Cifrado de disco en un entorno Linux

Si utiliza el sistema operativo Linux, puede proteger sus datos configurando el cifrado de disco para cifrar discos enteros (incluidos los medios extraíbles), particiones, volúmenes RAID de software, volúmenes lógicos y archivos NoSQL.

dm-crypt es el objetivo criptográfico del mapeador de dispositivos del núcleo Linux que proporciona un subsistema de cifrado de disco transparente en el núcleo Linux utilizando la API criptográfica del núcleo.

Cryptsetup es la herramienta de línea de comandos para interactuar con dm-crypt para crear, acceder y administrar dispositivos cifrados. El cifrado más utilizado es Cryptsetup para la extensión de Configuración de clave unificada de Linux (LUKS), que almacena toda la información de configuración necesaria para dm-crypt en el propio disco y abstrae la administración de particiones y claves en un intento de mejorar la facilidad de uso.

Este tema muestra cómo convertir un disco normal a un disco habilitado dm-crypt y viceversa mediante la interfaz de línea de comandos.

Asuma que tiene los siguientes discos en su sistema Linux. El comando df -h muestra la cantidad de espacio en disco disponible para cada disco. 

$df -h/dev/nvme0n1 2.9T 76G 2.7T 3% /ons/nvme0n1/dev/nvme1n1 2.9T 76G 2.7T 3% /ons/nvme1n1...

Si designa disk /dev/nvme0n1 para almacenar bases de datos, debe cifrar este disco para proteger los datos que contiene.

Disco normal a un disco habilitado para dm-crypt:

Ejecute los siguientes comandos para convertir un disco normal en un dm-crypt disco habilitado:

  1. Desmonte el sistema de archivos en el disco. 

    sudo umount -l /dev/nvme0n1

  2. Generar la clave para ser utilizado por luksFormat. 

    sudo dd if=/dev/urandom of=/home/opc/key0.key bs=1 count=4096

  3. Inicialice una partición LUKS y establezca la clave inicial.

    sudo /usr/sbin/cryptsetup -q -s 512 \luksFormat /dev/nvme0n1 /home/opc/key0.key

  4. Abra la partición LUKS en el disco / dispositivo y configure un nombre de asignación.

    sudo /usr/sbin/cryptsetup --allow-discards \luksOpen -d /home/opc/key0.key /dev/nvme0n1 dm-nvme0n1

  5. Crear un ext4 sistema de archivos en el disco. 

    sudo /sbin/mkfs.ext4 /dev/mapper/dm-nvme0n1

  6. Establecer los parámetros para el ext4 sistema de archivos. 

    sudo /usr/sbin/tune2fs -e remount-ro /dev/mapper/dm-nvme0n1

  7. Monte el sistema de archivos de un directorio especificado.

    sudo mount /dev/mapper/dm-nvme0n1 /ons/nvme0n1

dm-crypt habilitado disco a disco normal:

Si desea convertir el cifrado de disco de regreso a su estado normal, ejecute los siguientes pasos:

  1. Desmontar el sistema de archivos en el disco.

    sudo umount -l /ons/nvme0n1

  2. Eliminar la asignación de luks.

    sudo /usr/sbin/cryptsetup luksClose /dev/mapper/dm-nvme0n1

  3. Crear un ext4 sistema de archivos en el disco. 

    sudo /sbin/mkfs.ext4 /dev/nvme0n1

  4. Monte el sistema de archivos en un directorio especificado.

    sudo mount /dev/nvme0n1 /ons/nvme0n1

Nota:

Si se puede convertir un disco normal a un dm-crypt activado disco o convertir un dm-crypt activado disco a un disco normal, usted no puede poner el disco a su estado anterior sin perder sus datos. Esto se debe a que el comando mkfs.ext4 formateará el disco. Por lo tanto, se perderán todos los datos almacenados en el disco.

admin

Deja una respuesta

Tu dirección de correo electrónico no será publicada.