Asemien salaaminen LUKSilla Fedora Linuxissa


Tässä artikkelissa kerromme lyhyesti lohkosalauksesta, Linux Unified Key Setupista (LUKS), ja kuvataan ohjeet salatun lohkolaitteen luomiseksi Fedora Linuxissa.

Estä laitteen salaus

Estälaitteen salausta käytetään suojaamaan lohkolaitteen tiedot salaamalla ne, ja tietojen salauksen purkamiseksi käyttäjän on annettava salasana tai avain pääsyä varten. Tämä antaa lisäturvamekanismeja, koska se suojaa laitteen sisällön, vaikka se olisi fyysisesti irrotettu järjestelmästä.

LUKSin esittely

LUKS (Linux Unified Key Setup) on standardi lohkolaitteiden salaukselle Linuxissa, joka toimii luomalla tiedoille levyllä olevan muodon ja salasanan/avaimen hallintakäytännön. . Se tallentaa kaikki tarvittavat asennustiedot osion otsikkoon (tunnetaan myös nimellä LUKS-otsikko), jolloin voit siirtää tai siirtää tietoja saumattomasti.

LUKS käyttää ytimen laitekartoitusalijärjestelmää dm-crypt-moduulin kanssa tarjotakseen matalan tason kartoitusta, joka sisältää laitetietojen salauksen ja salauksen purkamisen. Voit käyttää salausasetusohjelmaa käyttäjätason tehtävien suorittamiseen, kuten salattujen laitteiden luomiseen ja käyttämiseen.

Block-laitteen valmistelu

Seuraavat ohjeet näyttävät vaiheet salattujen lohkolaitteiden luomiseksi ja määrittämiseksi asennuksen jälkeen.

Asenna cryptsetup-paketti.

dnf install cryptsetup-luks

Täytä seuraavaksi laite satunnaisilla tiedoilla ennen sen salaamista, koska tämä lisää merkittävästi salauksen voimakkuutta seuraavilla komennoilla.

dd if=/dev/urandom of=/dev/sdb1	           [slow with high quality random data ]
OR
badblocks -c 10240 -s -w -t random -v /dev/sdb1  [fast with high quality random data]

Varoitus: Yllä olevat komennot pyyhkivät kaikki olemassa olevat tiedot laitteelta.

Salatun laitteen alustaminen

Käytä seuraavaksi cryptsetup-komentorivityökalua ja alusta laite dm-crypt/LUKS-salatuksi laitteeksi.

cryptsetup luksFormat /dev/sdb1

Kun olet suorittanut komennon, sinua pyydetään syöttämään YES (isoilla kirjaimilla), jotta saat salasanan kahdesti, jotta laite alustetaan käyttöä varten, kuten seuraavassa kuvakaappauksessa näkyy.

Varmista, että toiminto onnistui, suorittamalla seuraava komento.

cryptsetup isLuks /dev/sdb1 && echo Success

Voit tarkastella yhteenvetoa laitteen salaustiedoista.

cryptsetup luksDump /dev/sdb1

Kartoituksen luominen salauksen purettuun sisältöön pääsyn sallimiseksi

Tässä osiossa määritämme, kuinka pääset käsiksi salatun laitteen salattuun sisältöön. Luomme kartoituksen ytimen laitekartoittimella. Tälle kartoitukselle on suositeltavaa luoda merkityksellinen nimi, esimerkiksi luk-uuid (jossa <uuid> on korvattu laitteen LUKS UUID:lläYleisesti yksilöllinen tunniste).

Saadaksesi salatun laitteen UUID, suorita seuraava komento.

cryptsetup luksUUID /dev/sdb1

Kun olet saanut UUID-tunnuksen, voit luoda kartoitusnimen kuvan osoittamalla tavalla (sinua pyydetään antamaan aiemmin luotu tunnuslause).

cryptsetup luksOpen /dev/sdb1 luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c

Jos komento onnistuu, laitesolmu nimeltä /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c edustaa salausta purettua laitetta.

Juuri luotu lohkolaite voidaan lukea ja kirjoittaa siihen kuten mistä tahansa muustakin salaamattomasta lohkolaitteesta. Näet joitakin tietoja yhdistetystä laitteesta suorittamalla seuraava komento.

dmsetup info /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c

Tiedostojärjestelmien luominen yhdistetylle laitteelle

Nyt tarkastellaan kuinka luodaan tiedostojärjestelmä yhdistetylle laitteelle, jonka avulla voit käyttää yhdistettyä laitesolmua aivan kuten mitä tahansa muuta lohkolaitetta.

Luo ext4-tiedostojärjestelmä yhdistetylle laitteelle suorittamalla seuraava komento.

mkfs.ext4 /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c

Liitä yllä oleva tiedostojärjestelmä luomalla sille liitoskohta, esim. /mnt/encrypted-device ja liittämällä se sitten seuraavasti.

mkdir -p /mnt/encrypted-device
mount /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c /mnt/encrypted-device/

Lisää kartoitustiedot tiedostoihin /etc/crypttab ja /etc/fstab

Seuraavaksi meidän on määritettävä järjestelmä määrittämään laitteen kartoitus automaattisesti sekä asentamaan se käynnistyksen yhteydessä.

Sinun tulee lisätä kartoitustiedot /etc/crypttab-tiedostoon seuraavassa muodossa.

luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c  UUID=59f2b688-526d-45c7-8f0a-1ac4555d1d7c   none

yllä olevassa muodossa:

  • luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c – on kartoitusnimi
  • UUID=59f2b688-526d-45c7-8f0a-1ac4555d1d7c – on laitteen nimi

Tallenna tiedosto ja sulje se.

Lisää seuraavaksi seuraava merkintä kansioon /etc/fstab liittääksesi yhdistetyn laitteen automaattisesti järjestelmän käynnistyksen yhteydessä.

/dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c  /mnt/encrypted-device  ext4 0 0

Tallenna tiedosto ja sulje se.

Suorita sitten seuraava komento päivitä näistä tiedostoista luodut systemd-yksiköt.

systemctl daemon-reload

Varmuuskopioi LUKS-otsikot

Lopuksi käsittelemme LUKS-otsikoiden varmuuskopioimista. Tämä on kriittinen vaihe, jotta vältetään kaiken tiedon menettäminen salatussa lohkolaitteessa, jos LUKS-otsikot sisältävät sektorit ovat vaurioituneet joko käyttäjävirheen tai laitteistovian vuoksi. Tämä toiminto mahdollistaa tietojen palauttamisen.

LUKS-otsikoiden varmuuskopiointi.

mkdir /root/backups  
cryptsetup luksHeaderBackup --header-backup-file luks-headers /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c 

Ja palauttaa LUKS-otsikot.

cryptsetup luksHeaderRestore --header-backup-file /root/backups/luks-headers /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c 

Siinä kaikki! Tässä artikkelissa olemme selittäneet, kuinka estolaitteet salataan LUKSilla Fedora Linux -jakelussa. Jos sinulla on kysyttävää tai kommentteja tästä aiheesta tai oppaasta, ota meihin yhteyttä alla olevalla palautelomakkeella.