IBM Cloud Docs
Obtención de cifrado de disco completo con LUKS en RHEL

Obtención de cifrado de disco completo con LUKS en RHEL

Puede cifrar particiones en su servidor RHEL con LUKS ( Linux® ) Unified Key Setup, lo cual es importante cuando se trata de ordenadores móviles y medios extraíbles. Con LUKS, se pueden utilizar varias claves de usuario para descifrar una clave principal que se utiliza para el cifrado masivo de la partición. Las instrucciones siguientes son aplicables a las versiones de RHEL RHEL6 o posteriores.

En estos pasos se supone que el servidor puede acceder a un nuevo volumen de IBM Cloud® Block Storage for Classic no cifrado que no se ha formateado ni montado. Para obtener más información sobre cómo conectar Block Storage for Classic a un host Linux®, consulte uno de los siguientes temas.

Todos los Block Storage for Classic nuevos se suministran automáticamente con cifrado en reposo gestionado por el proveedor. Para obtener más información, consulte Protección de los datos: cifrado en reposo gestionado por el proveedor.

Qué hace LUKS

  • LUKS cifra dispositivos de bloque completos y, por lo tanto, es adecuado para proteger el contenido de dispositivos móviles, como medios de almacenamiento extraíbles o unidades de disco de portátiles.
  • El contenido subyacente del dispositivo de bloque cifrado es arbitrario, por lo que resulta útil para cifrar dispositivos de intercambio. El cifrado también es útil con determinadas bases de datos que utilizan dispositivos de bloque con formato especial para el almacenamiento de datos.
  • LUKS utiliza el subsistema del kernel del mapeador de dispositivos existente.
  • LUKS proporciona un refuerzo de contraseña, que protege contra los ataques de diccionario.
  • LUKS contiene varias ranuras de claves, por lo que los usuarios pueden añadir claves de copia de seguridad o frases de contraseña.

Lo que LUKS no hace

  • LUKS no permite aplicaciones que requieran que muchos usuarios (más de ocho) tengan claves de acceso distintas para los mismos dispositivos.
  • LUKS no funciona con aplicaciones que requieren cifrado a nivel de archivo. Para obtener más información, consulte la Guía de seguridad de RHEL.

Configuración de un volumen cifrado con LUKS con Block Storage for Classic de Resistencia

El proceso de cifrado de datos crea una carga en el host que podría afectar potencialmente al rendimiento.

  1. Escriba el siguiente mandato en el indicador de shell como usuario root para instalar el paquete necesario:

    yum install cryptsetup-luks

  2. Obtenga el ID de disco:

    fdisk –l | grep /dev/mapper

  3. Localice el volumen en el listado.

  4. Cifre el dispositivo de bloque.

    1. Este mandato inicializa el volumen y le permite establecer una contraseña.

      cryptsetup -y -v luksFormat /dev/mapper/3600a0980383034685624466470446564

    2. Responda con YES (todas las letras en mayúsculas).

    3. El dispositivo ahora aparece como un volumen cifrado:

      $ blkid | grep LUKS
/dev/mapper/3600a0980383034685624466470446564: UUID="46301dd4-035a-4649-9d56-ec970ceebe01" TYPE="crypto_LUKS"

  5. Abra el volumen y cree una correspondencia.

    cryptsetup luksOpen /dev/mapper/3600a0980383034685624466470446564 cryptData

  6. Escriba la contraseña.

  7. Verifique la asignación y vea el estado del volumen cifrado.

    $ cryptsetup -v status cryptData
/dev/mapper/cryptData is active.
  type:  LUKS1
  cipher:  aes-cbc-essiv:sha256
  keysize: 256 bits
  device:  /dev/mapper/3600a0980383034685624466470446564
  offset:  4096 sectors
  size:    41938944 sectors
  mode:    read/write
  Command successful

  8. Escriba datos aleatorios en /dev/mapper/cryptData en el dispositivo cifrado. Esta acción garantiza que el mundo exterior lo vea como datos aleatorios, lo que significa que está protegido contra la divulgación de patrones de uso. Este paso puede tardar un rato.

    shred -v -n1 /dev/mapper/cryptData

  9. Dé formato al volumen.

    mkfs.ext4 /dev/mapper/cryptData

  10. Monte el volumen.

mkdir /cryptData

mount /dev/mapper/cryptData /cryptData

df -H /cryptData

Desmontaje y cierre del volumen de cifrado de forma segura

umount /cryptData
cryptsetup luksClose cryptData

Remontaje y montaje de una partición cifrada de LUKS existente

$ cryptsetup luksOpen /dev/mapper/3600a0980383034685624466470446564 cryptData
   Enter the password previously provided.
$ mount /dev/mapper/cryptData /cryptData
$ df -H /cryptData
$ lsblk
NAME                                       MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
xvdb                                       202:16   0    2G  0 disk
└─xvdb1                                    202:17   0    2G  0 part  [SWAP]
xvda                                       202:0    0   25G  0 disk
├─xvda1                                    202:1    0  256M  0 part  /boot
└─xvda2                                    202:2    0 24.8G  0 part  /
sda                                          8:0    0   20G  0 disk
└─3600a0980383034685624466470446564 (dm-0) 253:0    0   20G  0 mpath
└─cryptData (dm-1)                         253:1    0   20G  0 crypt /cryptData
sdb                                          8:16   0   20G  0 disk
└─3600a0980383034685624466470446564 (dm-0) 253:0    0   20G  0 mpath
└─cryptData (dm-1)                         253:1    0   20G  0 crypt /cryptData