Kā šifrēt diskus, izmantojot LUKS Fedora Linux
Šajā rakstā mēs īsi paskaidrosim par bloku šifrēšanu, Linux vienotās atslēgas iestatīšanu (LUKS) un aprakstīsim instrukcijas, kā izveidot šifrētu bloka ierīci Fedora Linux.
Bloķēšanas ierīces šifrēšana tiek izmantota, lai datus bloķētu bloķēšanas ierīcē, tos šifrējot, un, lai atšifrētu datus, lietotājam ir jāiesniedz piekļuves parole vai atslēga. Tas dod papildu drošības mehānismus, jo tas aizsargā ierīces saturu, pat ja tas ir fiziski atdalīts no sistēmas.
LUKS (Linux Unified Key Setup) ir bloks ierīces šifrēšanas standarts Linux, kas darbojas, izveidojot datu diskā formātu un paroles frāzes/atslēgas pārvaldības politiku. Tas glabā visu nepieciešamo iestatīšanas informāciju nodalījuma galvenē (pazīstams arī kā LUKS galvene), tādējādi ļaujot vienmērīgi transportēt vai migrēt datus.
LUKS izmanto kodola ierīču kartētāja apakšsistēmu ar dm-crypt moduli, lai nodrošinātu zema līmeņa kartēšanu, kas satur ierīces datu šifrēšanu un atšifrēšanu. Cryptsetup programmu var izmantot, lai izpildītu lietotāja līmeņa uzdevumus, piemēram, izveidotu un piekļūtu šifrētām ierīcēm.
Bloka ierīces sagatavošana
Šajos norādījumos ir parādītas darbības, kā izveidot un konfigurēt šifrētas bloķēšanas ierīces pēc instalēšanas.
Instalējiet cryptsetup pakotni.
# dnf install cryptsetup-luks
Pēc tam pirms šifrēšanas aizpildiet ierīci ar nejaušiem datiem, jo tas ievērojami palielinās šifrēšanas stiprumu, izmantojot šādas komandas.
# dd if=/dev/urandom of=/dev/sdb1 [slow with high quality random data ] OR # badblocks -c 10240 -s -w -t random -v /dev/sdb1 [fast with high quality random data]
Brīdinājums: Iepriekš minētās komandas iznīcinās visus esošos ierīces datus.
Šifrētas ierīces formatēšana
Pēc tam izmantojiet komandrindas rīku cryptsetup, lai formatētu ierīci kā šifrētu ierīci dm-crypt/LUKS.
# cryptsetup luksFormat /dev/sdb1
Pēc komandas palaišanas jums tiks piedāvāts ievadīt YES (ar lielajiem burtiem), lai divas reizes piegādātu paroli, lai ierīce tiktu formatēta lietošanai, kā parādīts nākamajā ekrānuzņēmumā.
Lai pārbaudītu, vai darbība bija veiksmīga, palaidiet šo komandu.
# cryptsetup isLuks /dev/sdb1 && echo Success
Varat skatīt ierīces šifrēšanas informācijas kopsavilkumu.
# cryptsetup luksDump /dev/sdb1
Kartēšanas izveide, lai atļautu piekļuvi atšifrētam saturam
Šajā sadaļā mēs konfigurēsim, kā piekļūt šifrētās ierīces atšifrētajam saturam. Mēs izveidosim kartēšanu, izmantojot kodola device-mapper. Šai kartēšanai ieteicams izveidot jēgpilnu nosaukumu, piemēram, luk-uuid (kur <uuid> tiek aizstāts ar ierīces LUKS UUID (universāli unikāls identifikators).
Lai iegūtu šifrētu ierīces UUID, izpildiet šo komandu.
# cryptsetup luksUUID /dev/sdb1
Pēc UUID iegūšanas varat izveidot kartēšanas nosaukumu, kā parādīts attēlā (jums tiks piedāvāts ievadīt iepriekš izveidoto ieejas frāzi).
# cryptsetup luksOpen /dev/sdb1 luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Ja komanda ir veiksmīga, ierīces mezgls ar nosaukumu /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c , kas apzīmē atšifrēto ierīci.
Tikko izveidoto bloķēšanas ierīci var nolasīt un rakstīt tāpat kā jebkuru citu nešifrētu bloķēšanas ierīci. Daļu informācijas par kartēto ierīci var redzēt, izpildot šo komandu.
# dmsetup info /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Failu sistēmu izveide kartētā ierīcē
Tagad mēs aplūkosim, kā izveidot kartētā ierīcē failu sistēmu, kas ļaus izmantot kartēto ierīces mezglu tāpat kā jebkuru citu bloķēšanas ierīci.
Lai kartētajā ierīcē izveidotu ext4 failu sistēmu, izpildiet šo komandu.
# mkfs.ext4 /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Lai pievienotu iepriekš minēto failu sistēmu, izveidojiet tai pievienošanas punktu, piemēram, /mnt/encrypted-device un pēc tam pievienojiet to šādi.
# mkdir -p /mnt/encrypted-device # mount /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c /mnt/encrypted-device/
Pievienojiet kartēšanas informāciju mapēm/etc/crypttab un/etc/fstab
Tālāk mums jākonfigurē sistēma, lai automātiski iestatītu ierīces kartēšanu, kā arī uzstādītu to sāknēšanas laikā.
Kartēšanas informācija jāpievieno failā/etc/crypttab šādā formātā.
luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c UUID=59f2b688-526d-45c7-8f0a-1ac4555d1d7c none
iepriekš minētajā formātā:
- luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c - ir kartēšanas nosaukums
- UUID = 59f2b688-526d-45c7-8f0a-1ac4555d1d7c - ir ierīces nosaukums
Saglabājiet failu un aizveriet to.
Pēc tam pievienojiet šādu ierakstu mapē/etc/fstab, lai automātiski pievienotu kartēto ierīci sistēmas sāknēšanas laikā.
/dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c /mnt/encrypted-device ext4 0 0
Saglabājiet failu un aizveriet to.
Pēc tam izpildiet šo komandu, lai atjauninātu systemd vienības, kas ģenerētas no šiem failiem.
# systemctl daemon-reload
Dublēt LUKS galvenes
Visbeidzot, mēs apskatīsim, kā dublēt LUKS galvenes. Tas ir kritisks solis, lai izvairītos no visu datu zaudēšanas šifrētajā bloķēšanas ierīcē, ja sektorus, kuros ir LUKS galvenes, sabojā lietotāja kļūda vai aparatūras kļūme. Šī darbība ļauj atjaunot datus.
Lai dublētu LUKS galvenes.
# mkdir /root/backups # cryptsetup luksHeaderBackup --header-backup-file luks-headers /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Un, lai atjaunotu LUKS galvenes.
# cryptsetup luksHeaderRestore --header-backup-file /root/backups/luks-headers /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Tas ir viss! Šajā rakstā mēs esam paskaidrojuši, kā šifrēt bloķēšanas ierīces, izmantojot LUKS Fedora Linux izplatīšanā. Vai jums ir kādi jautājumi vai komentāri par šo tēmu vai ceļvedi, izmantojiet tālāk sniegto atsauksmju veidlapu, lai sazinātos ar mums.