Calculate Access: travailler avec des volumes chiffrés
Updated 30 Mai 2022
Calculate Access est une boîte à outils pour travailler avec des disques cryptés avec la clé à distance et les en-têtes de partition de soutien de stockage. De plus, le script de montage est également stocké sur un serveur distant. Pour celui qui n'a pas accès au serveur de clés, il n'y a aucune information sur la façon dont les partitions de disque sont utilisées.
Création d'une partition cryptée
Créez le répertoire / root / cryptdata et préparez les fichiers d'en-tête pour la partition cryptée et la clé de cryptage :
mkdir /root/cryptdata
cd /root/cryptdata
1+0 records received 1+0 records sent 2097152 bytes (2.1 MB, 2.0 MiB) copied, 0.00229696 s, 913 MB/s
1+0 records received 1+0 records sent 2048 bytes (2.0 kB, 2.0 KiB) copied, 0.00050282 s, 4.1 MB/s
Ajoutez le cryptage :
WARNING!
========
This will overwrite data on /root/cryptdata/header irrevocably.
Are you sure? (Type uppercase yes): YES
Remplacez /dev/sda5 par la partition à chiffrer. Confirmez en tapant OUI en majuscules.
Montez la partition cryptée:
cryptsetup --header header -d key luksOpen /dev/sda5 sda5_crypt
Remplacez sda5_crypt et /dev/sda5 par vos partitions.
Formatez la partition:
mkfs.btrfs /dev/mapper/sda5_crypt
Configuration du serveur de clés
Pour la configuration initiale du serveur de clés, installez le paquet sys-apps / calculate-access avec le drapeau USE server on.
echo sys-apps/calculate-access server [HTML_REMOVED][HTML_REMOVED] /etc/portage/package.use/custom
emerge -a calculate-access
Initialisez maintenant le service:
Accès configuré avec succès dans /var/calculate/access !
Montage de la partition cryptée avec le serveur de clés
Installez sys-apps/calculate-access sur le système hébergeant la partition chiffrée.
emerge -a calculate-access
Générez une clé ssh pour se connecter au serveur de clés:
Generating public/private rsa key pair. Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /var/lib/calculate/access_key. Your public key has been saved in /var/lib/calculate/access_key.pub. The key fingerprint is: SHA256:XFT3YqCScoAFeLmnzpfDO5BWSKiRQAKOcDkSHFBitT0 root@calculate The key's randomart image is: +---[RSA 2048]----+ |#B==.=o ..o . | |X+= B . o . o . | |.= = E. + o o .| |. o ++ o . . | | = S | | = | | + o . | | o * | | ..+ | +----[SHA256]-----+
Important
Ne pas indiquer de mot de passe pour la clé privée, sinon vous ne pourrez pas vous connecter automatiquement au service.
Modifiez les paramètres de connexion pour le serveur de stockage des clés:
/etc/conf.d/access
ACCESSHOST="access.example.org"
Remplacez access.example.org par votre nom de serveur SSH. Si vous spécifiez plusieurs serveurs de clés, Access les appellera à tour de rôle, par ordre d'indication.
Ajoutez la clé publique pour le serveur:
access | Permanently added 'access.verevo.calculate.ru,10.3.0.4' (ECDSA) to the list of known hosts.
Déplacez la clé d'en-tête de partition (/root/cryptdata/header), la clé de cryptage (/root/cryptdata/key) et la clé publique (/var/lib/calculate/access_key.pub) sur le serveur de clés :
Password: header 100% 2048KB 60.1MB/s 2.0MB/s 00:00 key 100% 2048 3.3MB/s 2.0MB/s 00:00 access_key 100% 1675 2.4MB/s 2.0MB/s 00:00
Remplacez access.example.org par votre nom de serveur SSH.
Ajoutez les données chiffrées de la partition au serveur de clés:
* All OK!
Remplacez client1 par le serveur de partition cryptée. Pour afficher la PARTUID du volume, exécutez ce qui suit sur le système client :
/dev/sda5: PARTUUID="da958374-f891-4280-8c15-6e20b6cdd8f7"
Vérifiez sur le client que le serveur renvoie les données requises:
access | * Host: access.example.org ... [ ok ]
Montez la partition cryptée:
access | * Caching service dependencies ... access | * Starting access ... access | * Host: access.example.org ... [ ok ]
Ajoutez le montage de la partition cryptée au démarrage automatique:
rc-update add access
Assurez-vous d'avoir une copie du répertoire / root / cryptdata sur la clé USB, puis effacez le répertoire avec les clés:
rm -r /root/cryptdata