Als u het Linux-besturingssysteem gebruikt, kunt u uw gegevens beveiligen door schijfversleuteling te configureren om hele schijven (inclusief verwijderbare media), partities, software RAID-volumes, logische volumes en uw NoSQL-bestanden te versleutelen.
dm-crypt
is het device mapper crypto-doel van de Linux-kernel dat een transparant schijfversleutelingsubsysteem in de Linux-kernel biedt met behulp van de kernel crypto API.
Cryptsetup
is het opdrachtregelprogramma om te communiceren met dm-crypt
Voor het maken, benaderen en beheren van versleutelde apparaten. De meest gebruikte versleuteling is Cryptsetup
voor de Linux Unified Key Setup (LUKS) extensie, die alle benodigde setup informatie voor dm-crypt
op de schijf zelf opslaat en de partitie en sleutelbeheer abstraheert in een poging het gebruiksgemak te verbeteren.
dit onderwerp laat zien hoe je een normale schijf converteert naar een dm-crypt
enabled disk en vice versa met behulp van de command-line interface.
neem aan dat je de volgende schijven in je Linux systeem hebt. Het commando df -h
geeft de hoeveelheid beschikbare schijfruimte voor elke schijf weer.
$df -h/dev/nvme0n1 2.9T 76G 2.7T 3% /ons/nvme0n1/dev/nvme1n1 2.9T 76G 2.7T 3% /ons/nvme1n1...
Als u schijf /dev/nvme0n1
nomineert om databases op te slaan, dan moet u deze schijf versleutelen om de gegevens erin te beveiligen.
normale schijf naar een schijf met dm-crypt:
Voer de volgende commando ‘ s uit om een normale schijf te converteren naar een dm-crypt
enabled disk:
-
ontkoppel het bestandssysteem op de schijf.
sudo umount -l /dev/nvme0n1
-
Genereer de sleutel die gebruikt moet worden door
luksFormat
.sudo dd if=/dev/urandom of=/home/opc/key0.key bs=1 count=4096
-
Initialiseer een LUKS-partitie en stel de initiële sleutel in.
sudo /usr/sbin/cryptsetup -q -s 512 \luksFormat /dev/nvme0n1 /home/opc/key0.key
-
Open de Luks-partitie op schijf/apparaat en stel een naam voor toewijzing in.
sudo /usr/sbin/cryptsetup --allow-discards \luksOpen -d /home/opc/key0.key /dev/nvme0n1 dm-nvme0n1
-
Maak een
ext4
bestandssysteem op de schijf aan.sudo /sbin/mkfs.ext4 /dev/mapper/dm-nvme0n1
-
stel parameters in voor het
ext4
bestandssysteem.sudo /usr/sbin/tune2fs -e remount-ro /dev/mapper/dm-nvme0n1
-
koppel het bestandssysteem aan een opgegeven map.
sudo mount /dev/mapper/dm-nvme0n1 /ons/nvme0n1
dm-crypt enabled disk to normal disk:
Als u de versleutelde disk naar de normale status wilt converteren, voert u de volgende stappen uit:
-
ontkoppel het bestandssysteem op de disk.
sudo umount -l /ons/nvme0n1
-
Verwijder luks-toewijzing.
sudo /usr/sbin/cryptsetup luksClose /dev/mapper/dm-nvme0n1
-
Maak een
ext4
bestandssysteem op de schijf aan.sudo /sbin/mkfs.ext4 /dev/nvme0n1
-
koppel het bestandssysteem aan een opgegeven map.
sudo mount /dev/nvme0n1 /ons/nvme0n1
opmerking:
als u een normale schijf naar een dm-crypt
enabled disk converteert of een dm-crypt
enabled disk naar een normale disk converteert, kunt u de schijf niet terugzetten naar zijn vorige staat zonder de gegevens te verliezen. Dit komt omdat het mkfs.ext4
commando de schijf formatteert. Daarom zullen alle gegevens die zijn opgeslagen in de schijf verloren gaan.