Crittografia del disco in un ambiente Linux

Se si utilizza il sistema operativo Linux, è possibile proteggere i dati configurando la crittografia del disco per crittografare interi dischi (inclusi supporti rimovibili), partizioni, volumi RAID software, volumi logici e file NoSQL.

dm-crypt è il device mapper crypto target del kernel Linux che fornisce un sottosistema di crittografia del disco trasparente nel kernel Linux utilizzando l’API kernel crypto.

Cryptsetup è lo strumento da riga di comando per interfacciarsi con dm-crypt per la creazione, l’accesso e la gestione di dispositivi crittografati. La crittografia più comunemente utilizzata è Cryptsetupper l’estensione LUKS (Linux Unified Key Setup), che memorizza tutte le informazioni di configurazione necessarie perdm-crypt sul disco stesso e astrae la partizione e la gestione delle chiavi nel tentativo di migliorare la facilità d’uso.

Questo argomento mostra come convertire un disco normale in undm-crypt disco abilitato e viceversa utilizzando l’interfaccia della riga di comando.

Si supponga di avere i seguenti dischi nel sistema Linux. Il comandodf -h visualizza la quantità di spazio disponibile su disco per ogni disco. 

$df -h/dev/nvme0n1 2.9T 76G 2.7T 3% /ons/nvme0n1/dev/nvme1n1 2.9T 76G 2.7T 3% /ons/nvme1n1...

Se si nomina disk/dev/nvme0n1 per memorizzare i database, è necessario crittografare questo disco per proteggere i dati al suo interno.

Disco normale su disco abilitato per dm-crypt:

Eseguire i seguenti comandi per convertire un disco normale in undm-crypt disco abilitato:

  1. Smontare il file system sul disco. 

    sudo umount -l /dev/nvme0n1

  2. Genera la chiave da usare da luksFormat. 

    sudo dd if=/dev/urandom of=/home/opc/key0.key bs=1 count=4096

  3. Inizializza una partizione LUKS e imposta la chiave iniziale.

    sudo /usr/sbin/cryptsetup -q -s 512 \luksFormat /dev/nvme0n1 /home/opc/key0.key

  4. Aprire la partizione LUKS sul disco / dispositivo e impostare un nome di mappatura.

    sudo /usr/sbin/cryptsetup --allow-discards \luksOpen -d /home/opc/key0.key /dev/nvme0n1 dm-nvme0n1

  5. Creare un ext4 file system sul disco. 

    sudo /sbin/mkfs.ext4 /dev/mapper/dm-nvme0n1

  6. Imposta i parametri per il file system ext4. 

    sudo /usr/sbin/tune2fs -e remount-ro /dev/mapper/dm-nvme0n1

  7. Montare il file system in una directory specificata.

    sudo mount /dev/mapper/dm-nvme0n1 /ons/nvme0n1

dm-crypt abilitato disco a disco normale:

Se si desidera convertire il disco crittografato al suo stato normale, eseguire la procedura seguente:

  1. Smontare il file system sul disco.

    sudo umount -l /ons/nvme0n1

  2. Rimuovi la mappatura luks.

    sudo /usr/sbin/cryptsetup luksClose /dev/mapper/dm-nvme0n1

  3. Creare un ext4 file system sul disco. 

    sudo /sbin/mkfs.ext4 /dev/nvme0n1

  4. Montare il file system su una directory specificata.

    sudo mount /dev/nvme0n1 /ons/nvme0n1

Nota:

Se si converte un disco normale in undm-crypt disco abilitato o si converte un dm-crypt disco abilitato in un disco normale, non è possibile riportare il disco allo stato precedente senza perdere i suoi dati . Questo perché il comandomkfs.ext4 formatterà il disco. Pertanto, tutti i dati memorizzati nel disco andranno persi.

admin

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.