Chiffrement du disque complet avec LUKS sous RHEL
Vous pouvez chiffrer les partitions de votre serveur RHEL avec LUKS ( Linux® ) Unified Key Setup, ce qui est important lorsqu'il s'agit d'ordinateurs portables et de supports amovibles. Avec LUKS, plusieurs clés utilisateur peuvent être utilisées pour décrypter une clé principale qui sert au chiffrement en bloc de la partition. Les instructions suivantes s'appliquent aux versions RHEL RHEL6 ou ultérieures.
Cette procédure suppose que le serveur peut accéder à un nouveau volume IBM Cloud® Block Storage for Classic, non chiffré, qui n'a été ni formaté, ni monté. Pour plus d'informations sur la connexion d' Block Storage for Classic à un hôte Linux®, consultez l'une des rubriques suivantes.
- Monter un volume iSCSI sur Red Hat Enterprise Linux® 8.
- Monter un volume iSCSI sur CloudLinux 8.
- Monter un volume iSCSI sur Ubuntu 20.
Tous les nouveaux Block Storage for Classic sont automatiquement mis à disposition avec le chiffrement au repos géré par le fournisseur. Pour plus d'information, voir Sécurisation des données - Chiffrement au repos géré par le fournisseur.
Opérations possibles avec LUKS
- LUKS chiffre des périphériques blocs entiers et convient donc à la protection du contenu des périphériques mobiles tels que les supports de stockage amovibles ou les disques durs d'ordinateurs portables.
- Le contenu sous-jacent de l'unité par bloc chiffrée est arbitraire, ce qui le rend utile pour le chiffrement des unités de permutation. Le chiffrement peut également être utile avec certaines bases de données qui utilisent des unités par bloc spécialement formatées pour le stockage des données.
- LUKS utilise le sous-système de noyau de mappeur de périphérique existant.
- LUKS renforce les phrases de passe, ce qui protège contre les attaques par dictionnaire.
- LUKS contient plusieurs emplacements de clé, ce qui permet aux utilisateurs d'ajouter des clés de sauvegarde ou des phrases passe.
Opérations impossibles avec LUKS
- LUKS n'autorise pas les applications qui nécessitent que de nombreux utilisateurs (plus de huit) aient des clés d'accès distinctes aux mêmes périphériques.
- LUKS ne fonctionne pas avec les applications qui requièrent un chiffrement de niveau fichier. Pour plus d'informations, consultez le Guide de sécurité RHEL.
Configuration d'un volume chiffré LUKS avec Block Storage for Classic Endurance
Le processus de chiffrement de données crée une charge sur l'hôte, qui risque d'impacter les performances.
-
Saisissez la commande suivante à une invite shell en tant que root pour installer le package requis :
yum install cryptsetup-luks
-
Obtenez l'ID de disque :
fdisk –l | grep /dev/mapper
-
Localisez votre volume dans la liste.
-
Chiffrez l'unité par bloc.
-
Cette commande initialise le volume et vous permet de définir une phrase passe.
cryptsetup -y -v luksFormat /dev/mapper/3600a0980383034685624466470446564
-
Répondre par
YES
(tout en majuscules). -
Le périphérique apparaît maintenant sous forme de volume chiffré :
$ blkid | grep LUKS /dev/mapper/3600a0980383034685624466470446564: UUID="46301dd4-035a-4649-9d56-ec970ceebe01" TYPE="crypto_LUKS"
-
-
Ouvrez le volume et créez un mappage.
cryptsetup luksOpen /dev/mapper/3600a0980383034685624466470446564 cryptData
-
Entrez la phrase de passe.
-
Vérifiez le mappage et affichez l'état du volume chiffré.
$ cryptsetup -v status cryptData /dev/mapper/cryptData is active. type: LUKS1 cipher: aes-cbc-essiv:sha256 keysize: 256 bits device: /dev/mapper/3600a0980383034685624466470446564 offset: 4096 sectors size: 41938944 sectors mode: read/write Command successful
-
Ecrivez des données aléatoires sur l'unité chiffrée
/dev/mapper/cryptData
. Cette action garantit que le monde extérieur considère ces données comme aléatoires, ce qui signifie qu'elles sont protégées contre la divulgation des habitudes d'utilisation. Cette étape peut prendre un certain temps.shred -v -n1 /dev/mapper/cryptData
-
Formatez le volume.
mkfs.ext4 /dev/mapper/cryptData
-
Montez le volume.
mkdir /cryptData
mount /dev/mapper/cryptData /cryptData
df -H /cryptData
Démontage et fermeture du volume chiffré en toute sécurité
umount /cryptData
cryptsetup luksClose cryptData
Remontage et montage d'une partition chiffrée LUKS existante
$ cryptsetup luksOpen /dev/mapper/3600a0980383034685624466470446564 cryptData
Enter the password previously provided.
$ mount /dev/mapper/cryptData /cryptData
$ df -H /cryptData
$ lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
xvdb 202:16 0 2G 0 disk
└─xvdb1 202:17 0 2G 0 part [SWAP]
xvda 202:0 0 25G 0 disk
├─xvda1 202:1 0 256M 0 part /boot
└─xvda2 202:2 0 24.8G 0 part /
sda 8:0 0 20G 0 disk
└─3600a0980383034685624466470446564 (dm-0) 253:0 0 20G 0 mpath
└─cryptData (dm-1) 253:1 0 20G 0 crypt /cryptData
sdb 8:16 0 20G 0 disk
└─3600a0980383034685624466470446564 (dm-0) 253:0 0 20G 0 mpath
└─cryptData (dm-1) 253:1 0 20G 0 crypt /cryptData