Монтирование диска в linux

Введение

Если коротко, то eCryptfs не нуждается в резервировании места на диске(создание специального раздела). eCryptfs может быть смонтирован в любую директорию и шифровать её содержимое(например домашняя директория! пользователя или любая директория в сети). Все метаданные для расшифровки хранятся в заголовках файлов, поэтому зашифрованные файлы можно перемещать, копировать, делать резервные копии. Есть и другие плюсы данного метода, как и минусы. Самый большой минус — eCryptfs не может шифровать весь раздел/жёсткий диск. По этому eCryptfs не может зашифровать раздел swap(но вы можете комбинировать eCryptfs и dm-crypt).

Способы монтирования

Варианты монтирования по степени детализации:

Высокоуровневое:

# high level ecryptfs mount
LOGIN="user"
sudo -iu "$LOGIN"
ecryptfs-mount-private

Среднего уровня:

# middle level ecryptfs mount
LOGIN="user"
sudo -iu "$LOGIN"
WRAPPED_PASSPHRASE_FILE="/home/$USER/.ecryptfs/wrapped-passphrase"
PASSPHRASE="password"
echo "$PASSPHRASE" | ecryptfs-insert-wrapped-passphrase-into-keyring "$WRAPPED_PASSPHRASE_FILE"
mount.ecryptfs_private

Низкоуровневое:

# low level ecryptfs mount
sudo -i
LOGIN="user"
WRAPPED_PASSPHRASE_FILE="/home/$LOGIN/.ecryptfs/wrapped-passphrase"
ecryptfs-unwrap-passphrase "$WRAPPED_PASSPHRASE_FILE"
PASSPHRASE="password"
printf "%s" "$PASSPHRASE" | ecryptfs-add-passphrase --fnek -
MOUNT_PASSPHRASE_SIG_FILE="/home/.ecryptfs/$LOGIN/.ecryptfs/Private.sig"
ECRYPTFS_SIG="$(sed -n 1p $MOUNT_PASSPHRASE_SIG_FILE)"
ECRYPTFS_FNEK_SIG="$(sed -n 2p $MOUNT_PASSPHRASE_SIG_FILE)"
mount.ecryptfs "/home/.ecryptfs/$LOGIN/.Private" "/mnt" \
    -o ecryptfs_passthrough=n,\
    ecryptfs_cipher=aes,\
    ecryptfs_key_bytes=16,\
    ecryptfs_enable_filename_crypto=y,\
    ecryptfs_sig="$ECRYPTFS_SIG",\
    ecryptfs_fnek_sig="$ECRYPTFS_FNEK_SIG",\
    passphrase_passwd="$PASSPHRASE"

Монтирование что это?

Монтирование — это подключение диска, раздела, каталога или файла в корневую систему Linux.

Как уже сказано было выше, в ОС «Линукс» имеется общая корневая система. Именно к ней подключаются все устройства и ресурсы, которыми пользуется владелец ПК. Если углубиться в эту сферу более подробно, Windows выполняет процедуры аналогично, но все процесс скрыты от пользователя.

После монтирования определённый раздел становится частью корневой системы, которая всяческими способами пытается сделать свою работу максимально прозрачной. К примеру, после монтирования оперативной памяти или удаленной системной папки пользователь может изучить ее в файловом менеджере. Допускается работа с такими разделами. Она будет аналогична работе, которая касается локального диска.

Создание точки монтирования

Вы можете создавать и использовать свои собственные точки монтирования. Мы собираемся создать один с именем и смонтировать наш ISO-образ на этом. Точка монтирования — это просто каталог. Таким образом, мы можем использовать для создания нашей новой точки монтирования.

  sudo mkdir / media / dave / isomnt 

Теперь мы можем использовать тот же формат команд, что и раньше, для монтирования нашего ISO-образа. На этот раз мы не будем монтировать его в , мы будем монтировать его в :

  sudo mount -r -t iso9660 -o loop TinyCore-current.iso / media / dave / isomnt / 

Теперь мы можем получить доступ к смонтированной файловой системе с нашей новой точки монтирования.

  ls / media / dave / isomnt / cde / по желанию 

Но эти пути становятся очень длинными. Это быстро станет утомительным. Давайте сделаем что-нибудь об этом.

Работа с ключами

eCryptfs работает максимально прозрачно для всех приложений, которые работают с шифрованными файлами. В большинстве случаев, когда контроль доступа не может быть полноценно обеспечен хостом, тот факт, что файл зашифрован, не должен быть проблемой для пользователя. Шифрование по определению должно обеспечить целостность и конфиденциальность информации, и система решает эти задачи, используя пользовательские аутентификационные данные для генерации ключей и доступа к содержимому.

Сессионные ключи

Каждый файл получает сгенерированный случайным образом сессионный ключ, который используется для шифрования содержимого файла. eCryptfs хранит этот сессионный ключ в криптографических метаданных файла. Они, в свою очередь, хранятся у соответствующего пользователя. Когда приложение закрывает только что созданный файл, eCryptfs шифрует сессионный ключ ровно один раз для каждого аутентификационного токена, связанного с этим файлом, согласно правилам шифрования. Затем эти зашифрованные сессионные ключи записываются в заголовки соответствующих файлов. Когда позже приложение открывает зашифрованный файл, eCryptfs читает зашифрованные сессионные ключи и вытаскивает их из криптографического контекста файла. Затем система просматривает пользовательские аутентификационные токены, пытаясь найти соответствие с зашифрованными сессионными ключами. Используется первый найденный ключ для расшифровки сессионного ключа. В случае, когда ни один токен не подходит для расшифровки, система действует в соответствии с политикой работы. Следующим действием может быть, например, запрос к модулю PKI либо запрос на ввод пароля.

Автоматическое монтирование в Systemd

Система инициализации Systemd анализирует /etc/fstab при загрузке и автоматически генерирует все нужные файлы юнитов на основе описанных там точек монтирования, а уже потом их загружает.

Вы можете посмотреть все созданные в systemd точки монтирования такой командой:

Но нам ничего не мешает самим создать такой файл точки монтирования. Это очень просто, давайте рассмотрим синтаксис:

Description=описание

What=адрес_раздела
Where=точка монтирования
Type=файловая система
Options=опции монтирования

WantedBy=multi-user.target

Например, для той же домашней папки автоматическое монтирование fstab будет выглядеть вот так, имя обязательно должно состоять из точки монтирования, в которой слеши заменены на дефис:

Description=Mount System Home Directory

What=/dev/sda3
Where=/home
Type=ext4
Options=defaults,noexec

WantedBy=multi-user.target

Точно такой же файл может быть создан для любого устройства. Теперь для монтирования достаточно набрать:

А чтобы добавить эту точку монтирования в автозагрузку выполните:

Вот и все теперь вы знаете не только как выполняется монтирование fstab, но и автоматическое монтирование в systemd.

Немного о том, как происходит монтирование

Монтирование файловой системы — это один из обязательных этапов начальной загрузки Linux. Монтирование необходимо для того, чтобы собрать файловую систему (ФС) из отдельных её компонентов в единое дерево каталогов, имеющее один корень. В Linux нет понятия «диск» как такового. Это физический уровень, отображаемый в общее дерево файловой системы через другие файловые системы, связанные, например, с разделами дисков и подключаемые через точки монтирования.

Например, один из разделов устройства хранения (диска) может быть смонтирован как «/home». Эта запись обозначает точку монтирования ФС с домашними каталогами пользователей системы. Здесь символ «/» указывает, что к общему корню (к корневой ФС) подключена другая ФС с именем «home». А она в свою очередь привязана к какому-либо из разделов на устройстве хранения.

Монтирование в Linux выполняет команда mount. Она вызывается системой инициализации (такой например, как Systemd), но также широко используется для ручного подключения устройств.

Конфигурационным файлом, хранящим настройки подключения устройств является . Система инициализации при запуске системы обращается к этому файлу, чтобы смонтировать ФС согласно указанным в нём настройкам. Содержимое файлаb – это список текстовых строк, каждой из которых соответствует раздел на устройстве, который необходимо примонтировать с определёнными параметрами, указанными в этой строке. Правила записи этих строк соответствуют определённому (и несложному) синтаксису.

Несколько слов о Paragon Software

Компания Paragon Software была основана в 1994 г. студентами и выпускниками Московского физико-технического института (МФТИ), преимущественно вышедшими из компании «Физтехсофт». Первыми двумя продуктами фирмы стали Paragon DOS и Paragon BootManager. В дальнейшем к ним добавилось ПО для карманных компьютеров – компания начала с локализации популярного тогда PDA Newton и с технологии распознавания рукописного ввода Penreader.

Сегодня одним из приоритетных направлений компании является создание программных решений для управления жесткими дисками, распределения и защиты данных. Офисы группы расположены в США, Китае, Японии, Польше и России, головной офис – в немецком городе Фрайбург-им-Брайсгау.

В январе 2020 г. южнокорейская корпорация Samsung предложила собственную реализацию exFAT. Именно в ее пользу впоследствии сделали выбор разработчики Linux.

Как смонтировать диск

Общая команда монтирования диска имеет вид:

mount ОПЦИИ УСТРОЙСТВО ДИРЕКТОРИЯ

В ней:

  • ОПЦИИ — опции утилиты mount или опции монтирования
  • УСТРОЙСТВО — блочное устройство или файл образа, который мы хотим подключить к файловой системе
  • ДИРЕКТОРИЯ — папка, где будут доступны файлы со смонтированного устройства

Среди ОПЦИЙ можно указать, например, тип файловой системы или режим только для чтения (по умолчанию монтирование выполняется для чтения и для записи). Существует большое количество опций, некоторые из которых применимы для всех файловых систем, а некоторые из которых специфичны только для определённых файловых систем. Программа mount имеет свои опции, которые относятся к поведению этой утилиты, а также имеются опции, которые относятся к файловым системам, такие опции указываются после -o.

Некоторые опции можно указать любым из этих способов, например, опцию -w, которая означает монтирование для чтения и записи (её псевдонимы —rw, —read-write), также можно указать как «-o rw».

Справочная информация по опциям будет приведена в конце данной статьи.

На самом деле, если вы хотите смонтировать диск для чтения и записи, то можно не указывать никакие опции.

Поэтому обычно для монтирования используется команда вида:

sudo mount /dev/имя_раздела /точка/монтирования/

Допустим, я хочу, чтобы новый диск с именем /dev/sda был подключён (смонтирован) к папке /mnt/disk_d (название папки можно выбрать любое, а точка монтирования необязательно должна быть в директории /mnt/ — можно сделать в домашней папке или в любой другой).

Начинаем с создания директории, в которую будет смонтирован диск:

sudo mkdir /mnt/disk_d

Монтируем диск /dev/sda:

sudo mount /dev/sda /mnt/disk_d

Разрешаем доступ всем в этот диск, чтобы обычный пользователь также мог смотреть и записывать туда файлы:

sudo chmod 0777 /mnt/disk_d

На самом деле, права доступа можно настроить более тонко — без полного разрешения для всех.

Эксплуатация уязвимостей

Итак, подытожим описанное выше. В Synology DSM используется стандартная криптографическая файловая система eCryptFS, при этом шифрование SED на уровне SATA домашними и офисными устройствами не используется. Ключи шифрования могут сохраняться на встроенный или внешний накопитель. В первом случае ключ шифрования защищается фиксированным паролем; во втором пароль задает пользователь, но этот пароль сохраняется на встроенном накопителе (по крайней мере, если включена опция mount on boot).

Уязвимость 1: отсутствие шифрования SED, а также шифрования на уровне тома позволяет извлечь диск и изменить пароль от административной учетной записи владельца устройства, просто отредактировав файл .

Уязвимость 2: если пользователь сохранил ключ шифрования в DSM Key Manager, его можно извлечь и использовать для расшифровки зашифрованных данных. Кроме того, из сохраненного ключа шифрования легко разворачивается и оригинальный пароль, который вводил пользователь при создании зашифрованной сетевой папки.

Уязвимость 3: все устройства Synology используют фиксированный пароль для шифрования ключа шифрования.

Следующая команда отобразит оригинальный пароль, который вводил пользователь при создании зашифрованной папки:

Здесь $1$5YN01o9y — тот самый фиксированный ключ wrapping passphrase, а keyfile.key — зашифрованный ключ шифрования данных MEK.

Узнав пароль, можно смонтировать зашифрованную папку на любом компьютере с Linux. То же самое можно сделать и одной командой при помощи файла с ключом шифрования:

Пути , и нужно заменить на фактически используемые. Физически зашифрованное содержимое сетевых папок DSM сохраняет в следующей коннотации:

В примере выше путь будет таким:

Если пользователь сохранил ключ на внешнем USB-накопителе, DSM запросит пароль для шифрования этого ключа.

Если пользователь настроил сетевую папку таким образом, чтобы она автоматически подключалась после загрузки устройства, то этот пароль сохраняется на внутреннем накопителе. Пароль можно извлечь и использовать для доступа к данным.

Наконец, если пользователь вообще не сохранил ключ шифрования в Key Manager, то данные в относительной безопасности. «Относительной» потому, что средняя энтропия пользовательских паролей значительно ниже энтропии 256-битного ключа шифрования AES. Атаки на пароли именно этого типа существуют давно, отлично оптимизированы и работают чрезвычайно быстро (в отличие, например, от атак на ключи BitLocker или документы, созданные в Microsoft Office 2016, — при прочих равных такие атаки работают значительно медленнее). Никто не отменял и человеческий фактор, который также может использоваться для взлома таких паролей.

Монтирование расшаренных windows-ресурсов в Linux через CIFS

  • 64th day of Chaos, in the yold 3176
  • 32 Comments

Иногда, при организации совместных сетей между Windwos и Linux системами, в последних может появиться необходимость монтирования расшаренных SMB-ресурсов прямо к файловой системе. Прежде всего такая необходимость появляется при использовании легковесных рабочих сред (XFCE, OpenBox, LXDE и др), файловые менеджеры которых не поддерживают прямой доступ к samba.

Например, в среде Gnome доступ к ресурсу Windows можно получить прямо из файлового менеджера Nautilus, введя в адресной строке путь вида smb://192.168.0.11/ (где вместо необходимого ip-адреса также может быть просто указано сетевое имя windows-системы). Но многие другие файловые менеджеры (к примеру, быстрый и удобный PCMan File Manager до определённой версии) не поддерживают такой возможности, поэтому универсальным решением становится монтирование SMB к конкретному пути вашей файловой системы, в результате вы получите доступ к расшаренному ресурсу удаленной системы точно так же, как вы его получаете к своим дискам. Для этой цели нам потребуется установленный пакет cifs-utils, в Ubuntu и Debian установить его можно командой:

В Fedora, CentOS и других RedHat based дистрибутивах:

Теперь для начала давайте разберем как монтировать расшаренные папки вручную. Потребуется создать путь куда будем монтировать SMB-папку, пусть это, к примеру, будет /media/sharefolder:

Вот такой командой можно примонтировать папку, требующую авторизации по логину и паролю:

где вместо //192.168.0.11/share – ip-адрес и имя необходимой общей папки (если имя расшаренной папки содержит пробел, то необходимо заключить весь путь в кавычки, как это показано в следующем примере), /media/sharefolder – путь куда будет монтироваться ресурс, windowsuser – имя пользователя с необходимыми правами доступа к этому ресурсу Windows, windowspass – пароль этого пользователя.

Если необходимая папка не требует обязательной авторизации, то подключить ресурс можно такой командой:

Если гостевой доступ к необходимой папке включен только в режиме чтения, то будет достаточно такой команды:

При удачном выполнении этих команд не должно произойти никакого уведомления – можете смело проверять как примонтировалась папка перейдя по вашему пути (в нашем примере – /media/sharefolder).
Отмонтируется папка командой:

Для того чтобы осуществить автомонтирование таких папок нам придется отредактировать системный файл fstab. Также, если доступ к необходимому windows-ресурсу требует обязательной авторизации, то потребуется предварительно создать файл, в котором будут прописаны логин и пароль доступа (сделать это можно текстовым редактором nano):

В этот новый файл добавьте две строки:

где, соответственно, windowsuser – имя пользователя с необходимыми правами доступа к ресурсу Windows, windowspass – пароль этого пользователя. Измените права созданного файла так, что редактировать и смотреть его смог только root, то есть сама система:

Сохраните изменения и переходите к редактированию файла /etc/fstab:

И здесь в самом конце добавьте строку типа:

Если авторизации по имени и паролю не требуется, а требуется только гостевой доступ, то создавать файл .smbcredentials не потребуется, этот шаг можно было пропустить и сразу в /etc/fstab добавить строку:

Обратите внимание, что здесь если ваша папка содержит пробелы, то вариант аналогичный командной строке – заключении пути в кавычки – не поможет, для того, чтобы fstab понял пробелы – их необходимо заменить на четыре символа: \040
И, соответственно, если требуется только лишь гостевой доступ в режиме чтения к windows-папке, то будет достаточно такой строки:

Для того, чтобы проверить корректно ли монтируется shared-папка из fstab без перезагрузки нужно выполнить такую команду:

Также к этому стоит добавить, что если вы хотите получать доступ к windows-шаре не через ip-адрес, а через имя машины, то вам потребуется установить winbind, в Debian-based:

Или в RedHat-based системах:

После этого отредактируйте файл /etc/nsswitch.conf:

Где в строке:

перед dns добавьте wins, то есть после редактирования она должна выглядеть вот так:

После перезагрузки для получения доступа к windows-ресурсу через CIFS можно будет указывать не только ip, но и сетевое имя windows-ресурса (netbios name). Но мы всеже рекомендуем использовать непосредственно ip-адрес (как было описано в статье) – к нему обращение идет напрямую, быстрее.

Также стоит отметить, что таким образом можно монтировать только конкретные общие папки (например: //192.168.0.11/share), но не весь windows-ресурс целиком (то есть просто: //192.168.0.11).

Немного теории

В отличие от операционной системы Windows в Linux есть довольно много средств криптографической защиты информации. С их помощью можно шифровать почтовые переписки, файлы, блочные устройства.

Если включить шифрование файлов в Linux то уменьшиться длинна допустимого имени файла. При этом ключи шифрования различные для каждого пользователя.

eCryptfs –это файловая система, которая предназначена для многоуровневого шифрования. Она не нуждается в резервировании места на жестком диске, поэтому она монтируется в любую директорию. После монтирования eCryptfs может шифровать файл, директорию или весь жесткий диск.

EncFS – это файловая система, которая использует любую директорию для прозрачного шифрования файлов.

Разберемся на примере.

Как зашифровать папку?

Логика использование шифрования папки такая: монтируем папку как диск, но через утилиту шифрования. Работаем с папкой через обычный файловый менеджер, как с диском: читаем/ добавляем/ удаляем файлы/ папки. Потом отмонтируем папку — её содержимое начинает выглядит как файлы и папки с непонятными названиями и бинарным содержанием.

Папка должна существовать. Поэтому создаём папку, открываем терминал и монтируем её командой:

Обратите внимание, что пути могут совпадать. Ради удобства мы так и поступим:. Теперь нам предложат выбрать способ шифрования и другие опции

По порядку:

Теперь нам предложат выбрать способ шифрования и другие опции. По порядку:

Passphrase — это пароль, с помощью которого будет шифроваться информация в папке

Select cipher — выбор алгоритма шифрования. Можно нажать Enter тогда выберется AES. Возможно, стоит выбрать способ шифрования с ключом большей длины. К примеру Blowfish или Twofish.

Select key bytes — длина ключа. Чем больше — тем безопаснее, но медленнее.

Enable plaintext passthrough (y/n) — запретить доступ к файлам, которые не были зашифрованы. По умолчанию «n» — оставляем как есть.

Enable filename encryption (y/n) — Надо ли шифровать имена файлов. Лучше поставить «y»

Иначе названия файлов/ папок могут привлечь внимание. В нерасшифрованном виде они будут такими:

Далее увидите строку:

Запомните как выглядит подпись «Signature» для вашего пароля (достаточно запомнить последние символы). Если при следующем монтировании подпись будет другая, то это значит, что неправильно ввели пароль (Passphrase) или выбрали не те способы шифрования.

Далее в терминале будут выведены параметры монтирования:

Это сделано специально, чтобы в следующей раз при монтировании можно было указать их в качестве параметра к команде, дабы не вводить руками. Смотрите пример команды со всеми параметрами в конце статьи, в параграфе «Как расшифровать?».

Если такой пароль (Passphrase) никогда не вводился ранее то выскочит уведомление:

Would you like to proceed with the mount (yes/no)? — Отвечаем «yes». Это значит, что хотим продолжить.

Would you like to append sig to[/root/.ecryptfs/sig-cache.txt] in order to avoid this warning in the future (yes/no)? — Надо ли запоминать Signature, чтобы в следующий раз не предупреждало? Отвечаем «yes», если уверены, что пароль Passphrase ввели верно.

В случае успешного завершения процесса монтирования, в терминале появится строчка Mounted eCryptfs. Это значит, что папка смонтирована и расшифрована. Можно читать/удалять/добавлять файлы в папку.

После окончания работы с содержимым папки, необходимо отмонтировать её командой:

Теперь для проверки работы шифрования можно зайти в папку заново (обновить страничку в файловом браузере через F5) и открыть какой-нибудь файл для проверки шифрования.

Что такое монтирование

Монтирование в Linux позволяет получить доступ к содержимому диска и организовать структуру файловой системы. С помощью монтирования также можно открыть для работы образ диска (например, созданного с помощью программы dd), а также открыть для доступа и редактирования самые разные файловые системы и образы дисков (например, образы дисков виртуальных машин); даже удалённые сетевые директории могут быть смонтированы, в результате чего они станут доступны как будто бы файлы на любом другом локальном хранилище.

Кроме того, что с помощью монтирования можно работать с образами дисков, правильные настройки монтирования необходимы для компьютера к которому подключается диск для криминалистического анализа — например, этот диск не должен автоматически монтироваться с правами записи (чтобы не быть испорченным).

В Linux есть такое понятие как «монтирование» диска. Чтобы получить доступ к файлам на этом диске, его нужно сначала смонтировать. Может возникнуть вопрос, зачем такие сложности? Монтирование это мощнейшая вещь, которая позволяет поразительно гибко настроить файловую систему!

Суть монтирования в том, что в файловой системе создаётся новая директория (обычная папка), допустим, это папка /mnt/disk_d. А затем командой mount указывается, что теперь, например, диск /dev/sda смонтирован в директорию /mnt/disk_d. После этого можно получить доступ к файлам диска /dev/sda открыв папку /mnt/disk_d в любом менеджере файлов:

С помощью такого подхода — когда любой диск может быть любой папкой в системе, можно делать очень гибкую настройку. Самый частый пример, встречающийся на практике: файлы пользователя хранятся в папке /home/имя_пользователя/, например, у меня это папка /home/mial/. При установке операционной системы я могу сделать так, что мой второй или третий диск (а не системный) будет смонтирован в точку /home/mial/. То есть вся операционная система будет располагаться на одном диске, а все мои пользовательские файлы — на другом. Что это даёт? В случае переустановки системы, я вновь настрою монтирование диска с моими файлами в папку /home/mial/ и в результате в новой, только что установленной системе, уже будут на месте все мои документы, фотографии и прочее!

Поскольку часто узким местом в мощных компьютерах является скорость чтения с диска, то на на серверах с высокой нагрузкой практикуется перенос файлов баз данных (например, /var/lib/mysql/ на другой диск), возможен перенос файлов сервера (/srv/http/) на третий диск, файлов логов (/var/log/httpd/) на ещё один диск и т. д. Это позволяет добиться того, что данные из баз данных считываются независимо от записи журналов, то есть пока выполняются операции чтения-записи для одного процесса, другому процессу не нужно ждать своей очереди — всё выполняется одновременно.

Ещё монтирование позволяет выбрать различные режимы, например, диск можно смонтировать в режиме «только чтение» — в результате с него можно будет просматривать файлы, но испортить этот диск невозможно.

В общем, несмотря на то, что монтирование является чем-то непривычным для пользователей Windows, это потрясающая функция! Причём ничего сложного в этом нет, если понять суть.

Привязка точки монтирования

Вы можете привязать точку монтирования к другому каталогу. Затем к монтированной файловой системе можно получить доступ либо через исходную точку монтирования, либо через связанный с ней каталог.

Вот рабочий пример. Мы создадим каталог в нашем домашнем каталоге с именем . Затем мы точку монтирования ISO-образа с новым каталогом в нашем домашнем каталоге.

Мы сможем получить доступ к ISO-образу через исходную точку монтирования и через новый каталог . Опция (связывание) требует имя точки монтирования и имя каталога, к которому она привязана.

  MKDIR ISO 
  sudo mount -B / media / dave / isomnt / iso 
  ls iso 
  ls / media / dave / isomnt 
  CD iso 
  Ls 
  cd cde 

Размонтирование файловой системы

Для отключения смонтированной файловой системы используется команда umount, в качестве аргумента которой указывается директория, в которую она была смонтирована (точка монтирования) или имя устройства:

umount директория umount имя_устройства

Если файловая система используется, umount не сможет ее отключить. В таких ситуациях можно воспользоваться командой fuser, чтобы выяснить, какие процессы осуществляют доступ к файловой системе:

fuser -m директория

Определив процессы, можно остановить их и размонтировать файловую систему. Также для отключения занятой файловой системы сразу после завершения ее использования можно воспользоваться опцией -l (—lazy, “ленивое” отключение):

umount -l директория

Для принудительного размонтирования применяется опция -f (—force). Обычно она используется для отключения недостижимой системы NFS.

umount -f директория

Во всех остальных случаях принудительное отключение нежелательно, так как может привести к повреждению данных в файловой системе.

Basics

As mentioned in the summary eCryptfs does not require special on-disk storage allocation effort, such as a separate partition or pre-allocated space. Instead, you can mount eCryptfs on top of any single directory to protect it. That includes, for example, a user’s entire home directory or single dedicated directories within it. All cryptographic metadata is stored in the headers of files, so encrypted data can be easily moved, stored for backup and recovered. There are other advantages, but there are also drawbacks, for instance eCryptfs is not suitable for encrypting complete partitions which also means you cannot protect swap space with it (but you can, of course, combine it with Dm-crypt/Swap encryption). If you are just starting to set up disk encryption, swap encryption and other points to consider are covered in .

To familiarize with eCryptfs a few points:

  • As a stacked filesystem, a mounting of an eCryptfs directory refers to mounting a (stacked) encrypted directory to another unencrypted mount point (directory) at Linux kernel runtime.
  • It is possible to share an encrypted directory between users. However, the encryption is linked to one passphrase so this must be shared as well. It is also possible to share a directory with differently encrypted files (different passphrases).
  • Several eCryptfs terms are used throughout the documentation:
    • The mount passphrase (or key) is what gives access to the encrypted files, i.e. unlocks the encryption. eCryptfs uses the term wrapped passphrase to refer to the cryptographically secured mount passphrase.
    • refers to a File Name Encryption Key, a key to (optionally) encrypt the filenames stored in the encrypted directory.

Before using eCryptfs, the following disadvantages should be checked for applicability.

Deficiencies

Ease of use

The package provides several different ways of setting up eCryptfs. The high-level are the easiest to use, but they hard-code the lower directory path and other settings, limiting their usefulness. The package also includes low-level tools which are fully configurable, but they are somewhat more difficult to use compared to alternatives like EncFS.

File name length

Network storage mounts

Sparse files

Sparse files written to eCryptfs will produce larger, non-sparse encrypted files in the lower directory. For example, in an eCryptfs directory running creates a 1GB encrypted file on the underlying filesystem, with the corresponding resource (disk space, data throughput) requirements. If the same file were created on an unencrypted filesystem or a filesystem using , it would only take a few kilobytes.
This should be considered before encrypting large portions of the directory structure, though in most cases the disadvantages will be minor. If you need to use large sparse files, you can work around this issue by putting the sparse files in an unencrypted directory or using block device encryption for them.

Примеры

Пусть требуется сконфигурировать автоматическое монтирование какого-либо раздела. Для начала необходимо определить нужный раздел, а также его UUID:

$ sudo blkid
 пароль для john:
/dev/sda1: UUID="134E-F80E" TYPE="vfat" PARTUUID="b0989448-c545"
/dev/sda2: UUID="28902d2c-2394" TYPE="ext4" PARTUUID="e304a808-1396"
. . .
/dev/sda5: UUID="7dac48f7-9891" TYPE="ext4" PARTUUID="b51a40c0-0bd5"
/dev/sdb1: UUID="af882c18-2cd4" TYPE="ext4" PARTUUID="81a8460d-1ce7"
/dev/sdb2: UUID="f300901f-1ce7" TYPE="ext4" PARTUUID="a0cf995f-b63c"

Если нужен, к примеру раздел , то соответствующим UUID является «af882c18-2cd4». Далее следует открыть файл в текстовом редакторе (например nano) от имени суперпользователя

$ sudo nano /etc/fstab

и добавить в него строку конфигурации для требуемого раздела, внеся в неё параметры и опции в соответствии с синтаксисом из предыдущей главы, например такие:

UUID= af882c18-2cd4 /home/backups ext4 rw,notail,relatime 0 0

Теперь при старте системы раздел будет монтироваться автоматически и, соответственно, сразу готов к использованию.
Если нужно автоматически монтировать другой тип устройства, например CD/DVD, то строка конфигурации для него будет примерно следующей:

/dev/cdrom /media/cdrom iso9660,udf ro,noauto,user,exec 0 0

Здесь вместо можно указывать также и , если это первый и/или единственный оптический привод в системе.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Все про сервера
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: