Ottenere la crittografia completa del disco con LUKS in RHEL

È possibile crittografare le partizioni sul server RHEL con LUKS ( Linux® ) Unified Key Setup, che è importante quando si tratta di computer portatili e supporti rimovibili. Con LUKS, è possibile utilizzare più chiavi utente per decrittografare una chiave principale utilizzata per la crittografia di massa della partizione. Le seguenti istruzioni sono applicabili alle versioni RHEL RHEL6 o successive.

Questa procedura presuppone che il server abbia accesso a un nuovo volume IBM Cloud® Block Storage for Classic non crittografato che non è stato formattato o montato. Per ulteriori informazioni sul collegamento di un host Linux® a un host Block Storage for Classic, consultare uno dei seguenti argomenti.

A tutti i nuovi Block Storage for Classic viene automaticamente eseguito il provisioning con la crittografia dei dati inattivi gestita dal provider. Per ulteriori informazioni, consulta Protezione dei tuoi dati - crittografia dei dati inattivi gestita dal provider.

Cosa fa LUKS

LUKS crittografa interi dispositivi a blocchi ed è quindi adatto a proteggere il contenuto di dispositivi mobili come supporti di memorizzazione rimovibili o unità disco di notebook.
I contenuti sottostanti del dispositivo a blocchi crittografato sono arbitrari, rendendolo utile per la crittografia di dispositivi di swap. La crittografia può anche essere utile con specifici database che usano dispositivi a blocchi con una formattazione speciale per l'archiviazione di dati.
LUKS utilizza il sottosistema kernel mapper dei dispositivi esistente.
LUKS fornisce un rafforzamento della passphrase, che protegge dagli attacchi dizionario.
LUKS contiene più slot di chiavi, quindi gli utenti possono aggiungere chiavi di backup o passphrase.

Cosa non fa LUKS

LUKS non consente applicazioni che richiedono a molti utenti (più di otto) di avere chiavi di accesso distinte agli stessi dispositivi.
LUKS non funziona con le applicazioni che richiedono la codifica a livello di file. Per ulteriori informazioni, consultare la Guida alla sicurezza RHEL.

Configurazione di un volume crittografato LUKS con Block Storage for Classic Endurance

L'elaborazione della crittografia dei dati crea un carico sull'host che potrebbe, potenzialmente, avere un impatto sulle prestazioni.

Immetti il seguente comando in un prompt della shell come root per installare il pacchetto richiesto:
```
yum install cryptsetup-luks
```
Ottieni l'ID disco:
```
fdisk –l | grep /dev/mapper
```
Individua il tuo volume nell'elenco.
Crittografare il dispositivo a blocchi.
1. Questo comando inizializza il volume e puoi impostare una passphrase.
```
cryptsetup -y -v luksFormat /dev/mapper/3600a0980383034685624466470446564
```
2. Rispondi con YES (tutte le lettere maiuscole).
3. Il dispositivo viene ora visualizzato come un volume crittografato:
```
$ blkid | grep LUKS
/dev/mapper/3600a0980383034685624466470446564: UUID="46301dd4-035a-4649-9d56-ec970ceebe01" TYPE="crypto_LUKS"
```

Apri il volume e crea un'associazione.

cryptsetup luksOpen /dev/mapper/3600a0980383034685624466470446564 cryptData

Immetti la passphrase.

Verificare la mappatura e visualizzare lo stato del volume crittografato.

$ cryptsetup -v status cryptData
/dev/mapper/cryptData is active.
  type:  LUKS1
  cipher:  aes-cbc-essiv:sha256
  keysize: 256 bits
  device:  /dev/mapper/3600a0980383034685624466470446564
  offset:  4096 sectors
  size:    41938944 sectors
  mode:    read/write
  Command successful

Scrivi dati casuali in /dev/mapper/cryptData sul dispositivo crittografato. Questa azione fa sì che il mondo esterno lo veda come dati casuali, il che significa che è protetto contro la divulgazione dei modelli di utilizzo. Questo passo può richiedere del tempo.
```
shred -v -n1 /dev/mapper/cryptData
```
Formatta il volume.
```
mkfs.ext4 /dev/mapper/cryptData
```
Monta il volume.

mkdir /cryptData

mount /dev/mapper/cryptData /cryptData

df -H /cryptData

Smontaggio e chiusura del volume crittografato in modo sicuro

umount /cryptData
cryptsetup luksClose cryptData

Rimontaggio e montaggio di una partizione con crittografia LUKS esistente

$ cryptsetup luksOpen /dev/mapper/3600a0980383034685624466470446564 cryptData
   Enter the password previously provided.
$ mount /dev/mapper/cryptData /cryptData
$ df -H /cryptData
$ lsblk
NAME                                       MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
xvdb                                       202:16   0    2G  0 disk
└─xvdb1                                    202:17   0    2G  0 part  [SWAP]
xvda                                       202:0    0   25G  0 disk
├─xvda1                                    202:1    0  256M  0 part  /boot
└─xvda2                                    202:2    0 24.8G  0 part  /
sda                                          8:0    0   20G  0 disk
└─3600a0980383034685624466470446564 (dm-0) 253:0    0   20G  0 mpath
└─cryptData (dm-1)                         253:1    0   20G  0 crypt /cryptData
sdb                                          8:16   0   20G  0 disk
└─3600a0980383034685624466470446564 (dm-0) 253:0    0   20G  0 mpath
└─cryptData (dm-1)                         253:1    0   20G  0 crypt /cryptData