Meghajtók titkosítása a LUKS használatával a Fedora Linux rendszerben
Ebben a cikkben röviden ismertetjük a blokktitkosítást, a Linux Unified Key Setup (LUKS) funkcióját, és leírjuk a titkosított blokkeszköz létrehozására vonatkozó utasításokat a Fedora Linux rendszerben.
Eszköztitkosítás blokkolása
A blokkeszköz-titkosítást a blokkeszközön lévő adatok titkosításával biztosítják, az adatok visszafejtéséhez pedig a felhasználónak meg kell adnia egy jelszót vagy kulcsot a hozzáféréshez. Ez extra biztonsági mechanizmusokat ad, mivel megvédi az eszköz tartalmát még akkor is, ha azt fizikailag leválasztották a rendszerről.
A LUKS bemutatása
A LUKS (Linux Unified Key Setup) a Linux blokkeszköz-titkosításának szabványa, amely az adatok lemezen történő formátumának és egy jelszó-/kulcskezelési szabályzatnak a létrehozásával működik. . Az összes szükséges beállítási információt a partíció fejlécében tárolja (más néven LUKS-fejléc), így lehetővé teszi az adatok zökkenőmentes átvitelét vagy migrálását.
A LUKS a kernel eszközleképező alrendszerét használja a dm-crypt modullal, hogy alacsony szintű leképezést biztosítson, amely tartalmazza az eszközadatok titkosítását és visszafejtését. A cryptsetup programmal felhasználói szintű feladatokat hajthat végre, például titkosított eszközök létrehozását és elérését.
Blokkeszköz előkészítése
A következő utasítások bemutatják a titkosított blokkeszközök létrehozásának és konfigurálásának lépéseit a telepítés után.
Telepítse a cryptsetup csomagot.
dnf install cryptsetup-luks
Ezután töltse fel az eszközt véletlenszerű adatokkal, mielőtt titkosítaná, mivel ez jelentősen megnöveli a titkosítás erősségét a következő parancsokkal.
dd if=/dev/urandom of=/dev/sdb1 [slow with high quality random data ]
OR
badblocks -c 10240 -s -w -t random -v /dev/sdb1 [fast with high quality random data]
Figyelmeztetés: A fenti parancsok minden meglévő adatot törölnek az eszközről.
Titkosított eszköz formázása
Ezután használja a cryptsetup parancssori eszközt az eszköz formázásához dm-crypt/LUKS titkosított eszközként.
cryptsetup luksFormat /dev/sdb1
A parancs futtatása után a rendszer kéri, hogy írja be a YES
szót (nagybetűvel), hogy kétszer adjon meg jelszót a használathoz formázni kívánt eszközhöz, ahogy az a következő képernyőképen látható.
A művelet sikerességének ellenőrzéséhez futtassa a következő parancsot.
cryptsetup isLuks /dev/sdb1 && echo Success
Megtekintheti az eszköz titkosítási információinak összefoglalását.
cryptsetup luksDump /dev/sdb1
Leképezés létrehozása a visszafejtett tartalomhoz való hozzáférés lehetővé tételéhez
Ebben a részben beállítjuk, hogyan érhetjük el a titkosított eszköz visszafejtett tartalmát. Leképezést készítünk a kernel eszközleképező segítségével. Javasoljuk, hogy hozzon létre egy értelmes nevet ehhez a leképezéshez, például luk-uuid (ahol a <uuid>
helyére az eszköz LUKS UUIDUniverzálisan egyedi azonosító).
A titkosított eszköz UUID azonosítójának lekéréséhez futtassa a következő parancsot.
cryptsetup luksUUID /dev/sdb1
Az UUID megszerzése után létrehozhatja a leképezési nevet a képen látható módon (a rendszer kéri, hogy adja meg a korábban létrehozott jelszót).
cryptsetup luksOpen /dev/sdb1 luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Ha a parancs sikeres, egy /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
nevű eszközcsomópont, amely a visszafejtett eszközt képviseli.
Az imént létrehozott blokkeszköz, mint bármely más titkosítatlan blokkeszköz, kiolvasható és ráírható. A következő parancs futtatásával megtekinthet néhány információt a leképezett eszközről.
dmsetup info /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Fájlrendszerek létrehozása leképezett eszközön
Most megnézzük, hogyan hozhatunk létre fájlrendszert a leképezett eszközön, amely lehetővé teszi a leképezett eszköz csomópontjának használatát, mint bármely más blokkeszközt.
Ha ext4 fájlrendszert szeretne létrehozni a leképezett eszközön, futtassa a következő parancsot.
mkfs.ext4 /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
A fenti fájlrendszer csatlakoztatásához hozzon létre egy csatolási pontot, például /mnt/encrypted-device
, majd csatolja a következőképpen.
mkdir -p /mnt/encrypted-device
mount /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c /mnt/encrypted-device/
Adja hozzá a leképezési információkat az /etc/crypttab és az /etc/fstab fájlokhoz
Ezután konfigurálnunk kell a rendszert úgy, hogy automatikusan beállítsa az eszköz leképezését, valamint a rendszerindításkor csatolja azt.
Adja hozzá a leképezési információkat az /etc/crypttab fájlhoz, a következő formátumban.
luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c UUID=59f2b688-526d-45c7-8f0a-1ac4555d1d7c none
a fenti formátumban:
- luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c – a leképezési név
- UUID=59f2b688-526d-45c7-8f0a-1ac4555d1d7c – az eszköz neve
Mentse el a fájlt és zárja be.
Ezután adja hozzá a következő bejegyzést az /etc/fstab fájlhoz, hogy a rendszerindításkor automatikusan csatolja a hozzárendelt eszközt.
/dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c /mnt/encrypted-device ext4 0 0
Mentse el a fájlt és zárja be.
Ezután futtassa a következő parancsot az ezekből a fájlokból előállított systemd egységek frissítéséhez.
systemctl daemon-reload
LUKS fejlécek biztonsági mentése
Végül kitérünk a LUKS fejlécek biztonsági mentésére. Ez egy kritikus lépés a titkosított blokkeszközben lévő összes adat elvesztésének elkerülése érdekében, ha a LUKS fejlécet tartalmazó szektorok akár felhasználói hiba, akár hardverhiba miatt megsérülnek. Ez a művelet lehetővé teszi az adatok helyreállítását.
A LUKS fejlécek biztonsági mentése.
mkdir /root/backups
cryptsetup luksHeaderBackup --header-backup-file luks-headers /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
És a LUKS fejlécek visszaállításához.
cryptsetup luksHeaderRestore --header-backup-file /root/backups/luks-headers /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Ez minden! Ebben a cikkben elmagyaráztuk, hogyan lehet titkosítani a blokkolt eszközöket a LUKS használatával a Fedora Linux disztribúcióban. Ha kérdése vagy megjegyzése van ezzel a témával vagy útmutatóval kapcsolatban, használja az alábbi visszajelzési űrlapot, hogy kapcsolatba lépjen velünk.