Si vous utilisez le système d’exploitation Linux, vous pouvez sécuriser vos données en configurant le chiffrement de disque pour chiffrer des disques entiers (y compris les supports amovibles), des partitions, des volumes RAID logiciels, des volumes logiques, ainsi que vos fichiers NoSQL.
dm-crypt
est la cible cryptographique du mappeur de périphériques du noyau Linux qui fournit un sous-système de chiffrement de disque transparent dans le noyau Linux à l’aide de l’API crypto du noyau.
Cryptsetup
est l’outil de ligne de commande à interfacer avec dm-crypt
pour créer, accéder et gérer des périphériques cryptés. Le chiffrement le plus couramment utilisé est Cryptsetup
pour l’extension Linux Unified Key Setup (LUKS), qui stocke toutes les informations de configuration nécessaires pour dm-crypt
sur le disque lui-même et fait abstraction de la gestion des partitions et des clés dans le but d’améliorer la facilité d’utilisation.
Cette rubrique montre comment convertir un disque normal en un disque activé dm-crypt
et vice versa à l’aide de l’interface de ligne de commande.
Supposons que vous avez les disques suivants dans votre système Linux. La commande df -h
affiche la quantité d’espace disque disponible pour chaque disque.
$df -h/dev/nvme0n1 2.9T 76G 2.7T 3% /ons/nvme0n1/dev/nvme1n1 2.9T 76G 2.7T 3% /ons/nvme1n1...
Si vous nommez un disque /dev/nvme0n1
pour stocker des bases de données, vous devez chiffrer ce disque pour sécuriser les données qu’il contient.
Disque normal vers un disque activé par dm-crypt:
Exécutez les commandes suivantes pour convertir un disque normal en un disque activé dm-crypt
:
-
Démontez le système de fichiers sur le disque.
sudo umount -l /dev/nvme0n1
-
Génère la clé à utiliser par
luksFormat
.sudo dd if=/dev/urandom of=/home/opc/key0.key bs=1 count=4096
-
Initialisez une partition LUKS et définissez la clé initiale.
sudo /usr/sbin/cryptsetup -q -s 512 \luksFormat /dev/nvme0n1 /home/opc/key0.key
-
Ouvrez la partition LUKS sur le disque/le périphérique et configurez un nom de mappage.
sudo /usr/sbin/cryptsetup --allow-discards \luksOpen -d /home/opc/key0.key /dev/nvme0n1 dm-nvme0n1
-
Créez un système de fichiers
ext4
sur le disque.sudo /sbin/mkfs.ext4 /dev/mapper/dm-nvme0n1
-
Définissez les paramètres du système de fichiers
ext4
.sudo /usr/sbin/tune2fs -e remount-ro /dev/mapper/dm-nvme0n1
-
Montez le système de fichiers dans un répertoire spécifié.
sudo mount /dev/mapper/dm-nvme0n1 /ons/nvme0n1
dm-crypt disque activé sur disque normal:
Si vous souhaitez convertir le disque crypté à son état normal, exécutez les étapes suivantes:
-
Démontez le système de fichiers sur le disque.
sudo umount -l /ons/nvme0n1
-
Supprimer le mappage luks.
sudo /usr/sbin/cryptsetup luksClose /dev/mapper/dm-nvme0n1
-
Créez un système de fichiers
ext4
sur le disque.sudo /sbin/mkfs.ext4 /dev/nvme0n1
-
Montez le système de fichiers sur un répertoire spécifié.
sudo mount /dev/nvme0n1 /ons/nvme0n1
Remarque:
Si vous convertissez un disque normal en un disque activé dm-crypt
ou si vous convertissez un disque activé dm-crypt
en un disque normal, vous ne pouvez pas ramener le disque à son état précédent sans perdre ses données. En effet, la commande mkfs.ext4
formatera le disque. Par conséquent, toutes les données stockées sur le disque seront perdues.