Crittografia dei volumi LVM con Luks

Dr. Folco Leone
Crittografia dei volumi LVM con Luks
La crittografia dei volumi logici è una delle migliori soluzioni per proteggere i dati a riposo. Esistono molti altri metodi per la crittografia dei dati, ma Luks è il migliore in quanto esegue la crittografia mentre lavora a livello di kernel. Luks o Linux Unified Key Setup è la procedura standard per crittografare i dischi rigidi su Linux.

Generalmente, diverse partizioni vengono create su un disco rigido e ogni partizione deve essere crittografata usando tasti diversi. In questo modo devi gestire più chiavi per diverse partizioni. I volumi LVM crittografati con Luks risolvono il problema della gestione di più chiavi. Innanzitutto, l'intero disco rigido è crittografato con Luks e quindi questo disco rigido può essere usato come volume fisico. La guida dimostra il processo di crittografia con Luks seguendo i passaggi determinati:

  1. Installazione del pacchetto CryptSetUp
  2. Crittografia del disco rigido con Luks
  3. Creazione di volumi logici crittografati
  4. Modifica della crittografia passphrase

Installazione del pacchetto CryptSetUp

Per crittografare i volumi LVM con Luks, installare i pacchetti richiesti come segue:

ubuntu@ubuntu: ~ $ sudo apt install cryptsetup -y

Ora carica i moduli del kernel utilizzati per gestire la crittografia.

ubuntu@ubuntu: ~ $ sudo modprobe dm-crypt

Crittografia del disco rigido con Luks

Il primo passo per crittografare i volumi con Luks è identificare il disco rigido su cui verrà creato LVM. Visualizza tutti i dischi rigidi sul sistema utilizzando il lsblk comando.

ubuntu@ubuntu: ~ $ sudo lsblk

Attualmente, ci sono tre dischi rigidi collegati al sistema che lo sono /dev/sda, /dev/sdb E /dev/sdc. Per questo tutorial, useremo il /dev/sdc Disco rigido per crittografare con Luks. Crea innanzitutto una partizione Luks usando il comando seguente.

ubuntu@ubuntu: ~ $ sudo criptsetup luksformat--hash = sha512 --ke-size = 512--cipher = aes-exts-plain64-verifrase-passphrase /dev /sd

Chiederà la conferma e una passphrase per creare una partizione Luks. Per ora, puoi inserire una passphrase che non è molto sicura in quanto verrà utilizzata solo per la generazione di dati casuali.

NOTA: Prima di applicare il comando sopra, assicurarsi che non ci siano dati importanti nel disco rigido in quanto pulirà l'unità senza possibilità di recupero dei dati.

Dopo la crittografia del disco rigido, aprilo e mappa come cript_sdc usando il seguente comando:

ubuntu@ubuntu: ~ $ sudo criptsetup luksopen /dev /sdc cript_sdc

Chiederà alla passphrase di aprire il disco rigido crittografato. Utilizzare la passphrase per crittografare il disco rigido nel passaggio precedente:

Elenca tutti i dispositivi collegati sul sistema utilizzando il lsblk comando. Il tipo di partizione crittografata mappata apparirà come il cripta invece di parte.

ubuntu@ubuntu: ~ $ sudo lsblk

Dopo aver aperto la partizione Luks, ora riempi il dispositivo mappato con 0s utilizzando il seguente comando:

ubuntu@ubuntu: ~ $ sudo dd if =/dev/zero di =/dev/mapper/cript_sdc bs = 1m

Questo comando riempirà il disco rigido completo con 0s. Usa il hexdump comanda di leggere il disco rigido:

ubuntu@ubuntu: ~ $ sudo hexdump /dev /sdc | Di più

Chiudere e distruggere la mappatura del cript_sdc usando il seguente comando:

ubuntu@ubuntu: ~ $ sudo criptsetup luksclose cript_sdc

Sostituire l'intestazione del disco rigido con dati casuali utilizzando il dd comando.

ubuntu@ubuntu: ~ $ sudo dd if =/dev/urandom di =/dev/sdc bs = 512 count = 20480 status =

Ora il nostro disco rigido è pieno di dati casuali ed è pronto per essere crittografato. Ancora una volta, crea una partizione Luks usando il Luksformat metodo del criptsetup attrezzo.

ubuntu@ubuntu: ~ $ sudo criptsetup luksformat--hash = sha512 --ke-size = 512--cipher = aes-exts-plain64-verifrase-passphrase /dev /sd

Per questo momento, utilizzare una passphrase sicura in quanto verrà utilizzato per sbloccare il disco rigido.

Ancora una volta, mappare il disco rigido crittografato come cript_sdc:

ubuntu@ubuntu: ~ $ sudo criptsetup luksopen /dev /sdc cript_sdc

Creazione di volumi logici crittografati

Finora abbiamo crittografato il disco rigido e mappato come cript_sdc sul sistema. Ora creeremo volumi logici sul disco rigido crittografato. Prima di tutto, usa il disco rigido crittografato come volume fisico.

ubuntu@ubuntu: ~ $ sudo pvcreate/dev/mapper/cript_sdc

Durante la creazione del volume fisico, l'unità target deve essere il disco rigido mappato i.e /dev/mapper/crypte_sdc in questo caso.

Elenca tutti i volumi fisici disponibili utilizzando il PV comando.

ubuntu@ubuntu: ~ $ sudo pvs

Il volume fisico appena creato dal disco rigido crittografato è chiamato come /dev/mapper/cript_sdc:

Ora, crea il gruppo di volumi VGE01 che coprirà il volume fisico creato nel passaggio precedente.

ubuntu@ubuntu: ~ $ sudo vgcreate vge01/dev/mapper/cript_sdc

Elenca tutti i gruppi di volume disponibili sul sistema utilizzando il VGS comando.

ubuntu@ubuntu: ~ $ sudo vgs

Il gruppo di volume VGE01 si estende su un volume fisico e la dimensione totale del gruppo di volumi è di 30 GB.

Dopo aver creato il gruppo di volumi VGE01, ora crea tutti i volumi logici che vuoi. Generalmente, vengono creati quattro volumi logici per radice, scambio, casa E dati partizioni. Questo tutorial crea solo un volume logico per la dimostrazione.

ubuntu@ubuntu: ~ $ sudo lvcreate -n lv00_main -l 5g vge01

Elenca tutti i volumi logici esistenti utilizzando il LVS comando.

ubuntu@ubuntu: ~ $ sudo lvs

C'è solo un volume logico lv00_main che viene creato nel passaggio precedente con una dimensione di 5 GB.

Modifica della crittografia passphrase

Ruotare la passphrase del disco rigido crittografato è una delle migliori pratiche per proteggere i dati. La passphrase del disco rigido crittografato può essere modificata usando il LukschangeKey metodo del criptsetup attrezzo.

ubuntu@ubuntu: ~ $ sudo criptsetup LukschangeKey /dev /SDC

Mentre si cambia la passphrase del disco rigido crittografato, l'unità target è il disco rigido effettivo anziché l'unità mapper. Prima di cambiare la passphrase, chiederà la vecchia passphrase.

Conclusione

I dati a riposo possono essere protetti crittografando i volumi logici. I volumi logici forniscono flessibilità per estendere le dimensioni del volume senza tempi di inattività e crittografare i volumi logici proteggono i dati memorizzati. Questo blog spiega tutti i passaggi necessari per crittografare il disco rigido con Luks. I volumi logici possono quindi essere creati sul disco rigido che vengono crittografati automaticamente.

C ++
Cos'è il tipo di dati Char in C ++
In C ++ il tipo di dati Char rappresenta i dati nel modulo dei caratteri. Questa variabile richiede ...
Domiziano Conte
C ++
Cosa è += in c++?
In C ++ il+= è una combinazione di due operatori, uno è l'operatore di addizione e il secondo è l'op...
Nunzia Martini
Powershell
Quali sono i passaggi per eseguire comandi remoti in PowerShell?
I comandi remoti possono essere eseguiti abilitando la remoto di PowerShell. Per abilitare PowerShel...
Dr. Ursula Marini
Pitone
I panda esplodono più colonne
Nestore Caruso
Pitone
Gruppo panda per quantile
Dr. Evita Damico
Oracle Linux
Come installare e utilizzare Oracle VirtualBox Extension Pack?
Artemide Ricci
Pitone
Python Chmod
Dr. Evita Damico
PHP
Come recuperare l'elenco dei fusi di tempo PHP
Domiziano Conte
AWS
Cosa è la sottorete su AWS VPC e come usarlo?
Piererminio De luca
AWS
Qual è la differenza tra AWS Aurora e MySQL?
Dr. Evita Damico
Idiota
Come funziona Git?
Felicia Giuliani
Comandi Linux
Come generare tasti SSH su Windows Top 10/Top 10 per accedere ai server Linux senza password
Nick Marini
c affilato
Quali sono le variabili costanti in C#
Dr. Folco Leone