Cara Mengatur Sistem File Terenkripsi dan Menukar Ruang Menggunakan Alat 'Cryptsetup' di Linux - Bagian 3
LFCE (kependekan dari Linux Foundation Certified Engineer) terlatih dan memiliki keahlian untuk menginstal, mengelola, dan memecahkan masalah layanan jaringan di sistem Linux, dan bertanggung jawab atas desain, implementasi dan pemeliharaan berkelanjutan dari arsitektur sistem.
Memperkenalkan Program Sertifikasi Linux Foundation (LFCE).
Ide di balik enkripsi adalah untuk mengizinkan hanya orang tepercaya yang mengakses data sensitif Anda dan melindunginya agar tidak jatuh ke tangan yang salah jika mesin/hard disk Anda hilang atau dicuri.
Secara sederhana, kunci digunakan untuk “mengunci ” akses ke informasi Anda, sehingga tersedia saat sistem berjalan dan dibuka kuncinya oleh pengguna yang berwenang. Artinya jika seseorang mencoba memeriksa isi disk (menghubungkannya ke sistemnya sendiri atau dengan mem-boot mesin dengan LiveCD/DVD/USB), dia hanya akan menemukan data yang tidak dapat dibaca, bukan file sebenarnya.
Pada artikel ini kita akan membahas cara menyiapkan sistem file terenkripsi dengan dm-crypt (kependekan dari device mapper dan cryptographic), alat enkripsi tingkat kernel standar. Perlu diketahui bahwa karena dm-crypt adalah alat tingkat blok, alat ini hanya dapat digunakan untuk mengenkripsi seluruh perangkat, partisi, atau perangkat loop (tidak akan berfungsi pada file atau direktori biasa).
Mempersiapkan Perangkat Drive/Partisi/Loop untuk Enkripsi
Karena kita akan menghapus semua data yang ada di drive pilihan kita (/dev/sdb), pertama-tama, kita perlu melakukan backup terhadap semua file penting yang ada di partisi tersebut SEBELUM melangkah lebih jauh.
Hapus semua data dari /dev/sdb. Kita akan menggunakan perintah dd di sini, namun Anda juga dapat melakukannya dengan alat lain seperti shred. Selanjutnya kita akan membuat partisi pada perangkat ini, /dev/sdb1, mengikuti penjelasan di Bagian 4 – Membuat Partisi dan Sistem File di Linux seri LFCS.
dd if=/dev/urandom of=/dev/sdb bs=4096
Menguji Dukungan Enkripsi
Sebelum melangkah lebih jauh, kita perlu memastikan bahwa kernel kita telah dikompilasi dengan dukungan enkripsi:
grep -i config_dm_crypt /boot/config-$(uname -r)
Seperti dijelaskan pada gambar di atas, modul kernel dm-crypt perlu dimuat untuk menyiapkan enkripsi.
Menginstal Cryptsetup
Cryptsetup adalah antarmuka frontend untuk membuat, mengonfigurasi, mengakses, dan mengelola sistem file terenkripsi menggunakan dm-crypt.
aptitude update && aptitude install cryptsetup [On Ubuntu]
yum update && yum install cryptsetup [On CentOS]
zypper refresh && zypper install cryptsetup [On openSUSE]
Menyiapkan Partisi Terenkripsi
Mode operasi default untuk cryptsetup adalah LUKS (Linux Unified Key Setup) jadi kami akan tetap menggunakannya. Kita akan mulai dengan mengatur partisi LUKS dan kata sandinya:
cryptsetup -y luksFormat /dev/sdb1
Perintah di atas menjalankan cryptsetup dengan parameter default, yang dapat dicantumkan dengan,
cryptsetup --version
Jika Anda ingin mengubah parameter cipher, hash, atau key, Anda dapat menggunakan –cipher, < b>–hash, dan –key-size, masing-masing, dengan nilai yang diambil dari /proc/crypto.
Selanjutnya kita perlu membuka partisi LUKS (kita akan dimintai kata sandi yang kita masukkan sebelumnya). Jika autentikasi berhasil, partisi terenkripsi kami akan tersedia di dalam /dev/mapper dengan nama yang ditentukan:
cryptsetup luksOpen /dev/sdb1 my_encrypted_partition
Sekarang, kita akan memformat partisi sebagai ext4.
mkfs.ext4 /dev/mapper/my_encrypted_partition
dan buat titik pemasangan untuk memasang partisi terenkripsi. Terakhir, kami mungkin ingin memastikan apakah operasi pemasangan berhasil.
mkdir /mnt/enc
mount /dev/mapper/my_encrypted_partition /mnt/enc
mount | grep partition
Ketika Anda selesai menulis atau membaca dari sistem file terenkripsi Anda, lepaskan saja
umount /mnt/enc
dan tutup partisi LUKS menggunakan,
cryptesetup luksClose my_encrypted_partition
Menguji Enkripsi
Terakhir, kami akan memeriksa apakah partisi terenkripsi kami aman:
1. Buka partisi LUKS
cryptsetup luksOpen /dev/sdb1 my_encrypted_partition
2. Masukkan frasa sandi Anda
3. Pasang partisi
mount /dev/mapper/my_encrypted_partition /mnt/enc
4. Buat file dummy di dalam titik mount.
echo “This is Part 3 of a 12-article series about the LFCE certification” > /mnt/enc/testfile.txt
5. Pastikan Anda dapat mengakses file yang baru saja Anda buat.
cat /mnt/enc/testfile.txt
6. Lepas sistem file.
umount /mnt/enc
7. Tutup partisi LUKS.
cryptsetup luksClose my_encrypted_partition
8. Cobalah untuk memasang partisi sebagai sistem file biasa. Ini harus menunjukkan kesalahan.
mount /dev/sdb1 /mnt/enc
Enkripsi di Ruang Swap untuk Keamanan Lebih Lanjut
Frasa sandi yang Anda masukkan sebelumnya untuk menggunakan partisi terenkripsi disimpan dalam memori RAM saat terbuka. Jika seseorang bisa mendapatkan kunci ini, dia akan bisa mendekripsi datanya. Hal ini sangat mudah dilakukan pada laptop, karena saat hibernasi, isi RAM disimpan di partisi swap.
Untuk menghindari salinan kunci Anda dapat diakses oleh pencuri, enkripsi partisi swap dengan mengikuti langkah-langkah berikut:
1 Buat partisi untuk digunakan sebagai swap dengan ukuran yang sesuai (/dev/sdd1 dalam kasus kami) dan enkripsi seperti yang dijelaskan sebelumnya. Beri nama saja “tukar ” untuk kenyamanan.'
2. Tetapkan sebagai swap dan aktifkan.
mkswap /dev/mapper/swap
swapon /dev/mapper/swap
3. Selanjutnya, ubah entri terkait di /etc/fstab.
/dev/mapper/swap none swap sw 0 0
4. Terakhir, edit /etc/crypttab dan reboot.
swap /dev/sdd1 /dev/urandom swap
Setelah sistem selesai melakukan booting, Anda dapat memverifikasi status ruang swap:
cryptsetup status swap
Ringkasan
Pada artikel ini kita telah menjelajahi cara mengenkripsi partisi dan menukar ruang. Dengan pengaturan ini, data Anda seharusnya jauh lebih aman. Jangan ragu untuk bereksperimen dan jangan ragu untuk menghubungi kami kembali jika Anda memiliki pertanyaan atau komentar. Cukup gunakan formulir di bawah ini – kami akan sangat senang mendengar pendapat Anda!