În acest articol, vom explica pe scurt despre criptarea blocurilor, Linux Unified Key Setup (LUKS) și descrie instrucțiunile pentru a crea un dispozitiv bloc criptat în Fedora Linux.
Blocarea criptării dispozitivului este utilizată pentru a securiza datele de pe un dispozitiv bloc prin criptarea acestuia și pentru a decripta datele, un utilizator trebuie să furnizeze o frază de acces sau o cheie pentru a accesa. Acest lucru oferă mecanisme de securitate suplimentare, deoarece protejează conținutul dispozitivului, chiar dacă a fost detașat fizic de sistem.
LUKS (Linux Unified Key Setup) este standardul pentru criptarea dispozitivelor bloc în Linux, care funcționează prin stabilirea unui format pe disc pentru date și a unei politici de gestionare a expresiei de acces / cheie. Stochează toate informațiile de configurare necesare în antetul partiției (cunoscut și sub numele de Antet LUKS), permițându-vă astfel să transportați sau să migrați date fără probleme.
LUKS utilizați subsistemul mapper dispozitiv kernel cu dm-crypt modul pentru a oferi o cartografiere la nivel scăzut care deține criptarea și decriptarea datelor dispozitivului. Puteți utiliza programul cryptsetup pentru a executa sarcini la nivel de utilizator, cum ar fi crearea și accesarea dispozitivelor criptate.
Următoarele instrucțiuni arată pașii pentru crearea și configurarea dispozitivelor bloc criptate după instalare.
Instalați fișierul cryptsetup pachet.
# dnf instalează cryptsetup-luks.
Apoi, umpleți dispozitivul cu date aleatorii înainte de a-l cripta, deoarece aceasta va crește semnificativ puterea criptării folosind următoarele comenzi.
# dd if = / dev / urandom of = / dev / sdb1 [lent cu date aleatorii de înaltă calitate] SAU. # badblocks -c 10240 -s -w -t random -v / dev / sdb1 [rapid cu date aleatorii de înaltă calitate]
Avertizare: Comenzile de mai sus vor șterge orice date existente pe dispozitiv.
Apoi, utilizați cryptsetup instrument de linie de comandă pentru formatarea dispozitivului ca dm-crypt / LUKS dispozitiv criptat.
# cryptsetup luksFormat / dev / sdb1.
După executarea comenzii, vi se va solicita să intrați DA
(cu majuscule) pentru a furniza o expresie de acces de două ori pentru ca dispozitivul să fie formatat pentru utilizare, așa cum se arată în următoarea captură de ecran.
Pentru a verifica dacă operațiunea a avut succes, rulați următoarea comandă.
# cryptsetup isLuks / dev / sdb1 && echo Success.
Puteți vizualiza un rezumat al informațiilor de criptare pentru dispozitiv.
# cryptsetup luksDump / dev / sdb1.
În această secțiune, vom configura modul de accesare a conținutului decriptat al dispozitivului criptat. Vom crea o mapare folosind kernel device-mapper. Este recomandat să creați un nume semnificativ pentru această mapare, de genul luk-uuid (Unde este înlocuit cu cel al dispozitivului LUKS UUIDIdentificator unic universal).
Pentru a obține dispozitivul dvs. criptat UUID, executați următoarea comandă.
# cryptsetup luksUUID / dev / sdb1.
După ce ați obținut UUID, puteți crea numele mapării așa cum se arată (vi se va solicita să introduceți expresia de acces creată mai devreme).
# cryptsetup luksOpen / dev / sdb1 luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c.
Dacă comanda are succes, se numește un nod de dispozitiv /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
care reprezintă dispozitivul decriptat.
Dispozitivul bloc care tocmai a fost creat poate fi citit și scris de la orice alt dispozitiv bloc necriptat. Puteți vedea câteva informații despre dispozitivul mapat executând următoarea comandă.
# dmsetup info / dev / mapper / luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c.
Acum vom analiza cum să creați un sistem de fișiere pe dispozitivul mapat, care vă va permite să utilizați nodul dispozitivului mapat la fel ca orice alt dispozitiv bloc.
Pentru a crea un sistem de fișiere ext4 pe dispozitivul mapat, rulați următoarea comandă.
# mkfs.ext4 / dev / mapper / luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c.
Pentru a monta sistemul de fișiere de mai sus, creați un punct de montare pentru acesta, de ex /mnt/encrypted-device
și apoi montați-l după cum urmează.
# mkdir -p / mnt / dispozitiv criptat. # mount / dev / mapper / luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c / mnt / encrypted-device /
Apoi, trebuie să configurăm sistemul pentru a configura automat o mapare pentru dispozitiv, precum și pentru a-l monta la momentul pornirii.
Ar trebui să adăugați informațiile de mapare în /etc/crypttab fișier, în formatul următor.
luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c UUID = 59f2b688-526d-45c7-8f0a-1ac4555d1d7c none.
în formatul de mai sus:
Salvați fișierul și închideți-l.
Apoi, adăugați următoarea intrare la /etc/fstab pentru a monta automat dispozitivul mapat la pornirea sistemului.
/ dev / mapper / luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c / mnt / dispozitiv criptat ext4 0 0.
Salvați fișierul și închideți-l.
Apoi executați următoarea comandă la actualizare sistemd unități generate din aceste fișiere.
# systemctl daemon-reload.
În cele din urmă, vom prezenta cum să faceți backup pentru antetele LUKS. Acesta este un pas critic pentru a evita pierderea tuturor datelor din dispozitivul bloc criptat, în cazul în care sectoarele care conțin antetele LUKS sunt deteriorate fie de eroare de utilizator, fie de eșec hardware. Această acțiune permite recuperarea datelor.
Pentru a face backup anteturilor LUKS.
# mkdir / root / backups # cryptsetup luksHeaderBackup - header-backup-file luks-headers / dev / mapper / luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Și pentru a restabili antetele LUKS.
# cryptsetup luksHeaderRestore - header-backup-file / root / backups / luks-headers / dev / mapper / luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Asta e tot! În acest articol, am explicat cum se criptează blocarea dispozitivelor folosind LUKS în Fedora Linux distribuție. Aveți întrebări sau comentarii cu privire la acest subiect sau ghid, utilizați formularul de feedback de mai jos pentru a ne contacta.