CryptoFS4Linux

CryptoFS4Linux
Instrukcja obsługi
Autor: Sławomir Zdanowski, PCSS
Spis treści
Spis treści..................................................................................................................................................2
Wstęp .......................................................................................................................................................3
Instalacja ze źródeł ...................................................................................................................................3
Zależności ............................................................................................................................................ 3
Kompilacja i instalacja ......................................................................................................................... 3
Deinstalacja ......................................................................................................................................... 4
Generowanie klucza do szyfrowania........................................................................................................4
Opcje ........................................................................................................................................................4
Montowanie zdalnego udziału .................................................................................................................4
Ręczne ................................................................................................................................................. 4
Automatyczne ..................................................................................................................................... 5
Przykłady użycia .......................................................................................................................................5
Wstęp
CryptoFS4Linux jest wirtualnym systemem plików dla systemów linux, który umożliwia
podmontowanie zdalnych zasobów z użyciem protokołu sftp. CryptoFS jest rozszerzeniem sshfs'a, do
którego dodana została funkcjonalność szyfrowania danych i metadanych (nazw plików i katalogów)
oraz automatyczna kontrola integralności danych.
Instalacja ze źródeł
Zależności
Przed instalacją cryptofs'a ze źródeł należy upewnić się, że mamy zainstalowane w systemie
wszystkie niezbędne zależności, czyli
- kompilator języka C++, np. g++,
- cmake w wersji >= 2.6,
- bibliotekę fuse i fuse-devel >= 2.3,
- bibliotekę glib2 i glib2-devel,
- bibliotekę openssl i openssl-devel.
Kompilacja i instalacja
Po ściągnięciu paczki zawierającej źródła cryptofs'a należy ją rozpakować poleceniem
tar -xvzf ndscryptofs-0.9.11.tar.gz
Przejść do katalogu ze źródłami
cd ndscryptofs-0.9.11
Utworzyć katalog, w którym zbudujemy binarkę
mkdir build
Przejść do tego katalogu
cd build
Wykonać polecenie konfiguracyjne
cmake ..
Następnie skompilować program
make
Oraz zainstalować wykonując jako root polecenie
make install
Deinstalacja
W przypadku deinstalacji cryptofs'a należy jako root wykonać polecenie
rm -f /usr/local/bin/ndscryptofs
Generowanie klucza do szyfrowania
Jeśli zamierzamy korzystać z szyfrowania danych i/lub metadnych konieczne jest posiadanie klucza
prywatnego RSA o długości 4096 bitów. W przypadku braku takiego klucza można go wygenerować
za pomocą openssl'a używając polecenia
openssl genrsa -out rsa_private_key.pem 4096
Opcje
CryptoFS udostępnia takie same opcje jak sshfs, na którym bazuje. Pełną listę opcji wraz z ich opisem
można zobaczyć wydając polecenie
ndscryptofs -h
Dodatkowo cryptofs udostępnia kilka opcji, które mają wpływ na sposób szyfrowania danych i
metdanych:
- EncryptionFile – za pomocą tej opcji wskazujemy ścieżkę do klucza prywatnego RSA, którego
będziemy używać do szyfrowania,
- encrypt_data i no_encrypt_data – określają czy dane w przestrzeni szyfrowanej są
szyfrowane czy też, domyślnie jeśli nie podano w sposób jawny żadnej z powyższych opcji dane są
szyfrowane jeśli podano opcja EncryptionFile jest określona i nie są szyfrowane w przeciwnym razie,
- encrypt_names i no_encrypt_names – określają czy nazwy plików i katalogów w przestrzeni
szyfrowanej są szyfrowane czy też nie, domyślnie jeśli nie podano w sposób jawny żadnej z
powyższych opcji dane są szyfrowane jeśli podano opcja EncryptionFile jest określona i nie są
szyfrowane w przeciwnym razie.
Montowanie zdalnego udziału
Ręczne
W celu podmontowania zdalnego udziału należy wykonać operację
ndscryptofs [użytkownik@]serwer:[folder]
punkt_montowania [opcje]
Żeby odmontować zdalny udział należy wykonać polecenie
fusermount -u punkt_montowania
Automatyczne
Możliwe jest montowanie zdalnego udziału bezpośrednio przy uruchomianiu komputera. W tym celu
należy dodać do pliku /etc/fstab następujący wpis (w 1 linii):
ndscryptofs#użytkownik@serwer:[folder] punkt_montowania fuse
rw,allow_other,EncryptionFile=PATH 0 0
Przykłady użycia
Montowanie zdalnego katalogu domowego użytkownika (bez szyfrowania)
ndscryptofs [email protected]:. /mnt/worm
Montowanie konta w PLATON-U4 (z obsługą szyfrowania)
ndscryptofs [email protected]:. /mnt/u4 -o IdentityFile=PATH1 -o
EncryptionFile=PATH2