Hvernig á að dulkóða drif með LUKS í Fedora Linux

Í þessari grein munum við útskýra stuttlega um dulkóðun blokkar, Linux Unified Key Setup (LUKS), og lýsum leiðbeiningunum um að búa til dulkóðað blokkartæki í Fedora Linux.

Dulkóðun blokkarbúnaðar er notuð til að tryggja gögnin á blokkartæki með því að dulkóða þau og til að afkóða gögn verður notandi að gefa upp aðgangsorð eða lykil til að fá aðgang. Þetta veitir auka öryggiskerfi þar sem það verndar innihald tækisins jafnvel þótt það hafi verið líkamlega aftengt frá kerfinu.

LUKS (Linux Unified Key Setup) er staðallinn fyrir dulkóðun tækjabúnaðar í Linux, sem virkar með því að koma á sniði á disknum fyrir gögnin og lykilorða/lyklastjórnunarstefnu. Það geymir allar nauðsynlegar uppsetningarupplýsingar í skiptingarhausnum (einnig þekktur sem LUKS haus), sem gerir þér kleift að flytja eða flytja gögn óaðfinnanlega.

LUKS notar kortlagningar undirkerfi kjarna tækisins með dm-crypt einingunni til að bjóða upp á lágstigs kortlagningu sem geymir dulkóðun og afkóðun gagna tækisins. Þú getur notað cryptsetup forritið til að framkvæma verkefni á notendastigi eins og að búa til og fá aðgang að dulkóðuðum tækjum.

Undirbúningur blokkunartækis

Eftirfarandi leiðbeiningar sýna skrefin til að búa til og stilla dulkóðuð blokkartæki eftir uppsetningu.

Settu upp cryptsetup pakkann.

# dnf install cryptsetup-luks

Næst skaltu fylla tækið af handahófi gögnum áður en þú dulkóðar það, þar sem þetta mun auka styrk dulkóðunarinnar verulega með því að nota eftirfarandi skipanir.

# dd if=/dev/urandom of=/dev/sdb1	           [slow with high quality random data ]
OR
# badblocks -c 10240 -s -w -t random -v /dev/sdb1  [fast with high quality random data]

Viðvörun: Ofangreindar skipanir munu þurrka út öll gögn sem fyrir eru á tækinu.

Að forsníða dulkóðuðu tæki

Næst skaltu nota cryptsetup skipanalínutólið til að forsníða tækið sem dm-crypt/LUKS dulkóðað tæki.

# cryptsetup luksFormat /dev/sdb1

Eftir að hafa keyrt skipunina verðurðu beðinn um að slá inn YES (með hástöfum) til að gefa upp lykilorð tvisvar fyrir tækið sem á að forsníða til notkunar, eins og sýnt er á eftirfarandi skjámynd.

Til að staðfesta hvort aðgerðin hafi tekist, keyrðu eftirfarandi skipun.

# cryptsetup isLuks /dev/sdb1 && echo Success

Þú getur skoðað samantekt á dulkóðunarupplýsingunum fyrir tækið.

# cryptsetup luksDump /dev/sdb1

Búa til kortlagningu til að leyfa aðgang að afkóðuðu efni

Í þessum hluta munum við stilla hvernig á að fá aðgang að dulkóðuðu innihaldi dulkóðaða tækisins. Við munum búa til kortlagningu með því að nota kjarna tæki-mapper. Mælt er með því að búa til þýðingarmikið nafn fyrir þessa kortlagningu, eitthvað eins og luk-uuid (þar sem <uuid> er skipt út fyrir LUKS UUID(Universally Unique Identifier) tækisins.

Til að fá dulkóðaða UUID tækið þitt skaltu keyra eftirfarandi skipun.

# cryptsetup luksUUID /dev/sdb1

Eftir að hafa fengið UUID geturðu búið til kortlagningarnafnið eins og sýnt er (þú verður beðinn um að slá inn lykilorðið sem búið var til fyrr).

# cryptsetup luksOpen /dev/sdb1 luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c

Ef skipunin tekst, tækishnút sem heitir /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c sem táknar afkóðaða tækið.

Blokkunartækið sem var búið til er hægt að lesa úr og skrifa á eins og hvert annað ódulkóðað blokkartæki. Þú getur séð nokkrar upplýsingar um kortlagða tækið með því að keyra eftirfarandi skipun.

# dmsetup info /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c

Að búa til skráarkerfi á kortlagt tæki

Nú munum við skoða hvernig á að búa til skráarkerfi á kortlagða tækinu, sem gerir þér kleift að nota kortlagða tækishnútinn eins og öll önnur blokkartæki.

Til að búa til ext4 skráarkerfi á kortlagða tækinu skaltu keyra eftirfarandi skipun.

# mkfs.ext4 /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c

Til að tengja ofangreint skráarkerfi skaltu búa til tengipunkt fyrir það t.d. /mnt/encrypted-device og tengja það svo sem hér segir.

# mkdir -p /mnt/encrypted-device
# mount /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c /mnt/encrypted-device/

Bættu kortaupplýsingum við /etc/crypttab og /etc/fstab

Næst þurfum við að stilla kerfið til að setja upp kortlagningu sjálfkrafa fyrir tækið ásamt því að tengja það við ræsingu.

Þú ættir að bæta við kortlagningarupplýsingunum í /etc/crypttab skránni, á eftirfarandi sniði.

luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c  UUID=59f2b688-526d-45c7-8f0a-1ac4555d1d7c   none

í ofangreindu sniði:

• luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c – er kortlagningarnafnið
• UUID=59f2b688-526d-45c7-8f0a-1ac4555d1d7c – er nafn tækisins

Vistaðu skrána og lokaðu henni.

Næst skaltu bæta eftirfarandi færslu við /etc/fstab til að tengja kortlagða tækið sjálfkrafa við ræsingu kerfisins.

/dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c  /mnt/encrypted-device  ext4 0 0

Vistaðu skrána og lokaðu henni.

Keyrðu síðan eftirfarandi skipun til að uppfæra systemd einingar sem eru búnar til úr þessum skrám.

# systemctl daemon-reload

Afrit LUKS hausa

Að lokum munum við fjalla um hvernig á að taka öryggisafrit af LUKS hausunum. Þetta er mikilvægt skref til að forðast að tapa öllum gögnum í dulkóðuðu blokkartækinu, ef geirarnir sem innihalda LUKS hausana eru skemmdir af annað hvort notendavillu eða vélbúnaðarbilun. Þessi aðgerð gerir kleift að endurheimta gögn.

Til að taka öryggisafrit af LUKS hausunum.

# mkdir /root/backups  
# cryptsetup luksHeaderBackup --header-backup-file luks-headers /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c 

Og til að endurheimta LUKS hausana.

# cryptsetup luksHeaderRestore --header-backup-file /root/backups/luks-headers /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c 

Það er allt og sumt! Í þessari grein höfum við útskýrt hvernig á að dulkóða blokkunartæki með LUKS í Fedora Linux dreifingu. Hefur þú einhverjar spurningar eða athugasemdir varðandi þetta efni eða leiðbeiningar, notaðu athugasemdareyðublaðið hér að neðan til að ná í okkur.