Asemien salaaminen LUKSilla Fedora Linuxissa
Tässä artikkelissa kerromme lyhyesti lohkosalauksesta, Linux Unified Key Setupista (LUKS), ja kuvataan ohjeet salatun lohkolaitteen luomiseksi Fedora Linuxissa.
Estä laitteen salaus
Estälaitteen salausta käytetään suojaamaan lohkolaitteen tiedot salaamalla ne, ja tietojen salauksen purkamiseksi käyttäjän on annettava salasana tai avain pääsyä varten. Tämä antaa lisäturvamekanismeja, koska se suojaa laitteen sisällön, vaikka se olisi fyysisesti irrotettu järjestelmästä.
LUKSin esittely
LUKS (Linux Unified Key Setup) on standardi lohkolaitteiden salaukselle Linuxissa, joka toimii luomalla tiedoille levyllä olevan muodon ja salasanan/avaimen hallintakäytännön. . Se tallentaa kaikki tarvittavat asennustiedot osion otsikkoon (tunnetaan myös nimellä LUKS-otsikko), jolloin voit siirtää tai siirtää tietoja saumattomasti.
LUKS käyttää ytimen laitekartoitusalijärjestelmää dm-crypt-moduulin kanssa tarjotakseen matalan tason kartoitusta, joka sisältää laitetietojen salauksen ja salauksen purkamisen. Voit käyttää salausasetusohjelmaa käyttäjätason tehtävien suorittamiseen, kuten salattujen laitteiden luomiseen ja käyttämiseen.
Block-laitteen valmistelu
Seuraavat ohjeet näyttävät vaiheet salattujen lohkolaitteiden luomiseksi ja määrittämiseksi asennuksen jälkeen.
Asenna cryptsetup-paketti.
dnf install cryptsetup-luks
Täytä seuraavaksi laite satunnaisilla tiedoilla ennen sen salaamista, koska tämä lisää merkittävästi salauksen voimakkuutta seuraavilla komennoilla.
dd if=/dev/urandom of=/dev/sdb1 [slow with high quality random data ]
OR
badblocks -c 10240 -s -w -t random -v /dev/sdb1 [fast with high quality random data]
Varoitus: Yllä olevat komennot pyyhkivät kaikki olemassa olevat tiedot laitteelta.
Salatun laitteen alustaminen
Käytä seuraavaksi cryptsetup-komentorivityökalua ja alusta laite dm-crypt/LUKS-salatuksi laitteeksi.
cryptsetup luksFormat /dev/sdb1
Kun olet suorittanut komennon, sinua pyydetään syöttämään YES
(isoilla kirjaimilla), jotta saat salasanan kahdesti, jotta laite alustetaan käyttöä varten, kuten seuraavassa kuvakaappauksessa näkyy.
Varmista, että toiminto onnistui, suorittamalla seuraava komento.
cryptsetup isLuks /dev/sdb1 && echo Success
Voit tarkastella yhteenvetoa laitteen salaustiedoista.
cryptsetup luksDump /dev/sdb1
Kartoituksen luominen salauksen purettuun sisältöön pääsyn sallimiseksi
Tässä osiossa määritämme, kuinka pääset käsiksi salatun laitteen salattuun sisältöön. Luomme kartoituksen ytimen laitekartoittimella. Tälle kartoitukselle on suositeltavaa luoda merkityksellinen nimi, esimerkiksi luk-uuid (jossa <uuid>
on korvattu laitteen LUKS UUID:lläYleisesti yksilöllinen tunniste).
Saadaksesi salatun laitteen UUID, suorita seuraava komento.
cryptsetup luksUUID /dev/sdb1
Kun olet saanut UUID-tunnuksen, voit luoda kartoitusnimen kuvan osoittamalla tavalla (sinua pyydetään antamaan aiemmin luotu tunnuslause).
cryptsetup luksOpen /dev/sdb1 luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Jos komento onnistuu, laitesolmu nimeltä /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
edustaa salausta purettua laitetta.
Juuri luotu lohkolaite voidaan lukea ja kirjoittaa siihen kuten mistä tahansa muustakin salaamattomasta lohkolaitteesta. Näet joitakin tietoja yhdistetystä laitteesta suorittamalla seuraava komento.
dmsetup info /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Tiedostojärjestelmien luominen yhdistetylle laitteelle
Nyt tarkastellaan kuinka luodaan tiedostojärjestelmä yhdistetylle laitteelle, jonka avulla voit käyttää yhdistettyä laitesolmua aivan kuten mitä tahansa muuta lohkolaitetta.
Luo ext4-tiedostojärjestelmä yhdistetylle laitteelle suorittamalla seuraava komento.
mkfs.ext4 /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Liitä yllä oleva tiedostojärjestelmä luomalla sille liitoskohta, esim. /mnt/encrypted-device
ja liittämällä se sitten seuraavasti.
mkdir -p /mnt/encrypted-device
mount /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c /mnt/encrypted-device/
Lisää kartoitustiedot tiedostoihin /etc/crypttab ja /etc/fstab
Seuraavaksi meidän on määritettävä järjestelmä määrittämään laitteen kartoitus automaattisesti sekä asentamaan se käynnistyksen yhteydessä.
Sinun tulee lisätä kartoitustiedot /etc/crypttab-tiedostoon seuraavassa muodossa.
luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c UUID=59f2b688-526d-45c7-8f0a-1ac4555d1d7c none
yllä olevassa muodossa:
- luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c – on kartoitusnimi
- UUID=59f2b688-526d-45c7-8f0a-1ac4555d1d7c – on laitteen nimi
Tallenna tiedosto ja sulje se.
Lisää seuraavaksi seuraava merkintä kansioon /etc/fstab liittääksesi yhdistetyn laitteen automaattisesti järjestelmän käynnistyksen yhteydessä.
/dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c /mnt/encrypted-device ext4 0 0
Tallenna tiedosto ja sulje se.
Suorita sitten seuraava komento päivitä näistä tiedostoista luodut systemd-yksiköt.
systemctl daemon-reload
Varmuuskopioi LUKS-otsikot
Lopuksi käsittelemme LUKS-otsikoiden varmuuskopioimista. Tämä on kriittinen vaihe, jotta vältetään kaiken tiedon menettäminen salatussa lohkolaitteessa, jos LUKS-otsikot sisältävät sektorit ovat vaurioituneet joko käyttäjävirheen tai laitteistovian vuoksi. Tämä toiminto mahdollistaa tietojen palauttamisen.
LUKS-otsikoiden varmuuskopiointi.
mkdir /root/backups
cryptsetup luksHeaderBackup --header-backup-file luks-headers /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Ja palauttaa LUKS-otsikot.
cryptsetup luksHeaderRestore --header-backup-file /root/backups/luks-headers /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Siinä kaikki! Tässä artikkelissa olemme selittäneet, kuinka estolaitteet salataan LUKSilla Fedora Linux -jakelussa. Jos sinulla on kysyttävää tai kommentteja tästä aiheesta tai oppaasta, ota meihin yhteyttä alla olevalla palautelomakkeella.