Titkos�tott root f�jlrendszer HOGYAN

Christophe Devine

Verzi�t�rt�net
Verzi�: v1.12003.12.01�tdolgozta: cd
GRUB t�mogat�s hozz�adva.
Verzi�: v1.02003.09.24�tdolgozta: cd
Els� kiad�s, az LDP �ltal ellen�rizve.
Verzi�: v0.92003.09.11�tdolgozta: cd
Friss�tve, DocBook XML form�tumba konvert�lva.

Ez a dokumentum le�rja, hogyan helyezz�k biztons�gba adatainkat a Linux root f�jlrendszer er�s titkos�t�si algoritmust haszn�l� titkos�t�s�val.

Tartalomjegyz�k
1. A rendszer el�k�sz�t�se
1.1. A part�ci�k kialak�t�sa
1.2. A Linux-2.4.23 rendszermag telep�t�se
1.3. Az util-linux-2.12 telep�t�se
2. A titkos�tott root f�jlrendszer l�trehoz�sa
3. A boot eszk�z be�ll�t�sa
3.1. A virtu�lis f�jlrendszer (ramdisk) l�trehoz�sa
3.2. Rendszerind�t�s CD-ROM-r�l
3.3. Rendszerind�t�s fizikai part�ci�r�l
4. Utols� l�p�sek
5. A HOGYANr�l
5.1. Magyar ford�t�s

1. A rendszer el�k�sz�t�se

1.1. A part�ci�k kialak�t�sa

A lemez�nk (hda) legal�bb h�rom part�ci�t tartalmazzon:

Ekkor m�g a hda1 �s a hda2 part�ci�k nincsenek haszn�latban. A hda3 part�ci� tartalmazza az aktu�lisan telep�tett Linux terjeszt�st; az /usr �s a /boot nem lehet ett�l a part�ci�t�l elk�l�n�tve.

1.2. A Linux-2.4.23 rendszermag telep�t�se

K�t nagyobb projekt l�tezik, ami er�s titkos�t�si t�mogat�st ad a rendszermaghoz: a CryptoAPI �s a loop-AES. Ez a HOGYAN a loop-AES projekten alapul, mivel ez egy assembly nyelven �rt, nagyon gyors �s optimaliz�lt implement�ci�, �gy maxim�lis teljes�tm�nyt ny�jt az IA-32 (x86) alap� processzorok sz�m�ra. K�sz�t�je Rijndael.

Mindenek el�tt t�lts�k le, majd csomagoljuk ki a loop-AES csomagot: 

wget http://loop-aes.sourceforge.net/loop-AES/loop-AES-v2.0b.tar.bz2
tar -xvjf loop-AES-v2.0b.tar.bz2

Ezut�n t�lts�k le a rendszermag forr�s�t, majd alkalmazzuk a foltot: 

wget http://ftp.kernel.org/pub/linux/kernel/v2.4/linux-2.4.23.tar.bz2
tar -xvjf linux-2.4.23.tar.bz2
cd linux-2.4.23
patch -Np1 -i ../loop-AES-v2.0b/kernel-2.4.23.diff

�ll�tsuk be a billenty�zet kioszt�s�t: 

dumpkeys | loadkeys -m - > drivers/char/defkeymap.c

A k�vetkez� l�p�sben be�ll�tjuk a rendszermagot; a k�vetkez� lehet�s�gek mindenk�pp legyenek be�ll�tva: 

make menuconfig

    Block devices  --->

        <*> Loopback device support
        [*]   AES encrypted loop device support (NEW)

        <*> RAM disk support
        (4096)   Default RAM disk size (NEW)
        [*]   Initial RAM disk (initrd) support

    File systems  --->

        <*> Ext3 journalling file system support
        <*> Second extended fs support

(fontos: ne legyen be�ll�tva a /dev file system support lehet�s�g)

Ford�tsuk le �s telep�ts�k a rendszermagot: 

make dep bzImage
make modules modules_install
cp arch/i386/boot/bzImage /boot/vmlinuz-2.4.23

Ha a grub rendszerbet�lt�t haszn�ljuk, szerkessz�k a /boot/grub/menu.lst illetve /boot/grub/grub.conf f�jlt: 

cat > /boot/grub/menu.lst << EOF
default 0
timeout 10
color green/black light-green/black
title Linux
    root (hd0,2)
    kernel /boot/vmlinuz-2.4.23 ro root=/dev/hda3 vga=4
EOF

Ha viszont lilo-t haszn�lunk, akkor szerkessz�k az /etc/lilo.conf f�jlt, �s futtassuk a lilo-t: 

cat > /etc/lilo.conf << EOF
lba32
boot=/dev/hda
prompt
timeout=100
image=/boot/vmlinuz-2.4.23
    label=Linux
    read-only
    root=/dev/hda3
    vga=4
EOF
lilo

Ind�tsuk �jra a rendszert.

1.3. Az util-linux-2.12 telep�t�se

A losetup programon - amely az util-linux csomag r�sze - alkalmaznunk kell a foltot, �s �jra kell ford�tanunk az er�s titkos�t�s t�mogat�s�hoz. T�lts�k le �s csomagoljuk ki az util-linux csomagot, majd alkalmazzuk a foltot: 

wget http://ftp.cwi.nl/aeb/util-linux/util-linux-2.12.tar.gz
tar -xvzf util-linux-2.12.tar.gz
cd util-linux-2.12
patch -Np1 -i ../loop-AES-v2.0b/util-linux-2.12.diff

20 karaktern�l r�videbb jelsz� haszn�lata eset�n �rjuk be: 

CFLAGS="-O2 -DLOOP_PASSWORD_MIN_LENGTH=8"; export CFLAGS

Ha fontos k�rd�s a biztons�g, ne haszn�ljuk ezt a lehet�s�get. A biztons�gnak megvan az �ra, jelen esetben ez a hossz� jelsz� haszn�lata.

Ford�tsuk le a losetup-ot, majd root felhaszn�l�k�nt telep�ts�k azt: 

./configure && make lib mount
cp -f mount/losetup /sbin
rm -f /usr/share/man/man8/losetup.8.gz
cp -f mount/losetup.8 /usr/share/man/man8

2. A titkos�tott root f�jlrendszer l�trehoz�sa

A c�lpart�ci� felt�lt�se v�letlenszer� adattal: 

shred -n 1 -v /dev/hda2

A titkos�tott loopback eszk�z be�ll�t�sa: 

losetup -e aes256 -S xxxxxxxxxx /dev/loop0 /dev/hda2
Password:

A sz�t�rral optimaliz�lt t�mad�sok kiv�d�se �rdek�ben aj�nlott a -S xxxxxxxxxx opci� haszn�lata, ahol "xxxxxxxxxx" a v�letlenszer�en kiv�lasztott �lv�letlen sorozat kiindul��rt�k (random seed). Ezen k�v�l a rendszerind�t�skor esetleg fell�p� billenty�zetkioszt�si hib�k megel�z�se �rdek�ben ne haszn�ljunk nem-ASCII karaktereket (�kezeteket stb.) a jelsz�ban.

Hozzuk l�tre az ext3 f�jlrendszert: 

mke2fs -j /dev/loop0

Ellen�rizz�k, hogy helyesen �rtuk be a jelsz�t: 

losetup -d /dev/loop0
losetup -e aes256 -S xxxxxxxxxx /dev/loop0 /dev/hda2
Password:

mkdir /mnt/efs
mount /dev/loop0 /mnt/efs

�sszehasonl�thatjuk a titkos�tott �s az eredeti adatokat: 

xxd /dev/hda2  | less
xxd /dev/loop0 | less

Itt az ideje, hogy telep�ts�k a titkos�tott Linux f�jlrendszert. Ha egy GNU/Linux terjeszt�st haszn�lunk (p�ld�ul Debian-t, Slackware-t, Gentoo-t, Mandrake-et, RedHat/Fedora-t, SuSE-t stb.), futtassuk a k�vetkez� parancsot: 

cp -avx / /mnt/efs

Ha a Linux From Scratch k�nyvet haszn�ljuk, az al�bbi elt�r�seket kiv�ve a dokumentum szerint folytathatjuk a munk�t:

3. A boot eszk�z be�ll�t�sa

3.1. A virtu�lis f�jlrendszer (ramdisk) l�trehoz�sa

Els� l�p�sk�nt chroot-oljunk a titkos�tott part�ci�ra, �s hozzuk l�tre a boot eszk�zh�z a felcsatol�si pontot: 

chroot /mnt/efs
mkdir /loader

Ezut�n hozzuk l�tre a virtu�lis rendszerind�t� f�jlrendszert (initial ramdisk, initrd), amelyre k�s�bb sz�ks�g�nk lesz: 

cd
dd if=/dev/zero of=initrd bs=1k count=4096
mke2fs -F initrd
mkdir ramdisk
mount -o loop initrd ramdisk

Hozzuk l�tre a f�jlrendszer k�nyvt�rszerkezet�t, �s m�soljuk be a sz�ks�ges f�jlokat: 

mkdir ramdisk/{bin,dev,lib,mnt,sbin}
cp /bin/{bash,mount,umount} ramdisk/bin/
ln -s bash ramdisk/bin/sh
mknod -m 600 ramdisk/dev/console c 5 1
mknod -m 600 ramdisk/dev/hda2    b 3 2
mknod -m 600 ramdisk/dev/loop0   b 7 0
cp /lib/{ld-linux.so.2,libc.so.6,libdl.so.2} ramdisk/lib/
cp /lib/{libncurses.so.5,libtermcap.so.2}    ramdisk/lib/
cp /sbin/{losetup,pivot_root} ramdisk/sbin/

Ha a k�vetkez� vagy hasonl� hiba�zenetet kapjuk, az nem jelent probl�m�t: "/lib/libncurses.so.5: No such file or directory", vagy "/lib/libtermcap.so.2: No such file or directory"; a bash-nek csak ezen programk�nyvt�rak egyike sz�ks�ges. Megtudhatjuk azt, hogy eset�nkben melyik sz�ks�ges: 

ldd /bin/bash

Hozzuk l�tre a rendszerind�t� (init) szkriptet (ne felejts�k a "xxxxxxxxxx" hely�re be�rni a kiv�lasztott �lv�letlen sorozat kiindul��rt�ket (random seed)): 

cat > ramdisk/sbin/init << "EOF"
#!/bin/sh

/sbin/losetup -e aes256 -S xxxxxxxxxx /dev/loop0 /dev/hda2
/bin/mount -r -n -t ext2 /dev/loop0 /mnt

while [ $? -ne 0 ]
do
    /sbin/losetup -d /dev/loop0
    /sbin/losetup -e aes256 -S xxxxxxxxxx /dev/loop0 /dev/hda2
    /bin/mount -r -n -t ext2 /dev/loop0 /mnt
done

cd /mnt
/sbin/pivot_root . loader
exec /usr/sbin/chroot . /sbin/init
EOF

chmod 755 ramdisk/sbin/init

Csatoljuk le a loopback eszk�zt, �s t�m�r�ts�k be a virtu�lis rendszerind�t� f�jlrendszert: 

umount -d ramdisk
rmdir ramdisk
gzip initrd
mv initrd.gz /boot/

3.2. Rendszerind�t�s CD-ROM-r�l

Er�sen aj�nlott a rendszert egy �r�sv�dett eszk�zr�l ind�tani, p�ld�ul egy ind�that� CD-ROM-r�l.

T�lts�k le, majd csomagoljuk ki a syslinux csomagot: 

wget ftp://ftp.kernel.org/pub/linux/utils/boot/syslinux/syslinux-2.07.tar.gz
tar -xvzf syslinux-2.07.tar.gz

�ll�tsuk be az isolinux-ot: 

mkdir bootcd
cp /boot/vmlinuz-2.4.23 bootcd/vmlinuz
cp /boot/initrd.gz syslinux-2.07/isolinux.bin bootcd/
echo "DEFAULT vmlinuz initrd=initrd.gz ro root=/dev/ram0 vga=4" \
    > bootcd/isolinux.cfg

Hozzuk l�tre az ind�that� cd-k�pet (cd image), �s �rjuk ki egy �rhat� cd-re: 

mkisofs -o bootcd.iso -b isolinux.bin -c boot.cat \
        -no-emul-boot -boot-load-size 4 -boot-info-table \
        -J -hide-rr-moved -R bootcd/

cdrecord -dev 0,0,0 -speed 4 -v bootcd.iso

rm -rf bootcd{,.iso}

3.3. Rendszerind�t�s fizikai part�ci�r�l

A boot part�ci� egy alternat�v rendszerind�t� eszk�z: sz�ks�g lehet r�, ha az ind�that� CD elv�sz. Vegy�k figyelembe, hogy a hda1 egy �rhat� eszk�z, ez�rt nem biztons�gos; csak sz�ks�g eset�n haszn�ljuk!

Hozzuk l�tre �s csatoljuk fel az ext2 f�jlrendszert: 

dd if=/dev/zero of=/dev/hda1 bs=8192
mke2fs /dev/hda1
mount /dev/hda1 /loader

M�soljuk �t a rendszermagot �s a virtu�lis rendszerind�t� f�jlrendszert: 

cp /boot/vmlinuz-2.4.23 /loader/vmlinuz
cp /boot/initrd.gz /loader/

Ha grub-ot haszn�lunk: 

mkdir /loader/boot
cp -av /boot/grub /loader/boot/
cat > /loader/boot/grub/menu.lst << EOF
default 0
timeout 10
color green/black light-green/black
title Linux
    root (hd0,0)
    kernel /vmlinuz ro root=/dev/ram0 vga=4
    initrd /initrd.gz
EOF
grub-install --root-directory=/loader /dev/hda
umount /loader

Ha lilo-t haszn�lunk: 

mkdir /loader/{boot,dev,etc}
cp /boot/boot.b /loader/boot/
mknod -m 600 /loader/dev/hda  b 3 0
mknod -m 600 /loader/dev/hda1 b 3 1
mknod -m 600 /loader/dev/ram0 b 1 0
cat > /loader/etc/lilo.conf << EOF
lba32
boot=/dev/hda
prompt
timeout=100
image=/vmlinuz
    label=Linux
    initrd=/initrd.gz
    read-only
    root=/dev/ram0
    vga=4
EOF
lilo -r /loader
umount /loader

4. Utols� l�p�sek

M�dos�tsuk az /etc/fstab f�jlt �gy, hogy tartalmazza a k�vetkez� sort: 

/dev/loop0      /      ext3    defaults             0 1

T�r�lj�k az /etc/mtab f�jlt, �s l�pj�nk ki a chroot-b�l. Legv�g�l futtassuk a "umount -d /mnt/efs" parancsot, majd ind�tsuk �jra a rendszert. A hda3-ra m�r nincs sz�ks�g, l�trehozhatunk egy titkos�tott f�jlrendszert ezen a part�ci�n, �s haszn�lhatjuk biztons�gi ment�sk�nt.

Ha kev�s a fizikai mem�ri�nk, sz�ks�g lesz swap ter�letre. T�telezz�k fel, hogy a hda4 fogja tartalmazni a titkos�tott swap part�ci�t; el�sz�r l�tre kell hozni a swap eszk�zt: 

shred -n 1 -v /dev/hda4
losetup -e aes256 /dev/loop1 /dev/hda4
mkswap /dev/loop1

Majd hozzunk l�tre egy ind�t�szkriptet (S00swap) a rendszer ind�t�k�nyvt�r�ban (/etc/rcS.d/ Debian eset�n): 

#!/bin/sh

echo "az el�z�leg kiv�lasztott jelsz�" | \
    losetup -p 0 -e aes256 /dev/loop1 /dev/hda4
swapon /dev/loop1

5. A HOGYANr�l

A Titkos�tott root f�jlrendszer HOGYAN 2002 november�ben k�sz�lt el a Linux From Scratch projekt r�sz�re. K�sz�net mindazoknak, akik az�ta seg�tettek a HOGYAN t�k�letes�t�s�ben (ford�tott id�rendben): Julien Perrot, Grant Stephenson, Cary W. Gilmer, James Howells, Pedro Baez, Josh Purinton, Jari Ruusu �s Zibeli Aton.

A hozz�sz�l�sokat Christophe Devine v�rja.

5.1. Magyar ford�t�s

A magyar ford�t�st Vadon P�ter k�sz�tette (2004.06.15). A lektor�l�st Daczi L�szl� v�gezte el (2004.06.24). A dokumentum legfrissebb v�ltozata megtal�lhat� a Magyar Linux Dokument�ci�s Projekt honlapj�n.