Šifrování disku v Prostředí Linux

Pokud používáte operační systém Linux, můžete zabezpečit své údaje o konfiguraci šifrování disku šifrování celých disků (včetně vyměnitelná média), příčky, softwarový RAID svazků, logické svazky, stejně jako vaše NoSQL soubory.

dm-crypt je kryptografický cíl linuxového jádra, který poskytuje transparentní subsystém šifrování disků v jádře Linuxu pomocí jádra crypto API.

Cryptsetup je nástroj příkazového řádku pro rozhraní s dm-crypt pro vytváření, přístup a správu šifrovaných zařízení. Nejčastěji používané šifrování je Cryptsetup pro Linux Unified Key Setup (LUKS) souboru, který ukládá všechny potřebné informace o nastavení dm-crypt na samotném disku a abstrakty oddíl a správu klíčů ve snaze zlepšit snadnost použití.

Toto téma ukazuje, jak převést běžný disk na dm-crypt povoleno disk a naopak pomocí rozhraní příkazového řádku.

Předpokládejme, že máte v systému Linux následující disky. Příkaz df -h zobrazuje množství volného místa na disku pro každý disk. 

$df -h/dev/nvme0n1 2.9T 76G 2.7T 3% /ons/nvme0n1/dev/nvme1n1 2.9T 76G 2.7T 3% /ons/nvme1n1...

Pokud jste nominovat disk /dev/nvme0n1 pro uložení databází, pak byste měli šifrovat disk pro zabezpečení dat v ní.

normální disk na disk s podporou dm-crypt:

spusťte následující příkazy k převodu běžného disku na dm-crypt povoleno disk:

  1. Odpojit souborový systém na disku. 

    sudo umount -l /dev/nvme0n1

  2. Vygenerujte klíč, který má být použit luksFormat. 

    sudo dd if=/dev/urandom of=/home/opc/key0.key bs=1 count=4096

  3. inicializujte oddíl LUKS a nastavte počáteční klíč.

    sudo /usr/sbin/cryptsetup -q -s 512 \luksFormat /dev/nvme0n1 /home/opc/key0.key

  4. otevřete oddíl LUKS na disku/zařízení a nastavte název mapování.

    sudo /usr/sbin/cryptsetup --allow-discards \luksOpen -d /home/opc/key0.key /dev/nvme0n1 dm-nvme0n1

  5. Vytvořte ext4 souborový systém na disku. 

    sudo /sbin/mkfs.ext4 /dev/mapper/dm-nvme0n1

  6. nastavte parametry pro souborový systém ext4. 

    sudo /usr/sbin/tune2fs -e remount-ro /dev/mapper/dm-nvme0n1

  7. Připojte souborový systém do zadaného adresáře.

    sudo mount /dev/mapper/dm-nvme0n1 /ons/nvme0n1

dm-crypt povoleno disku na normální disk:

Pokud chcete převést šifrovaný disk zpět do normálního stavu, proveďte následující kroky:

  1. Odpojit souborový systém na disku.

    sudo umount -l /ons/nvme0n1

  2. Odebrat mapování luks.

    sudo /usr/sbin/cryptsetup luksClose /dev/mapper/dm-nvme0n1

  3. Vytvořte ext4 souborový systém na disku. 

    sudo /sbin/mkfs.ext4 /dev/nvme0n1

  4. Připojte souborový systém do zadaného adresáře.

    sudo mount /dev/nvme0n1 /ons/nvme0n1

Poznámka:

Pokud si převést běžný disk na dm-crypt povoleno disku nebo převést dm-crypt povoleno disku na normální disk, nemůžete přinést disk zpět do předchozího stavu bez ztráty dat. Důvodem je, že příkaz mkfs.ext4 formátuje disk. Proto budou všechna data uložená na disku ztracena.

admin

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.