Obtención de cifrado de disco completo con LUKS en RHEL
Puede cifrar particiones en su servidor RHEL con LUKS ( Linux® ) Unified Key Setup, lo cual es importante cuando se trata de ordenadores móviles y medios extraíbles. Con LUKS, se pueden utilizar varias claves de usuario para descifrar una clave principal que se utiliza para el cifrado masivo de la partición. Las instrucciones siguientes son aplicables a las versiones de RHEL RHEL6 o posteriores.
En estos pasos se supone que el servidor puede acceder a un nuevo volumen de IBM Cloud® Block Storage for Classic no cifrado que no se ha formateado ni montado. Para obtener más información sobre cómo conectar Block Storage for Classic a un host Linux®, consulte uno de los siguientes temas.
- Montar volumen iSCSI en Red Hat Enterprise Linux® 8.
- Montar volumen iSCSI en CloudLinux 8.
- Montar volumen iSCSI en Ubuntu 20.
Todos los Block Storage for Classic nuevos se suministran automáticamente con cifrado en reposo gestionado por el proveedor. Para obtener más información, consulte Protección de los datos: cifrado en reposo gestionado por el proveedor.
Qué hace LUKS
- LUKS cifra dispositivos de bloque completos y, por lo tanto, es adecuado para proteger el contenido de dispositivos móviles, como medios de almacenamiento extraíbles o unidades de disco de portátiles.
- El contenido subyacente del dispositivo de bloque cifrado es arbitrario, por lo que resulta útil para cifrar dispositivos de intercambio. El cifrado también es útil con determinadas bases de datos que utilizan dispositivos de bloque con formato especial para el almacenamiento de datos.
- LUKS utiliza el subsistema del kernel del mapeador de dispositivos existente.
- LUKS proporciona un refuerzo de contraseña, que protege contra los ataques de diccionario.
- LUKS contiene varias ranuras de claves, por lo que los usuarios pueden añadir claves de copia de seguridad o frases de contraseña.
Lo que LUKS no hace
- LUKS no permite aplicaciones que requieran que muchos usuarios (más de ocho) tengan claves de acceso distintas para los mismos dispositivos.
- LUKS no funciona con aplicaciones que requieren cifrado a nivel de archivo. Para obtener más información, consulte la Guía de seguridad de RHEL.
Configuración de un volumen cifrado con LUKS con Block Storage for Classic de Resistencia
El proceso de cifrado de datos crea una carga en el host que podría afectar potencialmente al rendimiento.
-
Escriba el siguiente mandato en el indicador de shell como usuario root para instalar el paquete necesario:
yum install cryptsetup-luks
-
Obtenga el ID de disco:
fdisk –l | grep /dev/mapper
-
Localice el volumen en el listado.
-
Cifre el dispositivo de bloque.
-
Este mandato inicializa el volumen y le permite establecer una contraseña.
cryptsetup -y -v luksFormat /dev/mapper/3600a0980383034685624466470446564
-
Responda con
YES
(todas las letras en mayúsculas). -
El dispositivo ahora aparece como un volumen cifrado:
$ blkid | grep LUKS /dev/mapper/3600a0980383034685624466470446564: UUID="46301dd4-035a-4649-9d56-ec970ceebe01" TYPE="crypto_LUKS"
-
-
Abra el volumen y cree una correspondencia.
cryptsetup luksOpen /dev/mapper/3600a0980383034685624466470446564 cryptData
-
Escriba la contraseña.
-
Verifique la asignación y vea el estado del volumen cifrado.
$ cryptsetup -v status cryptData /dev/mapper/cryptData is active. type: LUKS1 cipher: aes-cbc-essiv:sha256 keysize: 256 bits device: /dev/mapper/3600a0980383034685624466470446564 offset: 4096 sectors size: 41938944 sectors mode: read/write Command successful
-
Escriba datos aleatorios en
/dev/mapper/cryptData
en el dispositivo cifrado. Esta acción garantiza que el mundo exterior lo vea como datos aleatorios, lo que significa que está protegido contra la divulgación de patrones de uso. Este paso puede tardar un rato.shred -v -n1 /dev/mapper/cryptData
-
Dé formato al volumen.
mkfs.ext4 /dev/mapper/cryptData
-
Monte el volumen.
mkdir /cryptData
mount /dev/mapper/cryptData /cryptData
df -H /cryptData
Desmontaje y cierre del volumen de cifrado de forma segura
umount /cryptData
cryptsetup luksClose cryptData
Remontaje y montaje de una partición cifrada de LUKS existente
$ cryptsetup luksOpen /dev/mapper/3600a0980383034685624466470446564 cryptData
Enter the password previously provided.
$ mount /dev/mapper/cryptData /cryptData
$ df -H /cryptData
$ lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
xvdb 202:16 0 2G 0 disk
└─xvdb1 202:17 0 2G 0 part [SWAP]
xvda 202:0 0 25G 0 disk
├─xvda1 202:1 0 256M 0 part /boot
└─xvda2 202:2 0 24.8G 0 part /
sda 8:0 0 20G 0 disk
└─3600a0980383034685624466470446564 (dm-0) 253:0 0 20G 0 mpath
└─cryptData (dm-1) 253:1 0 20G 0 crypt /cryptData
sdb 8:16 0 20G 0 disk
└─3600a0980383034685624466470446564 (dm-0) 253:0 0 20G 0 mpath
└─cryptData (dm-1) 253:1 0 20G 0 crypt /cryptData