราได้อธิบายวิธีการติดตั้งบน Linux เวอร์ชันต่างๆ แล้ว คุณสามารถถามคำถามหรือแบ่งปันความคิดของคุณเกี่ยวกับเรื่องนี้กับเราผ่านทางส่วนความคิดเห็นด้านล่าง