Festplattenverschlüsselung in einer Linux-Umgebung

Wenn Sie das Linux-Betriebssystem verwenden, können Sie Ihre Daten sichern, indem Sie die Festplattenverschlüsselung so konfigurieren, dass ganze Festplatten (einschließlich Wechselmedien), Partitionen, Software-RAID-Volumes, logische Volumes sowie Ihre NoSQL-Dateien verschlüsselt werden.

dm-crypt ist das Device Mapper Crypto Target des Linux-Kernels, das ein transparentes Festplattenverschlüsselungssubsystem im Linux-Kernel mithilfe der Kernel crypto API bereitstellt.

Cryptsetup ist das Befehlszeilentool zur Schnittstelle mit dm-crypt zum Erstellen, Zugreifen und Verwalten verschlüsselter Geräte. Die am häufigsten verwendete Verschlüsselung ist Cryptsetup für die Linux Unified Key Setup (LUKS) -Erweiterung, die alle erforderlichen Einrichtungsinformationen für dm-crypt auf der Festplatte selbst speichert und die Partitions- und Schlüsselverwaltung abstrahiert, um die Benutzerfreundlichkeit zu verbessern.

In diesem Thema wird gezeigt, wie eine normale Festplatte mithilfe der Befehlszeilenschnittstelle in eine dm-crypt -fähige Festplatte und umgekehrt konvertiert wird.

Angenommen, Sie haben die folgenden Festplatten in Ihrem Linux-System. Der Befehl df -h zeigt den verfügbaren Speicherplatz für jede Festplatte an.

$df -h/dev/nvme0n1 2.9T 76G 2.7T 3% /ons/nvme0n1/dev/nvme1n1 2.9T 76G 2.7T 3% /ons/nvme1n1...

Wenn Sie die Festplatte /dev/nvme0n1 zum Speichern von Datenbanken benennen, sollten Sie diese Festplatte verschlüsseln, um die darin enthaltenen Daten zu sichern.

Normale Festplatte auf eine dm-crypt-fähige Festplatte:

Führen Sie die folgenden Befehle aus, um eine normale Festplatte in eine dm-crypt aktivierte Festplatte zu konvertieren:

  1. Hängen Sie das Dateisystem auf der Festplatte aus.

    sudo umount -l /dev/nvme0n1 
  2. Generieren Sie den Schlüssel, der von luksFormatverwendet werden soll.

    sudo dd if=/dev/urandom of=/home/opc/key0.key bs=1 count=4096
  3. Initialisieren Sie eine LUKS-Partition und setzen Sie den Initialschlüssel.

    sudo /usr/sbin/cryptsetup -q -s 512 \luksFormat /dev/nvme0n1 /home/opc/key0.key
  4. Öffnen Sie die LUKS-Partition auf der Festplatte / dem Gerät und richten Sie einen Zuordnungsnamen ein.

    sudo /usr/sbin/cryptsetup --allow-discards \luksOpen -d /home/opc/key0.key /dev/nvme0n1 dm-nvme0n1
  5. Erstellen Sie ein ext4 Dateisystem auf der Festplatte.

    sudo /sbin/mkfs.ext4 /dev/mapper/dm-nvme0n1
  6. Parameter für das ext4 Dateisystem einstellen.

    sudo /usr/sbin/tune2fs -e remount-ro /dev/mapper/dm-nvme0n1
  7. Hängen Sie das Dateisystem in ein bestimmtes Verzeichnis ein.

    sudo mount /dev/mapper/dm-nvme0n1 /ons/nvme0n1

dm-crypt-fähige Festplatte in normale Festplatte:

Wenn Sie die verschlüsselte Festplatte wieder in ihren normalen Zustand konvertieren möchten, führen Sie die folgenden Schritte aus:

  1. Hängen Sie das Dateisystem auf der Festplatte aus.

    sudo umount -l /ons/nvme0n1
  2. Luks-Zuordnung entfernen.

    sudo /usr/sbin/cryptsetup luksClose /dev/mapper/dm-nvme0n1
  3. Erstellen Sie ein ext4 Dateisystem auf der Festplatte.

    sudo /sbin/mkfs.ext4 /dev/nvme0n1 
  4. Hängen Sie das Dateisystem in ein bestimmtes Verzeichnis ein.

    sudo mount /dev/nvme0n1 /ons/nvme0n1

Hinweis:

Wenn Sie eine normale Festplatte in eine dm-crypt aktivierte Festplatte konvertieren oder eine dm-crypt aktivierte Festplatte in eine normale Festplatte konvertieren, können Sie die Festplatte nicht in ihren vorherigen Zustand zurückversetzen, ohne ihre Daten zu verlieren. Dies liegt daran, dass der Befehl mkfs.ext4 die Festplatte formatiert. Daher gehen alle auf der Festplatte gespeicherten Daten verloren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.