Hlavní navigace

Kompletně šifrovaný disk se systémem i daty (Debian)

15. 11. 2018
Doba čtení: 4 minuty

Sdílet

Návod, ve kterém si ukážeme, jak krok za krokem připravit instalaci Debianu na plně šifrovaném disku. Zašifrujeme všechno včetně jádra a inicializačního ramdisku. Bez hesla pak zloděj nedá ani ránu.

Dnešní distribuce obvykle při instalaci nabízejí možnost šifrování disku s operačním systémem i daty. Bohužel často zůstává na disku nešifrované jádro a inicializační ramdisk v otevřeném adresáři /boot. S moderním Grubem je možné ovšem vyřešit i tohle, protože zavaděč už umí načítat soubory z šifrovaného disku. Dokáže se tedy uživatele při bootu zeptat na heslo, načíst oba soubory (jádro a ramdisk) a ty poté spustit. Základ systému je už pak schopen se také se šifrovaným diskem poprat a systém normálně nabootuje.

Výhodou tohoto postupu je, že na disku zůstává jen čistý Grub na EFI oddíle. Zbytek systému je chráněn šifrováním, takže případný zloděj není schopen z disku přečíst vůbec nic – data, metadata, rozdělení oblastí, prostě nic.

Použité rekvizity

Použijeme jeden notebook s jednou SSD jednotkou, který budeme bootovat v UEFI režimu. Nainstalujeme si na něj aktuální Debian 9.6 tak, že na disku budou viditelné dva oddíly: EFI se zavaděčem a pak druhý kompletně zašifrovaný pomocí standardního linuxového šifrování LUKS. Uvnitř budeme mít LVM a na něm pak jednotlivé oddíly v souborovém systému ext4 i swap.

Vyhneme se i dvojitému zadávání hesla. Poprvé ho musí uživatel sdělit zavaděči, ten ale nemá kudy předat ho nastartovanému jádru, takže bychom ho museli psát znovu. Není to nezbytné, ale je to velmi nepohodlné. Protože se initramdisk načítá ze šifrovaného úložiště, můžeme do něj bez obav uložit další šifrovací klíč v otevřené podobě. On ho pak už bez dalšího zdržování použije k dešifrování disku během bootu.

Instalátor

K většině věcí použijeme standardní instalátor, my jsme použili malou verzi debian-9.6.0-amd64-netinst.iso, která obsahuje jen to nejnutnější. Nejprve provedeme standardní kroky v průvodci, který se nás ptá na časovou zónu, jazyk, klávesnici a podobně. Pak přijde dotaz na rozdělení disků. Můžeme si disk v průvodci rozdělit podle svého, ale můžeme také použít vestavěnou variantu „asistované rozdělení se šifrováním a LVM“.

Tato varianta prakticky odpovídá tomu, co potřebujeme, až na to, že počítá s odděleným druhým oddílem pro /boot/ . Ten my nechceme mít na samostatné nešifrované části disku, takže tuto položku jednoduše odebereme. Samozřejmě si pak můžeme vše upravit podle svých požadavků. Nakonec bychom měli mít jen dva oddíly: EFI a druhý šifrovaný se vším ostatním.

Poté nám instalátor vyhubuje, že se mu nepodařilo v takové konfiguraci nainstalovat Grub a váš systém nebude bootovat. Nevadí, je čas na ruční práci. Přepneme se pomocí Alt-F2 do druhé konzole a připravíme si zbytek.

Příprava zavaděče

Začneme tím, že se přepneme do čerstvě nainstalovaného systému, který si instalátor připojil do /target/. Poté si vygenerujeme náhodný klíč pro přístup k šifrovanému disku.

# chroot /target/ /bin/bash
# mkdir /etc/keys/
# cd /etc/keys/
# dd if=/dev/urandom of=disk_crypto.key count=4096
# chmod 400 disk_crypto.key

Souboru s klíčem jsme odebrali práva běžným uživatelům, aby nemohli za běhu klíč zjistit a poté v budoucnu zneužít. Klíč patří jen rootovi. Teď ho přidáme do LUKS klíčenky.

# cryptsetup luksAddKey /dev/sda3 disk_crypto.key

LUKS po nás bude chtít existující heslo k disku, pokud mu jej zadáme, nový klíč bude přidán.

Teď musíme systému vysvětlit, že chceme při připojování disku použít sekundární klíč. V instalátoru není náš oblíbený editor Vim, ale jako náhrada mu na těch pár změn docela dobře poslouží Nano.

# nano /etc/crypttab

V crypttab  najdeme jediný řádek týkající se našeho disku:

sda3_crypt UUID=a8f2d0e5-d845-4533-aad7-759ab56eba42 none luks

Upravíme ho tak, že do něj přidáme cestu k souboru s klíčem. Volitelně můžeme připsat ještě parametr, který dovolí disku oznamovat prázdné bloky pomocí příkazu TRIM. Výsledek bude vypadat takto:

sda3_crypt UUID=a8f2d0e5-d845-4533-aad7-759ab56eba42 /etc/keys/disk_crypto.key luks,discard

V dalším kroku nastavíme skripty generující initramfs, aby do něj přidaly soubor s klíčem:

# nano /etc/cryptsetup-initramfs/conf-hook
KEYFILE_PATTERN=/etc/keys/disk_crypto.key

Aby si nikdo nemohl klíč jen tak přečíst z initramfs, je potřeba nastavit mu práva tak, aby jej uživatelé v systému měli nečitelný. Pokud to neuděláte, bude utilita pro generování ramdisku hlasitě protestovat.

# nano /etc/initramfs-tools/initramfs.conf
UMASK=0077

Nakonec necháme vytvořit samotný initramfs se všemi hooky a námi vygenerovaným klíčem:

# update-initramfs -u

Máme hotový ramdisk a jdeme na samotný zavaděč. Nejprve zapneme v Grubu modul pro načítání obsahu z šifrovaných blokových zařízení:

# nano /etc/default/grub
GRUB_ENABLE_CRYPTODISK=y

Poté vygenerujeme konfigurační soubor načítaný zavaděčem:

# grub-mkconfig -o /boot/grub/grub.cfg

Posledním krokem je instalace zavaděče do EFI:

# grub-install

Doinstalace a reboot

To je vše, teď se pomocí Alt+F1 vrátíme na instalační terminál a dokončíme instalaci přesně od místa, kde předtím skončila. Instalátor už nebude křičet, že zavaděč není na svém místě, protože jsme mu ho tam dali. Proběhne pár poinstalačních kroků a systém je připraven rebootovat.

root_podpora

Při startu na nás vybafne jednoduchý textový dotaz na zadání hesla, který nám zobrazí Grub. Pokud heslo zadáme správně, jádro i initramfs se načtou a spustí, připojí si systémový disk a boot proběhne jako obvykle. Všechna data máme vždy šifrovaná.

Zbývá ukázat, jak vypadá topologie blokových zařízení na výstupu užitečné utility  lsblk:

NAME           MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda              8:0    0 238,5G  0 disk
├─sda1           8:1    0   650M  0 part  /boot/efi
└─sda3           8:2    0 237,9G  0 part
  └─sda3_crypt 254:0    0 237,9G  0 crypt
    ├─vg-root  254:1    0    28G  0 lvm   /
    ├─vg-home  254:2    0 186,3G  0 lvm   /home
    └─vg-swap  254:3    0   4,7G  0 lvm   [SWAP]

Byl pro vás článek přínosný?

Autor článku

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.

Ondřej Caletka vystudoval obor Telekomunikační technika na ČVUT a dnes pracuje ve vzdělávacím oddělení RIPE NCC, mezinárodní asociaci koordinující internetové sítě.