dm-crypt (Русский)

Состояние перевода: На этой странице представлен перевод статьи Dm-crypt. Дата последней синхронизации: 25 мая 2025. Вы можете помочь синхронизировать перевод, если в английской версии произошли изменения.

Ссылки по теме

dm-crypt это криптографически-ориентированный планировщик устройств (device mapper). Соглано переводу из английской википедии Wikipedia:dm-crypt:

прозрачная подсистема шифрования диска в ядре Линукс, реализованная как device mapper target что означает что он может быть использован поверх других device mapper'ов.

Таким образом, он может шифровать:

  • физические устройства хранения данных целиком (включая съёмные накопители)
  • разделы диска (partitions)
  • програмные тома RAID
  • логические тома
  • отдельные файлы

Представлен в системе как блочное устройство, которое может работать как крипто-контейнер для:

  • файловой системы (на разделе основной разметки диска, на логическом томе LVM и т.п.),
  • свопа (раздела, файла или тома подкачки)
  • физического тома LVM.

Использование

Dm-crypt/Drive_preparation
Описывает операции, такие как безопасное стирание диска и особенности, связанные с dm-crypt, при его разметке.
Dm-crypt/Device_encryption
Рассказывает о том, как вручную использовать dm-crypt для шифрования системы с помощью команды cryptsetup. Рассматриваются примеры вариантов шифрования с помощью dm-crypt, рассматривается создание файлов-ключей, специфические команды LUKS для управления ключами, а также для резервного копирования и восстановления.
Dm-crypt/System_configuration
Показывает как настроить mkinitcpio, параметры ядра и файл crypttab при шифровании системы.
Шифрование подкачки
Описывает как добавить своп (подкачку) в зашифрованную систему, поскольку подкачка тоже должна быть зашифрована, чтобы защитить данные, выгружаемые системой. Эта часть описывает методы как без поддержки гибернации так и с её поддержкой.
Dm-crypt/Specialties
Описывает специальные операции, например для защиты незашифрованного загрузочного раздела, использования зашифрованных ключевых файлов GPG, LUKS или OpenSSL, метод загрузки и разблокировки через сеть, другой метод настройки discard/TRIM для SSD, а также разделы, касающиеся хука encrypt и нескольких дисков.
Dm-crypt/Mounting at login

Примеры сценариев

Dm-crypt/Encrypting_a_non-root_file_system
Если нужно зашифровать файловую систему, которая не используется для загрузки системы.
Dm-crypt/Шифрование всей системы
Если нужно зашифровать всю систему, в частности корневой раздел /. Рассматривается несколько сценариев:
  • использование dm-crypt как с расширением LUKS так и без него
  • зашифрованный /boot, который можно расшифровать напрямую GRUB'ом на ранней стадии загрузки
  • не зашифрованный /boot что не требует дополнительной настройки и может работать с любым загрузчиком и стандартным методом шифрования LUKS, который более стойкий к брутфорсу пароля засчёт искусственно завышенных системных требований для открытия крипто-контейнера

Разобраны различные варианты связки LUKS+LVM:

  • LUKS внутри LVM, когда шифруется файловая система внутри логического тома LVM.
  • LVM внутри LUKS, когда шифруется физический том LVM

Остальные сценарии:

Приведена сравнительная таблица плюсов и минусов каждого из сценариев.

Ссылки

  • dm-crypt - страница проекта на ГитЛаб
  • cryptsetup - страница проека LUKS и FAQ на ней.
This article is issued from ArchWiki. The text is available under GNU Free Documentation License 1.3 or later unless otherwise noted. Additional terms may apply for the media files.