NEXT 7/2008 - Dopasowany Linux

Najnowsze dystrybucje Linuksa nie ustępują możliwościami dowolnemu Windows przynajmniej z punktu widzenia przeciętnego użytkownika. Funkcjami różnią się od systemów Microsoftu to in plus, to in minus. Pokazujemy, jak używać kilku ciekawych funkcji dostępnych w większości popularnych dystrybucji, takich jak Fedora czy Ubuntu.

Zaszyfruj ważne dane

Bardzo często wymienianą w marketingowych materiałach Microsoftu funkcją Visty jest narzędzie BitLocker. Faktycznie, możliwość prostego zaszyfrowania cennych danych bez konieczności stosowania osobnych narzędzi to przydatna opcja. W Linuksie ma ona od dawna swój odpowiednik, jakim jest system plików EncFS. Stosując go, zaszyfrujesz dowolny katalog, do którego dostęp będzie możliwy dopiero po podaniu hasła.

Ponieważ EncFS formalnie jest jednak systemem plików, wymaga podania katalogu źródłowego, który będziesz musiał zamontować w innym folderze. W praktyce działa to tak, że w folderze montowanym przechowywane są zaszyfrowane dokumenty, a dostęp do nich uzyskujesz przez folder podany w ścieżce montowania. Konieczność wykonania tych czynności odróżnia EncFS od innych narzędzi szyfrujących, ale nie przeszkadza to w jego użyciu.

Szyfrowany system plików zainstalujesz w Ubuntu, wydając polecenie sudo apt-get install encfs, a w Fedorze – yum install fuse-encfs, w obu przypadkach zezwalając na pobranie wymaganych bibiliotek, szczególnie pakietu fuse (filesystem in userspace). Jest to moduł jądra, z którego korzysta wiele sterowników systemów plików i jest wymagany także przez EncFS. Prawdopodobnie jest on już załadowany, ale sprawdź to (jako administrator) komendą lsmod | grep fuse.

Jeśli nie zwróci żadnych wyników, załaduj go jako root poleceniem modprobe fuse. Dodaj następnie użytkownika (jako który się logujesz) do grupy fuse, abyś mógł montować foldery w tym trybie. W Ubuntu zrobisz to komendą sudo adduser nazwa_uzytkownika fuse, a w Fedorze /usr/sbin/adduser nazwa_uzytkownika fuse jako root. Aby system zaklasyfikował cię do tej grupy bez konieczności restartu, wydaj komendę newgrp – fuse. Inaczej wciąż nie mógłbyś korzystać z wczytanego modułu aż do restartu komputera.

Teraz możesz już utworzyć dwa katalogi: pierwszy na składowane dane, np. ~/tajne, oraz na dostęp do nich – ~/tajne_dostep. Oczywiście nazwy zmień na własne, możesz np. punkt montowania utworzyć konwencjonalnie, w katalogu /media/tajne lub /mnt/tajne nie ma to znaczenia. Katalog zamontujesz, wykorzystując EncFS poleceniem encfs ~/tajne ~/tajne_dostep. Utworzy to w katalogu ~/tajne nowy, zaszyfrowany system plików i wyświetli zapytanie.

Możesz po prostu potwierdzić je enterem, by użyć domyślnych ustawień, m.in. 160-bitowego algorytmu szyfrowania Blowfish etc., lub wybrać x, by ustawić je samodzielnie. Trzecią możliwością jest podanie odpowiedzi p, która wymusi używanie najlepszego algorytmu szyfrowania, 256-bitowego AES. Do typowych zastosowań wystarczy jednak domyślne ustawienie. W kolejnym kroku będziesz musiał podać dwukrotnie to samo hasło dostępu do zasobu, po czym katalog zostanie zamontowany. Możesz zatem przenieść do niego kilka plików i sprawdzić, że szyfrowanie odbywa się całkowicie w tle, niewidocznie dla użytkownika. Pamiętaj jedynie, aby zapisywać pliki tylko katalogu podanego jako ścieżka montowania – tutaj ~/tajne_dostep. Pisanie bezpośrednio do katalogu źródłowego, choć wciąż jest możliwe, nie jest objęte szyfrowaniem.

EncFS ma dwie wady: po pierwsze, każdy plik jest kodowany osobno, zatem dowolny współużytkownik peceta może sprawdzić, ile (ilościowo) dokumentów zaszyfrowałeś. Zatem jeśli wgrałeś np. następujące pliki , listując katalog źródłowy będą one przedstawione tak jak na obrazku nr 3. Widać zatem także prawa dostępu i właściciela dokumentów, ale już np. rozmiar jest zafałszowany, bo dotyczy zakodowanej, nie oryginalnej wersji.

Drugą wadą systemu EncFS jest konieczność odmontowywania go przed wyłączeniem komputera. Możesz zrobić to za każdym razem samodzielnie, komendą fusermount -u ~/tajne_dostep, albo zautomatyzować proces. Wystarczy, że dodasz powyższe polecenie do pliku ~/.bash_logout w nowej, pustej linii na jego końcu.

Ocena:    (aby ocenić, musisz się zalogować w serwisie)

 del.icio.us |  Wykop mnie |  Digg this story |  dodajdo.com

• Więcej możliwości »
  tips & tricks
• Nasza mała stabilizacja »
  zestawienia produktów hardware'owych
• Wybierz dystrybucję stosowną do potrzeb »
  Fedora 10 i inne dystrybucje
• Linux – obalamy mity »
  odmitologizować Linuksa
• Zameldowani w sieci »
  Tips & Tricks domeny internetowe