Dnešní distribuce obvykle při instalaci nabízejí možnost šifrování disku s operačním systémem i daty. Bohužel často zůstává na disku nešifrované jádro a inicializační ramdisk v otevřeném adresáři /boot. S moderním Grubem je možné ovšem vyřešit i tohle, protože zavaděč už umí načítat soubory z šifrovaného disku. Dokáže se tedy uživatele při bootu zeptat na heslo, načíst oba soubory (jádro a ramdisk) a ty poté spustit. Základ systému je už pak schopen se také se šifrovaným diskem poprat a systém normálně nabootuje.
Výhodou tohoto postupu je, že na disku zůstává jen čistý Grub na EFI oddíle. Zbytek systému je chráněn šifrováním, takže případný zloděj není schopen z disku přečíst vůbec nic – data, metadata, rozdělení oblastí, prostě nic.
Použité rekvizity
Použijeme jeden notebook s jednou SSD jednotkou, který budeme bootovat v UEFI režimu. Nainstalujeme si na něj aktuální Debian 9.6 tak, že na disku budou viditelné dva oddíly: EFI se zavaděčem a pak druhý kompletně zašifrovaný pomocí standardního linuxového šifrování LUKS. Uvnitř budeme mít LVM a na něm pak jednotlivé oddíly v souborovém systému ext4 i swap.
Vyhneme se i dvojitému zadávání hesla. Poprvé ho musí uživatel sdělit zavaděči, ten ale nemá kudy předat ho nastartovanému jádru, takže bychom ho museli psát znovu. Není to nezbytné, ale je to velmi nepohodlné. Protože se initramdisk načítá ze šifrovaného úložiště, můžeme do něj bez obav uložit další šifrovací klíč v otevřené podobě. On ho pak už bez dalšího zdržování použije k dešifrování disku během bootu.
Instalátor
K většině věcí použijeme standardní instalátor, my jsme použili malou verzi debian-9.6.0-amd64-netinst.iso, která obsahuje jen to nejnutnější. Nejprve provedeme standardní kroky v průvodci, který se nás ptá na časovou zónu, jazyk, klávesnici a podobně. Pak přijde dotaz na rozdělení disků. Můžeme si disk v průvodci rozdělit podle svého, ale můžeme také použít vestavěnou variantu „asistované rozdělení se šifrováním a LVM“.
Tato varianta prakticky odpovídá tomu, co potřebujeme, až na to, že počítá s odděleným druhým oddílem pro /boot/ . Ten my nechceme mít na samostatné nešifrované části disku, takže tuto položku jednoduše odebereme. Samozřejmě si pak můžeme vše upravit podle svých požadavků. Nakonec bychom měli mít jen dva oddíly: EFI a druhý šifrovaný se vším ostatním.
Poté nám instalátor vyhubuje, že se mu nepodařilo v takové konfiguraci nainstalovat Grub a váš systém nebude bootovat. Nevadí, je čas na ruční práci. Přepneme se pomocí Alt-F2 do druhé konzole a připravíme si zbytek.
Příprava zavaděče
Začneme tím, že se přepneme do čerstvě nainstalovaného systému, který si instalátor připojil do /target/. Poté si vygenerujeme náhodný klíč pro přístup k šifrovanému disku.
# chroot /target/ /bin/bash # mkdir /etc/keys/ # cd /etc/keys/ # dd if=/dev/urandom of=disk_crypto.key count=4096 # chmod 400 disk_crypto.key
Souboru s klíčem jsme odebrali práva běžným uživatelům, aby nemohli za běhu klíč zjistit a poté v budoucnu zneužít. Klíč patří jen rootovi. Teď ho přidáme do LUKS klíčenky.
# cryptsetup luksAddKey /dev/sda3 disk_crypto.key
LUKS po nás bude chtít existující heslo k disku, pokud mu jej zadáme, nový klíč bude přidán.
Teď musíme systému vysvětlit, že chceme při připojování disku použít sekundární klíč. V instalátoru není náš oblíbený editor Vim, ale jako náhrada mu na těch pár změn docela dobře poslouží Nano.
# nano /etc/crypttab
V crypttab najdeme jediný řádek týkající se našeho disku:
sda3_crypt UUID=a8f2d0e5-d845-4533-aad7-759ab56eba42 none luks
Upravíme ho tak, že do něj přidáme cestu k souboru s klíčem. Volitelně můžeme připsat ještě parametr, který dovolí disku oznamovat prázdné bloky pomocí příkazu TRIM. Výsledek bude vypadat takto:
sda3_crypt UUID=a8f2d0e5-d845-4533-aad7-759ab56eba42 /etc/keys/disk_crypto.key luks,discard
V dalším kroku nastavíme skripty generující initramfs, aby do něj přidaly soubor s klíčem:
# nano /etc/cryptsetup-initramfs/conf-hook KEYFILE_PATTERN=/etc/keys/disk_crypto.key
Aby si nikdo nemohl klíč jen tak přečíst z initramfs, je potřeba nastavit mu práva tak, aby jej uživatelé v systému měli nečitelný. Pokud to neuděláte, bude utilita pro generování ramdisku hlasitě protestovat.
# nano /etc/initramfs-tools/initramfs.conf UMASK=0077
Nakonec necháme vytvořit samotný initramfs se všemi hooky a námi vygenerovaným klíčem:
# update-initramfs -u
Máme hotový ramdisk a jdeme na samotný zavaděč. Nejprve zapneme v Grubu modul pro načítání obsahu z šifrovaných blokových zařízení:
# nano /etc/default/grub GRUB_ENABLE_CRYPTODISK=y
Poté vygenerujeme konfigurační soubor načítaný zavaděčem:
# grub-mkconfig -o /boot/grub/grub.cfg
Posledním krokem je instalace zavaděče do EFI:
# grub-install
Doinstalace a reboot
To je vše, teď se pomocí Alt+F1 vrátíme na instalační terminál a dokončíme instalaci přesně od místa, kde předtím skončila. Instalátor už nebude křičet, že zavaděč není na svém místě, protože jsme mu ho tam dali. Proběhne pár poinstalačních kroků a systém je připraven rebootovat.
Při startu na nás vybafne jednoduchý textový dotaz na zadání hesla, který nám zobrazí Grub. Pokud heslo zadáme správně, jádro i initramfs se načtou a spustí, připojí si systémový disk a boot proběhne jako obvykle. Všechna data máme vždy šifrovaná.
Zbývá ukázat, jak vypadá topologie blokových zařízení na výstupu užitečné utility lsblk:
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 238,5G 0 disk
├─sda1 8:1 0 650M 0 part /boot/efi
└─sda3 8:2 0 237,9G 0 part
└─sda3_crypt 254:0 0 237,9G 0 crypt
├─vg-root 254:1 0 28G 0 lvm /
├─vg-home 254:2 0 186,3G 0 lvm /home
└─vg-swap 254:3 0 4,7G 0 lvm [SWAP]
