Encriptação de disco num ambiente Linux

Se estiver a usar o sistema operativo Linux, poderá proteger os seus dados configurando a encriptação de disco para cifrar discos inteiros (incluindo suportes removíveis), partições, volumes RAID de software, volumes lógicos, bem como os seus ficheiros NoSQL.

dm-crypt é o dispositivo mapeador alvo do Linux que fornece um sub-sistema transparente de encriptação em disco no núcleo Linux usando a API de crypto do núcleo.

Cryptsetup é a ferramenta da linha de comandos para interface comdm-crypt para criar, aceder e gerir dispositivos encriptados. O mais comumente usado criptografia é Cryptsetup para o Linux Unificação de Chave de Instalação (LUKS) de extensão, que armazena todas as necessárias informações de configuração para o dm-crypt no próprio disco e resumos de partição e o gerenciamento de chaves em uma tentativa de melhorar a facilidade de utilização.

Este tópico demonstra como converter um disco normal para um dm-crypt disco activo e vice-versa usando a interface da linha de comandos.

Assume que tens os seguintes discos no teu sistema Linux. O comando df -h mostra a quantidade de espaço em disco disponível para cada disco.

$df -h/dev/nvme0n1 2.9T 76G 2.7T 3% /ons/nvme0n1/dev/nvme1n1 2.9T 76G 2.7T 3% /ons/nvme1n1...

Se você nomear o disco /dev/nvme0n1 para armazenar bases de dados, então você deve encriptar este disco para proteger os dados dentro dele.

Disco Normal para um disco com cifra dm:

Execute os seguintes comandos para converter um disco normal para uma dm-crypt habilitado disco:

  1. Desmontar o sistema de arquivos no disco.

    sudo umount -l /dev/nvme0n1 
  2. Gerar a chave a ser usada por luksFormat.

    sudo dd if=/dev/urandom of=/home/opc/key0.key bs=1 count=4096
  3. Inicializar uma partição LUKS e definir a chave inicial.

    sudo /usr/sbin/cryptsetup -q -s 512 \luksFormat /dev/nvme0n1 /home/opc/key0.key
  4. abra a partição LUKS no disco / dispositivo e configure um nome de mapeamento.

    sudo /usr/sbin/cryptsetup --allow-discards \luksOpen -d /home/opc/key0.key /dev/nvme0n1 dm-nvme0n1
  5. Create an ext4 file system on the disk.

    sudo /sbin/mkfs.ext4 /dev/mapper/dm-nvme0n1
  6. Set parameters for the ext4 file system.

    sudo /usr/sbin/tune2fs -e remount-ro /dev/mapper/dm-nvme0n1
  7. montar o sistema de ficheiros numa pasta específica.

    sudo mount /dev/mapper/dm-nvme0n1 /ons/nvme0n1

o dm-crypt habilitado disco para disco normal:

Se você deseja converter o disco encriptado volta ao seu estado normal, execute as seguintes etapas:

  1. Desmontar o sistema de arquivos no disco.

    sudo umount -l /ons/nvme0n1
  2. remover mapeamento de luks.

    sudo /usr/sbin/cryptsetup luksClose /dev/mapper/dm-nvme0n1
  3. Create an ext4 file system on the disk.

    sudo /sbin/mkfs.ext4 /dev/nvme0n1 
  4. montar o sistema de ficheiros numa pasta específica.

    sudo mount /dev/nvme0n1 /ons/nvme0n1

Nota:

Se você converter um disco normal para uma dm-crypt habilitado disco ou converter um dm-crypt habilitado disco para um disco normal, você não pode colocar o disco de volta ao seu estado anterior sem perder seus dados. Isto porque o comando mkfs.ext4 formatará o disco. Portanto, todos os dados armazenados no disco serão perdidos.

Deixe uma resposta

O seu endereço de email não será publicado.