IBM Cloud Docs
Vollständige Plattenverschlüsselung mit LUKS in RHEL erzielen

Vollständige Plattenverschlüsselung mit LUKS in RHEL erzielen

Sie können Partitionen auf Ihrem RHEL-Server mit Linux® Unified Key Setup (LUKS) verschlüsseln, was bei mobilen Computern und Wechselmedien wichtig ist. Mit LUKS können mehrere Benutzerschlüssel verwendet werden, um einen Hauptschlüssel zu entschlüsseln, der für die Massenverschlüsselung der Partition verwendet wird. Die folgenden Anweisungen gelten für RHEL-Versionen RHEL6 oder höher.

Bei diesen Schritten wird angenommen, dass vom Server auf einen neuen, nicht verschlüsselten IBM Cloud® Block Storage for Classic-Datenträger zugegriffen werden kann, der nicht formatiert oder angehängt wurde. Weitere Informationen zum Verbinden von Block Storage for Classic mit einem Linux®-Host finden Sie in einem der folgenden Themen.

Alle neuen Instanzen von Block Storage for Classic werden automatisch mit providerverwalteter Verschlüsselung im Ruhezustand bereitgestellt. Weitere Informationen finden Sie im Abschnitt Daten schützen - durch vom Anbieter verwaltete Verschlüsselung ruhender Daten.

Möglichkeiten bei Verwendung von LUKS

  • LUKS verschlüsselt ganze Blockgeräte und eignet sich daher zum Schutz der Inhalte mobiler Geräte wie Wechseldatenträger oder Notebook-Laufwerke.
  • Der zugrunde liegende Inhalt des verschlüsselten Blockgeräts ist beliebig. Daher ist es hilfreich beim Verschlüsseln von Auslagerungseinheiten. Die Verschlüsselung kann auch bei bestimmten Datenbanken hilfreich sein, die zur Datenspeicherung speziell formatierte Blockgeräte verwenden.
  • LUKS verwendet das vorhandene Kernel-Subsystem "Device Mapper".
  • LUKS bietet eine Passphrasen-Stärkung, die vor Wörterbuchangriffen schützt.
  • LUKS enthält mehrere Schlüsselbereiche, sodass Benutzer Sicherungsschlüssel oder Kennphrasen hinzufügen können.

Was LUKS nicht bietet

  • LUKS erlaubt keine Anwendungen, bei denen viele (mehr als acht) Benutzer unterschiedliche Zugriffsschlüssel für dieselben Geräte benötigen.
  • LUKS funktioniert nicht mit Anwendungen, die Verschlüsselung auf Dateiebene erfordern. Weitere Informationen finden Sie im RHEL-Sicherheitsleitfaden.

Mit LUKS verschlüsselten Datenträger mit Endurance für Block Storage for Classic konfigurieren

Der Prozess der Datenverschlüsselung führt zu einer Belastung des Hosts, die möglicherweise die Leistung beeinträchtigt.

  1. Geben Sie den folgenden Befehl an einer Shelleingabeaufforderung als Root ein, um das erforderliche Paket zu installieren:

    yum install cryptsetup-luks

  2. Rufen Sie die Platten-ID ab:

    fdisk –l | grep /dev/mapper

  3. Suchen Sie Ihren Datenträger in der Liste.

  4. Verschlüsseln Sie die Blockeinheit.

    1. Dieser Befehl initialisiert den Datenträger und Sie können eine Kennphrase festlegen.

      cryptsetup -y -v luksFormat /dev/mapper/3600a0980383034685624466470446564

    2. Antworten Sie mit YES (alle Buchstaben in Großbuchstaben).

    3. Das Gerät wird jetzt als verschlüsselter Datenträger angezeigt:

      $ blkid | grep LUKS
/dev/mapper/3600a0980383034685624466470446564: UUID="46301dd4-035a-4649-9d56-ec970ceebe01" TYPE="crypto_LUKS"

  5. Öffnen Sie den Datenträger und erstellen Sie eine Zuordnung.

    cryptsetup luksOpen /dev/mapper/3600a0980383034685624466470446564 cryptData

  6. Geben Sie die Kennphrase ein.

  7. Überprüfen Sie die Zuordnung und zeigen Sie den Status des verschlüsselten Datenträgers an.

    $ cryptsetup -v status cryptData
/dev/mapper/cryptData is active.
  type:  LUKS1
  cipher:  aes-cbc-essiv:sha256
  keysize: 256 bits
  device:  /dev/mapper/3600a0980383034685624466470446564
  offset:  4096 sectors
  size:    41938944 sectors
  mode:    read/write
  Command successful

  8. Schreiben Sie Zufallsdaten auf das verschlüsselt Gerät in /dev/mapper/cryptData. Diese Maßnahme stellt sicher, dass die Außenwelt dies als zufällige Daten ansieht, was bedeutet, dass sie vor der Offenlegung von Nutzungsmustern geschützt sind. Dieser Schritt kann eine Weile dauern.

    shred -v -n1 /dev/mapper/cryptData

  9. Formatieren Sie den Datenträger.

    mkfs.ext4 /dev/mapper/cryptData

  10. Hängen Sie den Datenträger an.

mkdir /cryptData

mount /dev/mapper/cryptData /cryptData

df -H /cryptData

Verschlüsselten Datenträger sicher abhängen und schließen

umount /cryptData
cryptsetup luksClose cryptData

Vorhandene verschlüsselte LUKS-Partition erneut anhängen und anhängen

$ cryptsetup luksOpen /dev/mapper/3600a0980383034685624466470446564 cryptData
   Enter the password previously provided.
$ mount /dev/mapper/cryptData /cryptData
$ df -H /cryptData
$ lsblk
NAME                                       MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
xvdb                                       202:16   0    2G  0 disk
└─xvdb1                                    202:17   0    2G  0 part  [SWAP]
xvda                                       202:0    0   25G  0 disk
├─xvda1                                    202:1    0  256M  0 part  /boot
└─xvda2                                    202:2    0 24.8G  0 part  /
sda                                          8:0    0   20G  0 disk
└─3600a0980383034685624466470446564 (dm-0) 253:0    0   20G  0 mpath
└─cryptData (dm-1)                         253:1    0   20G  0 crypt /cryptData
sdb                                          8:16   0   20G  0 disk
└─3600a0980383034685624466470446564 (dm-0) 253:0    0   20G  0 mpath
└─cryptData (dm-1)                         253:1    0   20G  0 crypt /cryptData