Как создать и настроить свой веб-сервер на VDS (05 сен 2024)

Осенью самое время заняться установкой и тюнингом своего веб-сервера. Не правда ли?

Шифрование в Linux

evgenij
Не в сети
Завсегдатай

Больше

8 года 7 мес. назад - 8 года 7 мес. назад #11 от evgenij

evgenij ответил в теме Шифрование в Linux

Кстати. Что мешает использовать одновременно LVM/LUKS и eCryptfs ? Ничего не мешает, а результаты могут быть довольно неплохи.

Итак, вы установили систему на LVM/LUKS. Но у вас остались незашифрованные разделы, на которых вам тоже хотелось бы на всякий случай скрыть от постороннего взгляда пару-тройку каталогов с файлами. Поступаем следующим образом:

Шифруем означенные каталоги в eCryptfs, как рассказано выше. Для разнообразия можно попробовать шифровать названия файлов:

Code:

Enable filename encryption (y/n) [n]: y

Далее:

Создаем файл с произвольным названием:

Code:

sudo mkdir /root/.ecryptfs_passphrase

который содержит ваше кодовое (passphrase) слово:

Code:

passphrase_passwd=********************

Создаем файл .ecryptfsrc :

Code:

sudo mkdir /root/.ecryptfsrc

в котором (например):

Code:

key=passphrase:passphrase_passwd_file=/root/.ecryptfs_passphrase
ecryptfs_sig=*******************
ecryptfs_cipher=aes
ecryptfs_key_bytes=16
ecryptfs_passthrough=n
ecryptfs_enable_filename_crypto=y
ecryptfs_fnek_sig=*******************

, значения ecryptfs_sig и ecryptfs_fnek_sig совпадают, берем из

Code:

/root/.ecryptfs/sig-cache.txt

И теперь осталось только указать монтируемые при загрузке системы каталоги в

Code:

/etc/fstab

вот так:

Code:

/path_to_dir1 /path_to_dir1 ecryptfs defaults 0 0
/path_to_dir2 /path_to_dir2 ecryptfs defaults 0 0

Как видите, файл с кодовой фразой у нас находится на зашифрованном LVM/LUKS разделе и, когда компьютер выключен, недоступен для НСД (несанкционированного доступа). Подобная схема позволяет таким образом монтировать расшифрованные каталоги при загрузке системы, что прозрачно для вас и не требует от вас дополнительно ввода пароля: все завязано на единственный пароль LVM/LUKS, который вы вводите при загрузке системы.

Have a lot of fun!

Последнее редактирование: 8 года 7 мес. назад пользователем evgenij.

Спасибо сказали: Aleksej

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Aleksej
Не в сети
Модератор

Больше

8 года 7 мес. назад #12 от Aleksej

Aleksej ответил в теме Шифрование в Linux

Пингвины рулят.
Крипторазделы вообще штука полезная... особенно в наши дни.
Небольшой набросок от Петра Волкова, получивший название "Питерский линуксмен":
Have a nice day!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Aleksej
Не в сети
Модератор

Больше

8 года 3 мес. назад - 8 года 3 мес. назад #13 от Aleksej

Aleksej ответил в теме Шифрование в Linux

И еще один аспект шифрования, на этот раз - шифрование трафика... анонс статьи блога HTTPS для RHEL (CentOS) , в которой достаточно подробно прокомментирована данная последовательность действий:

Code:

$ sudo yum install mod_ssl openssl
$ sudo openssl genrsa -out ca.key 1024
$ sudo openssl req -new -key ca.key -out ca.csr

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:RU
State or Province Name (full name) []:Moscow
Locality Name (eg, city) [Default City]:Moscow
Organization Name (eg, company) [Default Company Ltd]:Masterpro.ws
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:masterpro.ws
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

$ sudo openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt
Signature ok
subject=/C=RU/ST=Moscow/L=Moscow/O=Masterpro.ws/CN=masterpro.ws
Getting Private key

$ mv ca.crt /etc/pki/tls/certs
$ mv ca.key /etc/pki/tls/private/ca.key
$ mv ca.csr /etc/pki/tls/private/ca.csr

$ sudo service httpd restart                                                                                                  
Redirecting to /bin/systemctl restart  httpd.service

Последнее редактирование: 8 года 3 мес. назад пользователем Aleksej.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

serge
Не в сети
Модератор

Больше

7 года 11 мес. назад #14 от serge

serge ответил в теме Шифрование в Linux

evgenij пишет: И теперь осталось только указать монтируемые при загрузке системы каталоги в

Code:

/etc/fstab

вот так:

Code:

/path_to_dir1 /path_to_dir1 ecryptfs defaults 0 0 /path_to_dir2 /path_to_dir2 ecryptfs defaults 0 0

Кстати необязательно, можно все опции монтирования ecryptfs прописать сразу в fstab, например:

Code:

# eCryptfs mount points
/home/username/.Private /home/username/Private ecryptfs rw,user,noauto,ecryptfs_sig=XY,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecrypfs_unlink_sigs 0 0

ПРИМЕЧАНИЕ:

Параметр user позволяет монтирование с ограниченными правами.
В параметре ecryptfs_sig замените строку XY значением сигнатуры (можно взять из mtab или sig-cache.txt).
Если было разрешено шифрование имён файлов, то нужно поставить дополнительный параметр монтирования ecryptfs_fnek_sig=XY, где XY тоже значение сигнатуры, что и в параметре ecryptfs_sig.
Последний параметр ecrypfs_unlink_sigs говорит о том, что при размонтировании ключ из брелка будет удалён.

А я смогу! - А поглядим! - А я упрямый!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Работает на Kunena форум