Co je potřeba

Hlavní věc je jádro, které ma podporu dm-cryptu a cryptoapi (na vlastní šifrování) tzn. novější než 2.6.4-rc1 (kvůli chybě v cryptoapi). Nezkoumal jsem použitelnost jádra řady 2.4, ale snad existují nějaké patche, se kterými by to mohlo fungovat, nicméně pokud je to možné, použijte 2.6.x jádro. Při kompilaci jádra vyberte v sekci Multi-device support (RAID and LVM) volby Device Mapper Support (CONFIG_BLK_DEV_DM) a Crypt Target Support (CONFIG_DM_CRYPT) a v sekci Cryptographic Options si vyberte požadovanou šifrovací algoritmus, použil jsem Twofish, mezi oblíbené také patří AES. Pro srovnání rychlostí se podívejte sem.

Dále potřebujete balík programů pro práci s device-mapperem, který najdete tady, skript ovládající dmsetup je tady a nakonec hashalot, pro použití hashovací funkce ripemd160 (není potřeba, pokud chcete šifrovat prostým textem, místo hashem).

DM-CRYPT

Rozbalte balík s device-mapper utilitami a spusťte scripts/devmap_mknod.sh, potom zkompilujte a nainstalujte (./configure, make, make install), nainstalujte hashalot a nakonec skript cryptsetup.sh nastavte jako spustitelný a nakopírujte ho na nějaké rozumné místo (třeba /usr/local/sbin/)

Odpojte oddíl, který chcete šifrovat (např. /dev/hde), rozmyslete si heslovou frázi a spusťte
cryptsetup.sh -c twofish -h ripemd160 -b `blockdev --getsize /dev/hde` create cryptohde /dev/hde
Vznikne /dev/mapper/cryptohde. Pokud použijete přepínač -h plain, nepotřebujete hashalot a místo hashe z heslové fráze se použije plain text (to co jste napsali). Přepínačem -b zadáte velikost, respektive počet bloků, následuje Vámi zvolený název šifrovaného zařízení a cesta k zařízení, které chcete šifrovat.

Takto vytvořené šifrované zařízení bude funkční pouze do restartu, takze musíte zajistit, aby se při bootu inicializovalo. Na RH a jeho klonech přidejte (někam před inicializaci LVM) do /etc/rc.sysinit toto:
if [ -b /dev/mapper/cryptohde ] ; then
/usr/local/sbin/cryptsetup.sh remove cryptohde
fi
/usr/local/sbin/cryptsetup.sh -c twofish -h ripemd160 -b `blockdev –getsize /dev/hde` create cryptohde /dev/hde

Na jiných distribucích to bude asi jiný soubor.

LVM

S /dev/mapper/cryptohde můžete už normálně pracovat, ale elegantnější je využít LVM (Logical Volume Manager). Balík programů pro práci s LVM najdete zde. Nezapomeňte na podporu v jádře.

Mezi devices v /etc/lvm/lvm.conf přidejte:
types = [ "device-mapper", 16 ]
Pokud /etc/lvm/lvm.conf nexistuje, vytvoří se pomocí:
lvm dumpconfig > /etc/lvm/lvm.conf

V příkladu mám dvě šifrovaná zařízení (cryptohde a cryptohdf), které spojím do jednoho LVM svazku.
Nejdříve označíme disky pro použití v LVM:
pvcreate /dev/mapper/cryptohde
pvcreate /dev/mapper/cryptohdf
Vytvoříme z nich skupinu s názvem volume_group
vgcreate volume_group /dev/mapper/cryptohde /dev/mapper/cryptohdf
A vytvoříme v této skupině svazek s názvem my_logical_volume
lvcreate -l velikost -n my_logical_volume volume_group
kde velikost je hodnota Total PE z výpisu vgdisplay nebo méně, pokud nechcete využít celou kapacitu.
Na svazku vytvoříme nějaký systém souborů, např. ext3 a někam připojíme
mkfs -t ext3 /dev/volume_group/my_logical_volume
mount

Při vypnutí zajistíme zrušení:
do přidáme /etc/rc.d/init.d/halt:
vgchange -an

Při startu vytvoření:
do /etc/rc.sysinit (za cryptsetup):
vgchange -a y volume_group
Případně do jiných souborů, v závislosti na distribuci.

Přidání disku do LVM:
pvcreate /dev/mapper/cryptohdg
vgextend volume_group /dev/mapper/cryptohdg
lvextend -l+ velikost /dev/volume_group/my_logical_volume
kde velikost je hodnota Free PE z výpisu vgdisplay nebo méně.
Teď zbývá zvětšit systém souborů na svazku, v případě ext2/3 to jde buď za běhu (připojený svazek) pomocí:
ext2online -d -v /dev/volume_group/my_logical_volume
přepínače -d a -v Vám zajistí vypisování více informací o průběhu, nebo v případě, že toto Vaše jádro nepodporuje:
umount
fsck.ext3 -f /dev/volume_group/my_logical_volume
resize2fs /dev/volume_group/my_logical_volume
mount
Program resize2fs vyžaduje svazek zkontrolovaný pomocí fsck, což můžete obejít přepínačem -f.

Využil jsem blogovací systém WordPress, který má mnoho možností (např. RSS pro příspěvky i komentáře, produkce XHTML kódu, vyhledávání a mnoho dalšího).

Příspěvky se budou většinou týkat GNU/Linuxu nebo jiných zajímavých věcí z oblasti IT a přibývat budou hlavně v závislosti na mém čase.

Doufám, že se Vám tu bude líbit a snad se i něco nového naučíte , návrhy a náměty uvítám.