LabEx
ВходРегистрация

Как проверить, включено ли шифрование диска в Linux

LinuxBeginner
Практиковаться сейчас

Введение

В этом практическом занятии (лабораторной работе) вы научитесь проверять, включена ли шифрование дисков на системе Linux. Понимание статуса шифрования ваших дисков является фундаментальным навыком для системного администрирования и обеспечения безопасности.

Мы рассмотрим три ключевых метода для этого: использование команды lsblk -f для определения зашифрованных устройств, изучение файла /etc/crypttab для проверки настроенных зашифрованных томов и применение команды cryptsetup status для получения подробной информации о активных зашифрованных устройствах. По завершении этого практического занятия вы сможете уверенно определять статус шифрования дисков на компьютере с Linux.

Проверка зашифрованных устройств с помощью команды lsblk -f

На этом этапе мы начнем изучать зашифрованные устройства в системе Linux. Понимание того, как определять зашифрованные разделы, является важным навыком для системного администрирования и обеспечения безопасности.

Мы будем использовать команду lsblk с опцией -f. Команда lsblk выводит список блочных устройств (например, жестких дисков и разделов). Опция -f добавляет информацию о файловой системе и, что важно для нас, о шифровании.

Если терминал еще не открыт, откройте его. Вы можете найти значок Xfce Terminal слева на рабочем столе.

Введите следующую команду и нажмите Enter:

lsblk -f

Вы увидите вывод, похожий на следующий:

NAME    FSTYPE      FSVER LABEL UUID                                 FSAVAIL FSUSE% MOUNTPOINTS
loop0   squashfs    4.0                                                     0   100% /snap/bare/5
loop1   squashfs    4.0                                                     0   100% /snap/core20/2182
loop2   squashfs    4.0                                                     0   100% /snap/core22/1122
loop3   squashfs    4.0                                                     0   100% /snap/firefox/437
loop4   squashfs    4.0                                                     0   100% /snap/gnome-3-38-2004/140
loop5   squashfs    4.0                                                     0   100% /snap/gtk-common-themes/1535
loop6   squashfs    4.0                                                     0   100% /snap/htop/3620
loop7   squashfs    4.0                                                     0   100% /snap/snapd/20671
loop8   squashfs    4.0                                                     0   100% /snap/snapd-desktop-integration/83
sda
├─sda1  vfat        FAT32       <UUID>                                505.4M     0% /boot/efi
├─sda2  ext4        1.0         <UUID>                                  1.4G    68% /boot
└─sda3  crypto_LUKS 2           <UUID>
  └─sda3_crypt
    ext4        1.0         <UUID>                                 16.4G    11% /

Посмотрите на столбец FSTYPE. Если вы видите crypto_LUKS для какого - то раздела (например, sda3 в приведенном выше примере), это означает, что этот раздел зашифрован с использованием LUKS (Linux Unified Key Setup - Универсальная система настройки ключей для Linux).

Строка ниже записи crypto_LUKS (например, └─sda3_crypt) показывает имя расшифрованного устройства, которое создается при разблокировке раздела. Затем это расшифрованное устройство обычно форматируется с использованием стандартной файловой системы, такой как ext4, и монтируется (например, в /).

Определение разделов с crypto_LUKS является первым шагом в понимании настройки шифрования в системе Linux.

Нажмите Продолжить, чтобы перейти к следующему шагу.

Проверка файла crypttab с помощью команды cat /etc/crypttab

На этом этапе мы рассмотрим файл /etc/crypttab. Этот файл используется системой для настройки зашифрованных блочных устройств, которые настраиваются при загрузке системы. Он содержит информацию о зашифрованных разделах и о том, как их нужно разблокировать.

Мы будем использовать команду cat для отображения содержимого файла /etc/crypttab. Команда cat представляет собой простой инструмент, используемый для объединения и отображения содержимого файлов.

Введите следующую команду в терминале и нажмите Enter:

cat /etc/crypttab

Вы увидите вывод, похожий на следующий:

sda3_crypt UUID=<UUID> none luks,discard

Разберем типичный формат строки в файле /etc/crypttab:

  1. Целевое имя: Это имя расшифрованного устройства, которое будет создано (например, sda3_crypt). Оно должно совпадать с именем, которое вы видели в записи crypto_LUKS в выводе команды lsblk -f на предыдущем этапе.
  2. Исходное устройство: Здесь указывается зашифрованный раздел. Чаще всего он идентифицируется по его UUID (UUID=<UUID>) для надежности, но также может быть указан в виде пути к устройству, например /dev/sda3.
  3. Файл ключа или пароль: Это показывает, как устройство должно быть разблокировано. none означает, что система запросит пароль при загрузке. Другие варианты включают указание пути к файлу ключа.
  4. Параметры: В этом поле содержатся параметры, разделенные запятыми, такие как luks (указывает, что это устройство LUKS) и discard (включает поддержку TRIM для SSD).

Рассмотрение файла /etc/crypttab помогает подтвердить, какие разделы настроены для шифрования при загрузке системы и как они должны быть разблокированы.

Нажмите Продолжить, чтобы перейти к следующему шагу.

Проверка шифрования с помощью команды cryptsetup status

На этом последнем этапе мы будем использовать команду cryptsetup для получения подробной информации о статусе активного зашифрованного устройства. Утилита cryptsetup представляет собой командную строку для настройки и управления зашифрованными дисковыми устройствами с использованием LUKS.

Мы будем использовать опцию status, за которой следует имя расшифрованного устройства. Из вывода команды lsblk -f на этапе 1 мы определили имя расшифрованного устройства как sda3_crypt.

Введите следующую команду в терминале и нажмите Enter:

sudo cryptsetup status sda3_crypt

Вы увидите подробный вывод о зашифрованном устройстве, похожий на следующий:

/dev/mapper/sda3_crypt is active.
  type:    LUKS2
  cipher:  aes-xts-plain64
  keysize: 512 bits
  key location: keyring
  device:  /dev/sda3
  sector size: 512
  offset:  16384 sectors
  size:    <size in sectors> sectors
  mode:    read/write
  flags:   discards

Рассмотрим некоторые важные части информации из вывода:

  • type: LUKS2: Подтверждает, что тип шифрования - LUKS версии 2.
  • cipher: aes-xts-plain64: Показывает используемый алгоритм и режим шифрования (AES в режиме XTS).
  • keysize: 512 bits: Указывает размер ключа шифрования.
  • device: /dev/sda3: Указывает исходный зашифрованный раздел.
  • flags: discards: Подтверждает, что опция discards (поддержка TRIM) включена, что соответствует тому, что мы видели в файле /etc/crypttab.

Команда cryptsetup status дает полное представление о параметрах шифрования активного устройства LUKS, что очень полезно для проверки настройки шифрования.

Теперь вы успешно использовали команды lsblk, cat и cryptsetup для определения и проверки зашифрованных разделов в системе Linux.

Нажмите Продолжить, чтобы завершить лабораторную работу.

Резюме

В этой лабораторной работе мы научились проверять, включено ли шифрование диска в системе Linux. Мы начали с использования команды lsblk -f для перечисления блочных устройств и определения разделов с типом файловой системы crypto_LUKS, что указывает на использование шифрования LUKS. Эта команда позволяет быстро получить обзор блочных устройств системы и их статус шифрования.

Затем мы обычно проверяем файл /etc/crypttab, чтобы увидеть, какие устройства настроены для шифрования при загрузке системы, и исследуем детали шифрования конкретного устройства с помощью команды cryptsetup status. Эти шаги, в сочетании с командой lsblk -f, предоставляют комплексный способ определить, включено ли шифрование диска в системе Linux и как оно реализовано.

Связанные Linux Курсы
Быстрый старт с Linux

Быстрый старт с Linux

linux
Станьте младшим системным администратором

Станьте младшим системным администратором

linuxshell
Linux для новичков

Linux для новичков

linux