LUKS: Шифруем данные.

Установка, настройка, эксплуатация.

Модератор: ROOT

LUKS: Шифруем данные.

Сообщение ROOT » 02 июл 2021, 12:54

Оглавление



Дополнительные материалы
Монтирование файловых систем
XFS: Файловая система
Перенос системы на другой диск (xfs_copy)
Перенос системы на другой диск (rsync)
Convert MBR to GPT
Fedora на ZFS
Гибернация — режим сна


Что это такое?
LUKS (Linux Unified Key Setup) - это стандартное программное обеспечение для шифрования дисков в Linux. Он предоставляет средства для создания, хранения и использования зашифрованных томов дисков. LUKS позволяет шифровать отдельные разделы диска или целые диски, обеспечивая безопасность данных, хранящихся на этих устройствах. Используется для защиты информации от несанкционированного доступа. Расшифровать данные на диске можно только имея доступ к секретному ключу и паролю.

Преимущество LUKS:
  • совместимость через стандартизацию;
  • защита от атак с низкой энтропией;
  • возможность аннулирования секретной фразы;
  • распространяется бесплатно.


Создание шифрованного хранилища
Определяемся какой раздел будет использоваться под шифрование
Код: выделить все
lsblk
NAME             FSTYPE FSVER LABEL    UUID                                 FSAVAIL FSUSE% MOUNTPOINT
...
/dev/sdb
├─/dev/sdb1      xfs          Info     7ba0fba2-3621-4c53-9528-c420b7a26938
└─/dev/sdb2      xfs          Backup   2d8ee3c4-2b29-4589-bd31-22c1be2b3c8a  680,9G    23% /mnt/BACKUP
...

В данном случае это /dev/sdb1,
Теперь создадим шифрованный раздел типа luks2 на выбранном ранее устройстве. Данные с этого раздела будут потеряны, включая файловую систему. Если создание раздела происходить непосредственно под шифрование данных, то создавать на нём файловую систему не нужно. Файловая система будет создана позднее, на подключенном LuKS-разделе. К данному моменту лучше обзавестись достаточно длинной парольной фразой, или способом как её получать, быстро и гарантированно
Код: выделить все
cryptsetup -y -v --type luks2 luksFormat /dev/sdb1

Теперь открываем созданный только что раздел, используя ту же парольную фразу что и при создании
Код: выделить все
cryptsetup luksOpen /dev/sdb1 sdb1_crypt

Теперь смотрим что у нас получилось по разделам
Код: выделить все
lsblk
NAME                       FSTYPE      FSVER LABEL   UUID                                 FSAVAIL FSUSE% MOUNTPOINT
...
/dev/sdb
├─/dev/sdb1                crypto_LUKS 2             1dbe35b1-c761-4ff9-bd65-da69068f99d6
│ └─/dev/mapper/sdb1_crypt
...

И заключительным шагом будет создание файловой системы на появившимся устройстве sdb1_crypt
Код: выделить все
mkfs.xfs /dev/mapper/sdb1_crypt
meta-data=/dev/mapper/sdb1_crypt isize=512    agcount=4, agsize=64464960 blks
         =                       sectsz=4096  attr=2, projid32bit=1
         =                       crc=1        finobt=1, sparse=1, rmapbt=0
         =                       reflink=1    bigtime=0
data     =                       bsize=4096   blocks=257859840, imaxpct=25
         =                       sunit=0      swidth=0 blks
naming   =version 2              bsize=4096   ascii-ci=0, ftype=1
log      =internal log           bsize=4096   blocks=125908, version=2
         =                       sectsz=4096  sunit=1 blks, lazy-count=1
realtime =none                   extsz=4096   blocks=0, rtextents=0

И на последок глянем ещё раз на список блочных устройств
Код: выделить все
lsblk
NAME                       FSTYPE      FSVER LABEL   UUID                                 FSAVAIL FSUSE% MOUNTPOINT
...
/dev/sdb
├─/dev/sdb1                crypto_LUKS 2             1dbe35b1-c761-4ff9-bd65-da69068f99d6
│ └─/dev/mapper/sdb1_crypt xfs                       8e140711-cb4f-4b59-aa94-021ed30f6ddc

Как видно раздел, который мы шифруем, получил UUID и тип файловой системы
Лучше ужасный конец, чем ужас без конца!


Для желающих поддержать
Карта SB: 5469 4009 6510 2267
Аватар пользователя
ROOT
Администратор
 
Сообщений: 424
Зарегистрирован: 01 авг 2011, 09:36
Откуда: Моск. обл., г. Железнодорожный

Вернуться в Fedora

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron