Ẩn toàn b file hệ thống như thế nào
Mã hoá file đơn gin có ích li riêng ca nó, nhưng đôi khi sẽ còn ích li
hơn nếu mã hoá được toàn b file h thng hoc mã hoá toàn b đĩa.
Như trong trường hp bn cn bo v mt tp hp ln các file, hoặc đôi
khi không ch bo v bn còn cn n toàn b s hin din ca d liu
nhy cm trước nhng con mt tò mò. Trong nhng trưng hp như
vy, gii pháp nào hu hiu cho bn? Bài này s cung cp mt s la
chn giúp bn bo v an toàn hơn cho hệ thng ca mình.
Nếu đã có mt phân vùng hay đĩa mã hoá chuyên dng, cái bn cn bây gi
chmt mt khu hoc khoá gii mã đ m tt c các file được bo v. Mt
s gii pháp thm chí cho phép bn mã hoá c phân vùng gc phân vùng
trung gian. Song, có mt s nhược điểm là đôi khi tốc độ thc thi b gim
đáng kể (và đáng tiếc, đây lại một trong các tiêu chí đánh giá bảo mt). S
tht là, nếu mt k tấn công nào đó tìm ra khoá gii mã ca bn (hoc có khi
do ch nhân sơ ý để l) thì bn có thi li tm bit vi tt c các file được
bo v canh.
Thiết b lp vòng và dm-crypt
Hin nay, phương thức chính được s dng trong mã hoá file h thng nhân
Linux là trình điều khin thiết b lp vòng và h thng ánh x thiết b (s
dụng đích dm-crypt). Nếu bạn có ý đnh s dng thiết b lp vòng tloop-
AES là la chn tt nhất. Đó là một trong các phương thức mã hoá đĩa cứng
hoàn chnh nht dành cho Linux và file hướng dn README thông minh ca
nó cung cp mt s ví d thực đáng kể trong mã hoá file h thng.
Dm-crypt được đóng gói với lot kernel 2.6 và cung cp kh năng thực thi tt
hơn, bảo mt hơn trình điều khin thiết b lp vòng. Thành phn ca cũng
phong phú hơn.
D án s dng dm-cryp nhiu trin vng nht hin nay dường như là LUKS.
Mục đích ca d án là cung cp mt kiu định dạng trên đĩa tiêu chun, giúp
vic chuyn di d liu được bo v gia các phân phi d dàng hơn.n
cạnh đó, nó cung cấp chương trình quản lý đa khoá (một m rng ln) c
phân vùng mã hoá có th được truy cp trong Windows qua FreeOTFE (m
rng thm chí còn ln hơn).
Các phương thức s dng FUSE
Hai ng dng khác lại có đường li khác. C CryptoFS EncFS đều là file
h thống được hoá chạy trên đầu FUSE, tc mt gói cho phép người dùng
to file h thng trong không gian người dùng và thao tác vi nó mà không
cn phải đặc quyn rootng vi nhiu th khác. Vi các ng dng này,
file (và tên của chúng) được mã hoá và cha trong mt thư mục bình thường.
Người dùng phi chn thư mc khác vi vai trò như một điểm đặt cho file h
thng được mã hoá: d liu mã hoá s được gii mã đó, sử dng mt khoá
gii mã. Nếu không có khoá gii, s không có cách nào m được thư mc vi
các file đã được gii mã.
CryptoFS và EncFS đạt được t l cân bng tt gia bo mt và s tin li
trong s dng cho người dùng. Các file h thống được to vi FUSE có th
tăng lên bt k độ ln nào, tương phn vi phương thc lp vòng đòi hi phi
to phân vùng vi kích thước c định. Tuy nhiên, với đối tượng người dùng
cn thn thì h nhn thy có mt nhược điểm ln trong s dng file h thng
FUSE là: nếu nhìn vào bên trong thư mc thông thường, bt k ai cũng sẽ
vn thy tng s file mã hoá là bao nhiêu, tính toán được kích thước thc ca
chúng và kim tra quyn hn có th có.
Mt nghiên cu mới đây so sánh gia EncFS CryptoFS vi LUKS ch ra
rng LUKS “cao tay hơn trong thc thi file.
eCryptfs
Mt la chn khác có xu hướng ngược li trong
nhân Linux là eCryptfs. Bn s cn đến mô-đun
kernel và các tin ích không gian người dùng để
cài đặt và s dng nó. eCryptfs cung cp mt h thng file mã hoá ngăn xếp,
nghĩa là nó làm vic phía trên ca mt h thng file khác đã có trước đó và
ngăn xếp li gi ca nó (bi vy, mt s file h thng như XFS có th
nguyên nhân gây ra nhiu vn đề).
Một điểm ci tiến khi ng eCryptfs đủ cho bn an tâm là: eCryptfs là mt
kiu h thng file t nhiên trong Linux và không cn hoạt động qua c li
gi FUSE hay RPC. Như thế có nghĩa là nó có ít ph thuc hơn và dễ dàng
phát trin hơn. Siêu dữ liu mt mã ca mỗi file được lưu tr trong phn tiêu
đề ca chúng, giúp vic chuyn dch d liu và sao lưu dễ dàng hơn. Các