УПРАВЛЕНИЕ ЗАШИФРОВАННЫМ ОБЪЕМОМ ДАННЫХ НА LINUX: МЕТОДЫ И ПРАКТИЧЕСКИЕ АСПЕКТЫ

MANAGING ENCRYPTED DATA ON LINUX: METHODS AND PRACTICAL ASPECTS

Daria Andrianova

student, Department of Integrated Safety of the Fuel and Energy Complex, Russian State University of Oil and Gas (NRU) named after I.M. Gubkina,

Russia, Moscow

Mirali Seidov

student, Department of Integrated Safety of the Fuel and Energy Complex, Russian State University of Oil and Gas (NRU) named after I.M. Gubkina,

Russia, Moscow

АННОТАЦИЯ

В данной статье рассматриваются методы и инструменты управления зашифрованным объемом данных на отечественных дистрибутивах Linux. В современном мире защита данных становится всё более важной задачей, и управление зашифрованным объемом данных играет ключевую роль в обеспечении безопасности. Однако не менее важным является отслеживание и анализ действий, связанных с процессом управления зашифрованным объемом, что позволяет своевременно обнаруживать и реагировать на возможные угрозы. В статье проводится обзор существующих решений для управления зашифрованным объемом данных, обсуждаются их преимущества и недостатки, а также предлагаются рекомендации по выбору наиболее подходящих инструментов для отечественных дистрибутивов Linux.

ABSTRACT

This article discusses methods and tools for managing encrypted data volume on domestic Linux distributions. In today's world, data protection is becoming increasingly important, and managing the encrypted volume of data plays a key role in ensuring security. However, it is equally important to monitor and analyze the activities associated with the encrypted volume management process, which allows you to timely detect and respond to possible threats. The article reviews existing solutions for managing encrypted data volumes, discusses their advantages and disadvantages, and also offers recommendations for choosing the most suitable tools for domestic Linux distributions.

Ключевые слова: управление зашифрованным объемом, шифрование данных, безопасность данных, отечественные дистрибутивы Linux, мониторинг, анализ безопасности.

Keywords: encrypted volume management, data encryption, data security, domestic Linux distributions, monitoring, security analysis.

Введение

В настоящее время обеспечение безопасности данных является приоритетной задачей в информационном обществе. Одним из ключевых аспектов обеспечения безопасности является шифрование данных, особенно на уровне дискового пространства [1, 2]. Однако, помимо самого процесса шифрования, критическое значение имеет управление зашифрованным объемом данных и логирование действий при этом процессе.

Данная статья посвящена исследованию методов и практических аспектов управления зашифрованным объемом данных на платформе Linux. Целью работы является проведение обзора существующих методов управления зашифрованным объемом данных и рассмотрение практических аспектов их применения.

В научной литературе уже имеется обширный анализ методов шифрования данных и методов управления ими [3]. Однако, большинство существующих исследований фокусируются на шифровании и оставляют в стороне вопросы управления зашифрованным объемом данных. Поэтому данная статья предлагает взгляд на эти вопросы с практической точки зрения, с акцентом на методах, специфичных для платформы Linux.

Учитывая текущий контекст импортозамещения и стремление к использованию национальных программных решений [1], важно изучить применение методов управления зашифрованным объемом данных именно на отечественных дистрибутивах Linux. Это особенно актуально в сферах, где конфиденциальность и целостность данных играют ключевую роль, таких как нефтегазовая отрасль.

В данной работе исследуется управление зашифрованным объемом данных на Linux, рассматривая методы и практические аспекты. Для проведения исследования использовались отечественные дистрибутивы Linux, такие как Альт, РЕД, РОСА и Astra. Для проверки функциональности и эффективности были использованы стенды следующей конфигурации: основная память – 2048 Мб, два ядра, два виртуальных SSD – первый на 20 Гб, второй – 5 Гб/20 Гб/100 Гб (шифруемый). Среди операционных систем, используемых в эксперименте, включены Альт Рабочая Станция 10.2, РЕД ОС 8, РОСА «ФРЕШ» 12.5 и Astra Linux Special Edition 1.7. При подборе утилит и программного обеспечения учитывалась актуальность версий для репозиториев ОС на момент написания статьи.

Используемые утилиты для проведения эксперимента представлены в таблице 1.

Таблица 1

Перечень утилит, используемых в работе

Выбор утилиты cryptsetup обусловлен ее критической значимостью как основного инструмента для работы с шифрованием на уровне диска в операционной системе Linux. Этот инструмент обеспечивает надежную защиту данных путем создания и управления зашифрованными томами и разделами. Благодаря функциональности cryptsetup пользователи могут легко настраивать и управлять шифрованием, обеспечивая конфиденциальность и целостность данных на уровне дискового пространства.

Утилита auditd играет важную роль в обеспечении безопасности системы путем мониторинга и анализа событий в системном журнале. Она предоставляет средства для отслеживания изменений в системе, аудита доступа и выявления потенциальных угроз безопасности. Это позволяет администраторам систем оперативно реагировать на инциденты безопасности и предпринимать соответствующие меры для защиты данных.

Утилита luksmeta была выбрана за ее способность управлять метаданными LUKS (Linux Unified Key Setup). Это важный компонент для поддержки более сложных сценариев шифрования, где метаданные играют ключевую роль в управлении ключами шифрования и обеспечении их безопасного хранения.

Утилита systemd выбрана из-за ее широких возможностей по управлению системными процессами и службами. Она обеспечивает надежное управление системными ресурсами, улучшает производительность и стабильность системы, а также интегрирует средства управления журналами и службами, что критически важно для поддержания целостности и безопасности зашифрованных данных.

Каждая из этих утилит была тщательно выбрана для проведения экспериментов по управлению зашифрованным объемом данных на отечественных дистрибутивах Linux, таких как Альт, РЕД, РОСА и Astra. Эти утилиты обеспечивают комплексный подход к защите данных, начиная от базового шифрования и заканчивая мониторингом и управлением системными событиями.

Эксперимент проводился следующим образом. Для каждой операционной системы был развернут клиент, на котором создавался и управлялся зашифрованный контейнер. В процессе использовались утилиты cryptsetup для создания и управления зашифрованными томами, а также dd для изменения размера контейнера.

Для начала в каждой операционной системе создавался файл encrypted_container размером 1 ГБ. Эта процедура обеспечивала наличие контейнера, который использовался для дальнейших операций по шифрованию. Затем, с использованием утилиты cryptsetup, в каждой операционной системе создавался зашифрованный том внутри созданного контейнера. После выполнения этой команды пользователю предлагалось ввести пароль для защиты содержимого контейнера. Далее, после создания зашифрованного тома, контейнер открывался с использованием cryptsetup, что позволило работать с зашифрованными данными как с обычным дисковым разделом.

Рисунок 1. Создание зашифрованного контейнера

Для увеличения размера зашифрованного контейнера использовалась команда dd, которая добавляла дополнительное пространство к существующему файлу контейнера. После увеличения размера файла контейнера выполнялась команда cryptsetup resize, которая обновляла размер зашифрованного тома, чтобы использовать новое доступное пространство.

Рисунок 2. Увеличение размера зашифрованного контейнера

Уменьшение объема зашифрованного контейнера является более сложной задачей по сравнению с увеличением его объема. Это связано с необходимостью сохранения целостности данных и правильного функционирования зашифрованного тома. Сначала использовалась команда truncate, которая уменьшала размер файла контейнера до необходимого значения. Затем, прежде чем приступить к созданию нового зашифрованного контейнера, зашифрованный том закрывался с помощью команды cryptsetup luksClose. Далее создавался новый зашифрованный контейнер с уменьшенным размером, используя ту же утилиту cryptsetup. Пользователю предлагалось ввести новый пароль для нового контейнера. После этого новый зашифрованный контейнер открывался, чтобы подготовиться к копированию данных. Данные из старого контейнера копировались в новый зашифрованный контейнер с использованием команды dd, что позволяло сохранить всю необходимую информацию при уменьшении размера контейнера.

Рисунок 3. Уменьшение размера зашифрованного контейнера

Рисунок 4. Результат после уменьшения размера зашифрованного контейнера

Эксперимент, проведенный по управлению зашифрованным объемом данных на Linux, подтвердил эффективность основных методов создания, увеличения и уменьшения зашифрованных контейнеров с использованием утилиты "cryptsetup". Создание зашифрованного контейнера, включающее в себя создание файла-оболочки нужного размера и его последующее шифрование, подчеркнуло возможность надежной защиты данных на уровне дискового пространства, обеспечивая высокий уровень конфиденциальности и целостности информации. Процесс увеличения размера зашифрованного контейнера, осуществляемый при помощи команды cryptsetup resize, демонстрирует гибкость управления хранилищем данных, что позволяет адаптировать его под изменяющиеся потребности пользователей без нарушения целостности данных. Однако, процедура уменьшения размера зашифрованного контейнера представляет собой более сложный процесс, который требует создания нового зашифрованного контейнера с меньшим объемом, переноса данных из старого контейнера и настройки нового зашифрованного тома. Это подчеркивает необходимость дополнительных усилий и тщательного планирования для сохранения всех данных при уменьшении объема зашифрованных данных.

Таким образом, эксперимент подтверждает важность правильного выбора и использования инструментов для управления зашифрованными данными в операционных системах на базе Linux. Это обеспечивает эффективное и безопасное управление зашифрованными объемами данных, что является критически важным для обеспечения информационной безопасности в современных условиях.

Список литературы:

1. Алексеев Е. К., Ахметзянова Л. Р., Бабуева А. А., Смышляев С. В. Защищенное хранение данных и полнодисковое шифрование // ПДМ. 2020. №49.
2. Уймин, А. Г. Периферийные устройства ЭВМ : Практикум / А. Г. Уймин. – Москва : Ай Пи Ар Медиа, 2023. – 429 с. – ISBN 978-5-4497-2079-5. – EDN KQQFAG.
3. Findlay B. Techniques and methods for obtaining access to data protected by linux-based encryption–A reference guide for practitioners //Forensic Science International: Digital Investigation. – 2024. – Т. 48. – С. 301662.
4. Soriano-Salvador E., Guardiola-Múzquiz G. SealFS: Storage-based tamper-evident logging //Computers & Security. – 2021. – Т. 108. – С. 102325.
5. Lee S. et al. Fine-grained access control-enabled logging method on ARM TrustZone //IEEE Access. – 2020. – Т. 8. – С. 81348-81364.
6. Paccagnella R. et al. Logging to the danger zone: Race condition attacks and defenses on system audit frameworks //Proceedings of the 2020 ACM SIGSAC Conference on Computer and Communications Security. – 2020. – С. 1551-1574.
7. Tummalapalli S. R. K., Chakravarthy A. S. N. Multi-level and mutual log integrity preservation approach for cloud forensics using public key infrastructure //International Journal of Scientific Research in Network Security and Communication. – 2021. – Т. 9. – №. 1. – С. 8-16.
8. Livingston D., Kirubakaran E., David E. P. Implementing Data Privacy of Cloud Data on a Remote Server using Symmetric Cryptographic Algorithms //International Journal of Advances in Data and Information Systems. – 2021. – Т. 2. – №. 1. – С. 62-72.
9. Sunitha M., Kumar S., Manasa K. Handling Log Exploitation To Seize Evidence //Journal of Pharmaceutical Negative Results. – 2022. – С. 3882-3887.
10. Rane S., Wagh S., Dixit A. Blockchain driven secure and efficient logging for cloud forensics //International Journal of Computing and Digital System. – 2021. – С. 1339-1455.
11. Rules // GitHub URL: https://github.com/danyalazorinweb/article/blob/main/rules.txt (дата обращения: 15.05.2024).