Nyt kun kovalevyt on saatettu tuotantokäyttöön, oli aika ottaa ne tarkoituksenmukaiseen käyttöön. Erinäiset automaatiot noutavat säännöllisesti verkon yli tiedot väliaikaiseen varastoon jossa ne säilötään harvemmin tiedon lopullista arkistointia varten. -Todennäköisyyksillä pelataan, systeemi ei ole täydellinen mutta riittävä.
Tämä satama ja välivarasto on käytännössä OpenBSD järjestelmä, joka ainakin maineensa puolesta takaa riittävän hyvän ajon aikaisen turvan datalle. Varastoinnin kannalta tiedot tipahtaa kovalevylle salattuna, jottei minun tarvitse olla huolissani asiakkaiden tietojen vuotamisesta jätehuollossa tai jos laitteisto voihkitaan fyysisestä sijoituspaikastaan.
Seuraavassa nopea intro tuon "salatun sataman" luomiseen, josta tiedon logistinen ketju vie tiedot eteenpäin. Periaatteessa saman saat luettua täältä, mutta typistän tarinaa osin ja osin jatkan sitä.
OpenBSD:n tiedostojärjestelmän kryptaus tapahtuu käytännössä siten, että ensin luodaan yksi suuri tyhjä tiedosto joka tulee esittämään kryptattua kovalevyäsi virtuaalisena levyjärjestelmänä. Salaus on symmetrinen (Blowfish-algoritmi), joten valitse salasanasi hyvin.
Ensimmäinen askel on luoda siis tyhjä tiedosto. Nyt on tärkeää miettiä paljonko haluat ja tarvitset tilaa. Kun olet päättänyt kuinka paljon tarvitset (ja varmistanut että paikalliselta levyltä saat haluamasi määrän tilaa käyttöön) luot tiedoston käyttämällä dd komentoa. dd kannattaa ajaa muistin käytön kannalta blokeissa, muutoin joudut odottamaan pitkään. Seuraava esimerkki luo noin 5 gigan tyhjän tiedoston 128 kilon blokeissa:
dd if=/dev/zero of=/home/user/.home bs=128k count=39070
Kuriositeettina mainittakoon, että komennon ajaminen kestää pitkään. Tämän jälkeen sinulla on kuitenkin valmiina tiedosto, joka tulee esittämään piakkoin salattua levyjärjestelmääsi.
Jos katsotaan komentoa tarkemmin, luotiin tiedosto käyttäjän kotihakemistoon. Tämä käyttäjätunnus user on taasen käyttäjä, jonka loin suorittamaan "luotsin" toimintoja. Eli erikseen luotu käyttäjätunnus ajamaan automaatioita jotka noutavat tahi vastaanottavat dataa verkosta. Privilege separation on homman nimi. -Jos käyttäjän tunnus varastetaan ei tunnuksella pystytä aiheuttamaan tuhoja kuin datalle mikä sattuu sillä hetkellä olemaan satamassa. Mutta tämä on kovin pinnallinen kuriositeetti... En mene sivuraiteille käsittelemään uhka-analyysien ja niiden kautta löydettyjen suojakeinojen toteutukseen.
Seuraavaksi tarvitsee liittää luotu tiedosto johonkin virtuaaliseen laitteeseen. Tämä tapahtuu vnconfig komennolla. Merkittävää on -k argumentin käyttö, joka liittää laitteeseen salauksen.
/usr/sbin/vnconfig -ck -v /dev/svnd0c /home/user/.home
Komento pyytää salasanaa, joten anna salauksellesi salasana. Salasanan voimakkuuden tulee olla verrannollinen varastoitavan tiedon arvoon.
Jos katsotaan komentoa tarkemmin valittiin virtuaalisen laiteen ID numeroksi 0 ja partitioksi C, joka BSD maailmassa tarkoittaa koko laitteen levytilaa. Eli tiedoston sisältö tästä eteenpäin esittää virtuaalisen levyn svnd0 sisältöä.
Tiedostohan on luomisen jälkeen tyhjää täynnä ja vaatii tiedostojärjestelmän. Tämä hoituu komentalmalla:
newfs /dev/svnd0c
Huomaa; Jos on olemassa ja sisältää ennestään jotain tietoa, kaikki data tulee tuhoutumaan.
Seuraavaksi voit liittää salatun virtuaalilevyn paikalliseen levyjärjestelmään:
mount /dev/svnd0c /home/user
tämä kiinnittää salatun levyn käyttäjän user kotihakemisoon. Tämä voi olla myös mieluisa tapa salata kotihakemistonsa esim kannettavalla tietokonella.
Jos edellä annettu mount komento epäonnistuu jo aiemmin luodun tiedostoon perustuvan virtuaalilevyn kiinnityksessä, olet varmaankin syöttänyt salasanan väärin.
Jos haluat poistaa salatun järjestelmän, aja komennot:
umount /home/user
vnconfig -uv svnd0
joilla ensimmäinen irroittaa virtuaalilevyn paikallisesta levyjärjestelmästä ja jälkimmäinen irroittaa tiedoston virtuaalilevyn yhteydestä.
Käytetty OpenBSD versio on 4.2.
Aika on rajallista ja tämä postaus näki päivänvalonsa vasta Toukokuussa 2008, kolme kuukautta myöhemmin kuin aloin tätä kirjoittaa.
Jos jotakuta kiinnostaa tämän kirjoituksen kaltaiset eksoottisemmat "niksi-Pirkat", kuulen niistä mielelläni. Profiilista löytynee osoite jonne voi laittaa postia.
Tunnisteet
- apple (1)
- asentaminen (4)
- audio (2)
- backup (2)
- blogaus (1)
- bsd (2)
- debug (1)
- elämä (3)
- firefox (1)
- grafiikka (2)
- imagemagick (1)
- inkscape (2)
- kamera (2)
- LaTeX (1)
- linux (18)
- matkapuhelin (5)
- ohjelmointi (3)
- ongelmat (20)
- optimointi (1)
- päivittäminen (4)
- ratkaisut (20)
- suse (2)
- tietotekniikka (20)
- työkalut (8)
- ubuntu (11)
- verkko (3)
- vmware (3)
- windows (5)
- ylläpito (8)
Tietoja minusta
- syylari
- Uusimaa, Finland
- Ohjelmistoammattilainen. Sivutoiminen yrittäjä tietotekniikan laitteisto-, ohjelmisto- ja verkkokonsultoinnin alueella.