Kuidas draive krüptida, kasutades Fedora Linuxis LUKS-i
Selles artiklis selgitame lühidalt plokkkrüpteerimise, Linuxi ühtse võtme seadistamise (LUKS) kohta ja kirjeldame juhiseid krüptitud plokiseadme loomiseks Fedora Linuxis.
Blokeerimisseadme krüpteerimist kasutatakse blokeerivas seadmes olevate andmete turvaliseks krüpteerimisel ja andmete dekrüpteerimiseks peab kasutaja juurdepääsu saamiseks sisestama parooli või võtme. See annab täiendavaid turvamehhanisme, kuna kaitseb seadme sisu, isegi kui see on süsteemist füüsiliselt lahti ühendatud.
LUKS (Linuxi ühtse võtme häälestus) on Linuxi plokkseadmete krüptimise standard, mis töötab andmete kettale vormingu ja parooli/võtme halduspoliitika loomisega. See salvestab kogu vajaliku seadistusteabe partitsiooni päisesse (tuntud ka kui LUKS-päis), võimaldades seega andmeid sujuvalt transportida või migreerida.
LUKS kasutab tuuma seadme kaardistaja alamsüsteemi koos dm-crypt mooduliga, et pakkuda madalat kaardistamist, mis hoiab seadme andmete krüptimist ja dekrüpteerimist. Krüptsetup-programmi saate kasutada kasutaja tasemel ülesannete täitmiseks, näiteks krüpteeritud seadmete loomiseks ja neile juurdepääsemiseks.
Blokeeriva seadme ettevalmistamine
Järgmised juhised näitavad krüptitud plokkseadmete loomise ja konfigureerimise juhiseid pärast installimist.
Installige cryptsetup pakett.
# dnf install cryptsetup-luks
Järgmisena täitke seade enne nende krüpteerimist juhuslike andmetega, kuna see suurendab oluliselt järgmiste käskude abil krüptimise tugevust.
# dd if=/dev/urandom of=/dev/sdb1 [slow with high quality random data ] OR # badblocks -c 10240 -s -w -t random -v /dev/sdb1 [fast with high quality random data]
Hoiatus: ülaltoodud käsud kustutavad kõik seadme olemasolevad andmed.
Krüpteeritud seadme vormindamine
Järgmisena kasutage seadme vormindamiseks dm-crypt/LUKS krüptitud seadmena käsurea tööriista cryptsetup.
# cryptsetup luksFormat /dev/sdb1
Pärast käsu käivitamist palutakse teil sisestada YES (suurtähtedega), et sisestada parool kaks korda seadme kasutamiseks vormindamiseks, nagu on näidatud järgmisel ekraanipildil.
Operatsiooni õnnestumise kontrollimiseks käivitage järgmine käsk.
# cryptsetup isLuks /dev/sdb1 && echo Success
Saate vaadata seadme krüptimisteabe kokkuvõtet.
# cryptsetup luksDump /dev/sdb1
Dekrüpteeritud sisule juurdepääsu võimaldamiseks kaardistamise loomine
Selles jaotises konfigureerime, kuidas pääseda juurde krüptitud seadme dekrüpteeritud sisule. Loome kaardistamise kerneli device-mapper abil. Sellele kaardistamisele on soovitatav luua sisukas nimi, näiteks luk-uuid (kus <uuid> on asendatud seadme LUKS UUID (universaalselt ainulaadne identifikaator).
Krüpteeritud seadme UUID-i saamiseks käivitage järgmine käsk.
# cryptsetup luksUUID /dev/sdb1
Pärast UUID-i hankimist saate luua kaardistamise nime nagu näidatud (teil palutakse sisestada varem loodud parool).
# cryptsetup luksOpen /dev/sdb1 luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Kui käsk on edukas, siis dekodeeritud seadet tähistav seadmesõlm nimega /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c .
Äsja loodud blokeerimisseadet saab lugeda ja kirjutada nagu iga teist krüpteerimata plokkseadet. Teatud teavet kaardistatud seadme kohta näete järgmise käsu käivitamisega.
# dmsetup info /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Failisüsteemide loomine kaardistatud seadmesse
Nüüd vaatame, kuidas luua kaardistatud seadmesse failisüsteem, mis võimaldab teil kaardistatud seadme sõlme kasutada nagu iga teist blokeerivat seadet.
Kaardistatud seadmesse ext4-failisüsteemi loomiseks käivitage järgmine käsk.
# mkfs.ext4 /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Ülaltoodud failisüsteemi ühendamiseks looge selle jaoks ühenduspunkt, nt /mnt/encrypted-device ja seejärel ühendage see järgmiselt.
# mkdir -p /mnt/encrypted-device # mount /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c /mnt/encrypted-device/
Lisage kaardistamisteave kataloogidesse/etc/crypttab ja/etc/fstab
Järgmisena peame süsteemi konfigureerima nii seadme kaardistamise automaatseks seadistamiseks kui ka alglaadimisel.
Peaksite kaardistamisteabe lisama faili/etc/crypttab järgmise vorminguga.
luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c UUID=59f2b688-526d-45c7-8f0a-1ac4555d1d7c none
ülaltoodud vormingus:
- luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c - on kaardistamise nimi
- UUID = 59f2b688-526d-45c7-8f0a-1ac4555d1d7c - on seadme nimi
Salvestage fail ja sulgege see.
Järgmisena lisage järgmine kirje kausta/etc/fstab, et vastendatud seade automaatselt süsteemi käivitamisel installida.
/dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c /mnt/encrypted-device ext4 0 0
Salvestage fail ja sulgege see.
Seejärel käivitage nendest failidest loodud systemd üksuste värskendamiseks järgmine käsk.
# systemctl daemon-reload
Varunda LUKS-i päised
Lõpuks käsitleme, kuidas varundada LUKS-i päiseid. See on kriitiline samm krüptitud plokiseadmes kõigi andmete kaotamise vältimiseks juhul, kui LUKS-i päiseid sisaldavad sektorid on kahjustatud kas kasutaja vea või riistvara tõrke tõttu. See toiming võimaldab andmete taastamist.
LUKS-i päiste varundamiseks.
# mkdir /root/backups # cryptsetup luksHeaderBackup --header-backup-file luks-headers /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Ja LUKS-i päiste taastamiseks.
# cryptsetup luksHeaderRestore --header-backup-file /root/backups/luks-headers /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
See on kõik! Selles artiklis oleme selgitanud, kuidas blokeerida seadmeid Fedora Linuxi jaotuses LUKS-i abil. Kas teil on selle teema või juhendi kohta küsimusi või kommentaare, kasutage meiega ühendust saamiseks allpool olevat tagasisidevormi.