Ottenere la crittografia completa del disco con LUKS in RHEL
È possibile crittografare le partizioni sul server RHEL con LUKS ( Linux® ) Unified Key Setup, che è importante quando si tratta di computer portatili e supporti rimovibili. Con LUKS, è possibile utilizzare più chiavi utente per decrittografare una chiave principale utilizzata per la crittografia di massa della partizione. Le seguenti istruzioni sono applicabili alle versioni RHEL RHEL6 o successive.
Questa procedura presuppone che il server abbia accesso a un nuovo volume IBM Cloud® Block Storage for Classic non crittografato che non è stato formattato o montato. Per ulteriori informazioni sul collegamento di un host Linux® a un host Block Storage for Classic, consultare uno dei seguenti argomenti.
- Montare il volume iSCSI su Red Hat Enterprise Linux® 8.
- Montare il volume iSCSI su CloudLinux 8.
- Montare il volume iSCSI su Ubuntu 20.
A tutti i nuovi Block Storage for Classic viene automaticamente eseguito il provisioning con la crittografia dei dati inattivi gestita dal provider. Per ulteriori informazioni, consulta Protezione dei tuoi dati - crittografia dei dati inattivi gestita dal provider.
Cosa fa LUKS
- LUKS crittografa interi dispositivi a blocchi ed è quindi adatto a proteggere il contenuto di dispositivi mobili come supporti di memorizzazione rimovibili o unità disco di notebook.
- I contenuti sottostanti del dispositivo a blocchi crittografato sono arbitrari, rendendolo utile per la crittografia di dispositivi di swap. La crittografia può anche essere utile con specifici database che usano dispositivi a blocchi con una formattazione speciale per l'archiviazione di dati.
- LUKS utilizza il sottosistema kernel mapper dei dispositivi esistente.
- LUKS fornisce un rafforzamento della passphrase, che protegge dagli attacchi dizionario.
- LUKS contiene più slot di chiavi, quindi gli utenti possono aggiungere chiavi di backup o passphrase.
Cosa non fa LUKS
- LUKS non consente applicazioni che richiedono a molti utenti (più di otto) di avere chiavi di accesso distinte agli stessi dispositivi.
- LUKS non funziona con le applicazioni che richiedono la codifica a livello di file. Per ulteriori informazioni, consultare la Guida alla sicurezza RHEL.
Configurazione di un volume crittografato LUKS con Block Storage for Classic Endurance
L'elaborazione della crittografia dei dati crea un carico sull'host che potrebbe, potenzialmente, avere un impatto sulle prestazioni.
-
Immetti il seguente comando in un prompt della shell come root per installare il pacchetto richiesto:
yum install cryptsetup-luks
-
Ottieni l'ID disco:
fdisk –l | grep /dev/mapper
-
Individua il tuo volume nell'elenco.
-
Crittografare il dispositivo a blocchi.
-
Questo comando inizializza il volume e puoi impostare una passphrase.
cryptsetup -y -v luksFormat /dev/mapper/3600a0980383034685624466470446564
-
Rispondi con
YES
(tutte le lettere maiuscole). -
Il dispositivo viene ora visualizzato come un volume crittografato:
$ blkid | grep LUKS /dev/mapper/3600a0980383034685624466470446564: UUID="46301dd4-035a-4649-9d56-ec970ceebe01" TYPE="crypto_LUKS"
-
-
Apri il volume e crea un'associazione.
cryptsetup luksOpen /dev/mapper/3600a0980383034685624466470446564 cryptData
-
Immetti la passphrase.
-
Verificare la mappatura e visualizzare lo stato del volume crittografato.
$ cryptsetup -v status cryptData /dev/mapper/cryptData is active. type: LUKS1 cipher: aes-cbc-essiv:sha256 keysize: 256 bits device: /dev/mapper/3600a0980383034685624466470446564 offset: 4096 sectors size: 41938944 sectors mode: read/write Command successful
-
Scrivi dati casuali in
/dev/mapper/cryptData
sul dispositivo crittografato. Questa azione fa sì che il mondo esterno lo veda come dati casuali, il che significa che è protetto contro la divulgazione dei modelli di utilizzo. Questo passo può richiedere del tempo.shred -v -n1 /dev/mapper/cryptData
-
Formatta il volume.
mkfs.ext4 /dev/mapper/cryptData
-
Monta il volume.
mkdir /cryptData
mount /dev/mapper/cryptData /cryptData
df -H /cryptData
Smontaggio e chiusura del volume crittografato in modo sicuro
umount /cryptData
cryptsetup luksClose cryptData
Rimontaggio e montaggio di una partizione con crittografia LUKS esistente
$ cryptsetup luksOpen /dev/mapper/3600a0980383034685624466470446564 cryptData
Enter the password previously provided.
$ mount /dev/mapper/cryptData /cryptData
$ df -H /cryptData
$ lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
xvdb 202:16 0 2G 0 disk
└─xvdb1 202:17 0 2G 0 part [SWAP]
xvda 202:0 0 25G 0 disk
├─xvda1 202:1 0 256M 0 part /boot
└─xvda2 202:2 0 24.8G 0 part /
sda 8:0 0 20G 0 disk
└─3600a0980383034685624466470446564 (dm-0) 253:0 0 20G 0 mpath
└─cryptData (dm-1) 253:1 0 20G 0 crypt /cryptData
sdb 8:16 0 20G 0 disk
└─3600a0980383034685624466470446564 (dm-0) 253:0 0 20G 0 mpath
└─cryptData (dm-1) 253:1 0 20G 0 crypt /cryptData