Szyfrowanie dysku w środowisku Linux

Jeśli używasz systemu operacyjnego Linux, możesz zabezpieczyć swoje dane, konfigurując szyfrowanie dysku tak, aby szyfrować całe dyski (w tym nośniki wymienne), partycje, woluminy RAID oprogramowania, woluminy logiczne, a także pliki NoSQL.

dm-crypt to kryptograficzny cel mapowania urządzeń jądra Linuksa, który zapewnia transparentny podsystem szyfrowania dysku w jądrze Linuksa przy użyciu jądra crypto API.

Cryptsetup jest narzędziem wiersza poleceń do interfejsu zdm-crypt do tworzenia, dostępu i zarządzania zaszyfrowanymi urządzeniami. Najczęściej używanym szyfrowaniem jest Cryptsetup dla rozszerzenia Linux Unified Key Setup (LUKS), które przechowuje wszystkie potrzebne informacje o konfiguracji dla dm-crypt na samym dysku i abstrahuje zarządzanie partycjami i kluczami w celu poprawy łatwości użytkowania.

ten temat pokazuje, jak przekonwertować zwykły dysk nadm-crypt włączony dysk i odwrotnie za pomocą interfejsu wiersza poleceń.

Załóżmy, że masz następujące dyski w systemie Linux. Poleceniedf -h wyświetla ilość dostępnego miejsca na dysku dla każdego dysku. 

$df -h/dev/nvme0n1 2.9T 76G 2.7T 3% /ons/nvme0n1/dev/nvme1n1 2.9T 76G 2.7T 3% /ons/nvme1n1...

Jeśli dysk/dev/nvme0n1 służy do przechowywania baz danych, należy go zaszyfrować, aby zabezpieczyć znajdujące się w nim dane.

zwykły dysk na dysk z obsługą dm-crypt:

wykonaj następujące polecenia, aby przekonwertować zwykły dysk nadm-crypt włączony dysk:

  1. odmontuj system plików na dysku. 

    sudo umount -l /dev/nvme0n1

  2. generuje klucz do użycia przezluksFormat. 

    sudo dd if=/dev/urandom of=/home/opc/key0.key bs=1 count=4096

  3. Inicjalizuj partycję LUKS i ustaw klucz początkowy.

    sudo /usr/sbin/cryptsetup -q -s 512 \luksFormat /dev/nvme0n1 /home/opc/key0.key

  4. Otwórz partycję LUKS na dysku / urządzeniu i ustaw nazwę mapowania.

    sudo /usr/sbin/cryptsetup --allow-discards \luksOpen -d /home/opc/key0.key /dev/nvme0n1 dm-nvme0n1

  5. Utwórz system plikówext4 na dysku. 

    sudo /sbin/mkfs.ext4 /dev/mapper/dm-nvme0n1

  6. ustaw parametry dla systemu plikówext4. 

    sudo /usr/sbin/tune2fs -e remount-ro /dev/mapper/dm-nvme0n1

  7. Zamontuj system plików do określonego katalogu.

    sudo mount /dev/mapper/dm-nvme0n1 /ons/nvme0n1

dm-crypt enabled disk to normal disk:

Jeśli chcesz przekonwertować zaszyfrowany dysk z powrotem do normalnego stanu, wykonaj następujące kroki:

  1. odmontuj system plików na dysku.

    sudo umount -l /ons/nvme0n1

  2. Usuń mapowanie luksa.

    sudo /usr/sbin/cryptsetup luksClose /dev/mapper/dm-nvme0n1

  3. Utwórz system plikówext4 na dysku. 

    sudo /sbin/mkfs.ext4 /dev/nvme0n1

  4. Zamontuj system plików w podanym katalogu.

    sudo mount /dev/nvme0n1 /ons/nvme0n1

Uwaga:

Jeśli przekonwertujesz zwykły dysk na dm-crypt włączony dysk lub przekonwertujesz dm-crypt włączony dysk na normalny dysk, nie możesz przywrócić dysku do poprzedniego stanu bez utraty danych. Dzieje się tak dlatego, że polecenie mkfs.ext4 sformatuje dysk. Dlatego wszystkie dane zapisane na dysku zostaną utracone.

admin

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.