Andmete krüpteerimine võrgukettal, pilves ----------------------------------------- Ülesanne -------- - enos.itcollege.ee serverisse luua krüpteeritud VeraCrypt'i konteiner suurusega 10 MB ja failisüsteemiga EXT4 - luua sinna konteineri sisse mõned failid (txt vms) - kasutada salasõna puhul ka PIM (Personal Iterations Multiplier) parameetrit (vt viidete hulgas selgitav materjal), piisab vaikimisi väärtus - ühendada see üle võrgu kohalikus GNU/Linuxiga (edaspidi: Linux) arvutis külge selliselt, et ei peaks seda faili üle võrgu kopeerima vaid fail asub endiselt serveris kuid selle sisu saab kasutada kohalikus arvutis Lisainfo -------- Klassiarvutitel on paigaldatud VeraCrypt, millega saab muuhulgas luua krüpteeritud konteinereid. veracrypt'i juhis konteineri loomiseks: https://www.veracrypt.fr/en/Beginner%27s%20Tutorial.html ... samad tegevused on nii MS Windowsis Linuxis, macOS'is Võrguühenduse jaoks kasutame SSH protokolli ja soovitavalt loome võtmepaari, lisajuhised SSH kohta leiab http://enos.itcollege.ee/~edmund/materials/ssh/ssh.txt Üldiselt tuleb esmalt enos.itcollege.ee kasutaja kataloog ühendada failisüsteemina üle SSH kuna GVFS (GNOME Virtual File System) kaudu ei toeta VeraCrypt konteinerite ühendamist. Selleks on vajalik sshfs (SSH Filesystem). Tegemist on FUSE (Filesystem in Userspace) ehk siis tavakasutaja õigustes ühendatava failisüsteemiga. Ka näiteks AppImage (https://appimage.org) - kaasaskantavad (portatiivsed) rakendused Linuxile - kasutab FUSE oma konteineri ühendamiseks. Selleks, et tavakasutajana saaks seda ühendada, on siiski vaja järgmine säte: /etc/fuse.conf # Allow non-root users to specify the allow_other or allow_root mount options. user_allow_other <---eemaldada trellid eest SSH seadistamine ---------------- Mugava kasutamise nimel soovitav kirjutada ligipääsuparameetrid kasutaja SSH sätetefaili. Failis /home/kasutaja/.ssh/config on kirjas (lisainfo: man ssh_config): AddKeysToAgent yes #see rida vajalik kui soovime, et SSH agent peaks meeles SSH võtmete salasõnu Host * TCPKeepAlive yes ServerAliveInterval 300 #aeg sekundites, võib ka väiksemat väärtust kasutada ServerAliveCountMax 2 Host enos.itcollege.ee #siin võib soovi korral kirjutada, midagi muud IdentityFile ~/.ssh/key #siin asendada tegeliku privaatse võtme asukohaga, nimega IdentitiesOnly yes #see parameeter kasulik eriti siis kui on palju SSH võtmeid samas kaustas Port 22 User kasutaja #asendada tegeliku kasutajanimega HostName enos.itcollege.ee Failisüsteemi ühendamise näiteid --------------------------------- kasutame SSH sätetefaili sshfs kasutaja@enos.itcollege.ee:/home/kasutaja/ /home/kasutaja/sihtkoht/ -F /home/kasutaja/.ssh/config -C -o idmap=user,allow_root /home/kasutaja/ on siis kataloog enos.itcollege.ee serveris, mida üle võrgu kohalikku arvutisse ühendame /home/kasutaja/sihtkoht/ on siis kohalikus arvutis kataloog kuhu enose serveris olevat kausta ühendame kasutame otse SSH võtmefaili sshfs kasutaja@enos.itcollege.ee:/home/kasutaja/ /home/kasutaja/sihtkoht/ -o idmap=user -o IdentityFile=/home/kasutaja/.ssh/id_ed25519 -C idmap=user määrab UID/GID kliendipoole kasutaja järgi (vastasel korral on serveri UID/GID, mida ei pruugi kohalikus masinas olla) -F määrab SSH sätetefaili -C kasutab SSH sätetefaili (vaikimisi: /home/kasutaja/.ssh/config) Edasi on VeraCrypt'iga võimalus ühendada juba /home/kasutaja/sihtkoht/krypteeritud.fail tavapäraselt kasutades kas siis VeraCrypti GUI või CLI ühendamise võimalusi. Lisainfo -------- Tavakasutajad saavad FUSE failisüsteeme ühendada ka fusermount käsuga, lisainfo: man fusermount Ühendatud FUSE failisüsteemide vaatamine (sh millised on tegelikud ühendamise parameetrid): mount -t fuse Viited ------ https://www.veracrypt.fr/en/Home.html https://www.veracrypt.fr/en/Beginner%27s%20Tutorial.html - juhend alustajatele https://www.veracrypt.fr/en/Command%20Line%20Usage.html (vt ka: man veracrypt) - kasutamine käsureal https://www.veracrypt.fr/en/Personal%20Iterations%20Multiplier%20%28PIM%29.html - PIM (Personal Iterations Multiplier) https://cryptomator.org - automaatse sünkroniseerimisega turvaline pilvesalvestus https://www.privacytools.io - turvateadliku spetsialisti, kasutaja rakendused https://www.howtogeek.com/108501/the-how-to-geek-guide-to-getting-started-with-truecrypt/ https://en.wikipedia.org/wiki/GVfs https://en.wikipedia.org/wiki/SSHFS https://en.wikipedia.org/wiki/Filesystem_in_Userspace https://linux.die.net/man/1/sshfs https://www.unix.com/man-page/linux/1/fusermount/ https://appimage.org