Encrypt LVM Volumes com Luks
Geralmente, diferentes partições são criadas em um disco rígido e cada partição precisa ser criptografada usando teclas diferentes. Dessa forma, você precisa gerenciar várias chaves para diferentes partições. Os volumes LVM criptografados com Luks resolvem o problema do gerenciamento de várias chaves. Primeiro, todo o disco rígido é criptografado com Luks e, em seguida, este disco rígido pode ser usado como volume físico. O guia demonstra o processo de criptografia com Luks seguindo as etapas fornecidas:
- Instalação do pacote CryptSetup
- Criptografia do disco rígido com Luks
- Criando volumes lógicos criptografados
- Alteração da senha de criptografia
Instalando o pacote CryptSetup
Para criptografar os volumes LVM com Luks, instale os pacotes necessários da seguinte forma:
ubuntu@ubuntu: ~ $ sudo apt instalt Cryptsetup -y
Agora, carregue os módulos do kernel usados para lidar com a criptografia.
ubuntu@ubuntu: ~ $ sudo modprobe dm-crypt
Criptografar o disco rígido com luks
O primeiro passo para criptografar os volumes com Luks é identificar o disco rígido em que o LVM será criado. Exibir todos os discos rígidos no sistema usando o LSBLK comando.
ubuntu@ubuntu: ~ $ sudo lsblk
Atualmente, existem três discos rígidos anexados ao sistema que são /Dev/SDA, /dev/sdb e /dev/sdc. Para este tutorial, usaremos o /dev/sdc disco rígido para criptografar com luks. Primeiro, crie uma partição Luks usando o seguinte comando.
ubuntu@ubuntu: ~ $ sudo Cryptsetup luksFormat--hash = sha512 --key-size = 512-cipher = aes-xts-plan64 --verify-sphrase /dev /sdc
Ele pedirá a confirmação e uma senha para criar uma partição Luks. Por enquanto, você pode inserir uma senha que não é muito segura, pois será usada apenas para geração de dados aleatórios.
OBSERVAÇÃO: Antes de aplicar o comando acima, verifique se não há dados importantes no disco rígido, pois limparão a unidade sem chances de recuperação de dados.
Após a criptografia do disco rígido, abra e mapeie como Crypt_sdc Usando o seguinte comando:
ubuntu@ubuntu: ~ sudo Cryptsetup luksopen /dev /sdc Crypt_sdc
Ele pedirá a senha para abrir o disco rígido criptografado. Use a senha para criptografar o disco rígido na etapa anterior:
Liste todos os dispositivos conectados no sistema usando o LSBLK comando. O tipo de partição criptografada mapeada aparecerá como o cripta em vez de papel.
ubuntu@ubuntu: ~ $ sudo lsblk
Depois de abrir a partição Luks, agora preencha o dispositivo mapeado com 0s usando o seguinte comando:
ubuntu@ubuntu: ~ $ sudo dd if =/dev/zero de =/dev/mapper/crypt_sdc bs = 1m
Este comando preencherá o disco rígido completo com 0s. Use o Hexdump comando para ler o disco rígido:
ubuntu@ubuntu: ~ sudo hexdump /dev /sdc | mais
Fechar e destruir o mapeamento do Crypt_sdc Usando o seguinte comando:
ubuntu@ubuntu: ~ sudo Cryptsetup Luksclose Crypt_sdc
Substituir o cabeçalho do disco rígido com dados aleatórios usando o dd comando.
ubuntu@ubuntu: ~ $ sudo dd if =/dev/urandom de =/dev/sdc bs = 512 contagem = 20480 status = progresso
Agora nosso disco rígido está cheio de dados aleatórios e está pronto para ser criptografado. Novamente, crie uma partição Luks usando o LuksFormat Método do Cryptsetup ferramenta.
ubuntu@ubuntu: ~ $ sudo Cryptsetup luksFormat--hash = sha512 --key-size = 512-cipher = aes-xts-plan64 --verify-sphrase /dev /sdc
Para esse tempo, use uma senha segura, pois isso será usado para desbloquear o disco rígido.
Novamente, mapeie o disco rígido criptografado como Crypt_sdc:
ubuntu@ubuntu: ~ sudo Cryptsetup luksopen /dev /sdc Crypt_sdc
Criando volumes lógicos criptografados
Até agora, criptografamos o disco rígido e o mapeamos como Crypt_sdc no sistema. Agora, criaremos volumes lógicos no disco rígido criptografado. Primeiro de tudo, use o disco rígido criptografado como volume físico.
ubuntu@ubuntu: ~ sudo pvcreate/dev/mapper/cript_sdc
Ao criar o volume físico, a unidade de destino deve ser o disco rígido mapeado i.e /dev/mapper/cripto_sdc nesse caso.
Liste todos os volumes físicos disponíveis usando o PVS comando.
ubuntu@ubuntu: ~ $ sudo pvs
O volume físico recém -criado do disco rígido criptografado é nomeado como /dev/mapper/Crypt_sdc:
Agora, crie o grupo de volume VGE01 que abrangerá o volume físico criado na etapa anterior.
ubuntu@ubuntu: ~ sudo vgcreate vge01/dev/mapper/cript_sdc
Liste todos os grupos de volume disponíveis no sistema usando o VGS comando.
ubuntu@ubuntu: ~ $ sudo vgs
O grupo de volume VGE01 está abrangendo mais de um volume físico e o tamanho total do grupo de volume é de 30 GB.
Depois de criar o grupo de volume VGE01, Agora crie quantos volumes lógicos quiser. Geralmente, quatro volumes lógicos são criados para raiz, trocar, lar e dados partições. Este tutorial cria apenas um volume lógico para demonstração.
ubuntu@ubuntu: ~ sudo lvcreate -n lv00_main -l 5g vge01
Liste todos os volumes lógicos existentes usando o Eu contra comando.
ubuntu@ubuntu: ~ $ sudo lvs
Existe apenas um volume lógico lv00_main que é criado na etapa anterior com um tamanho de 5 GB.
Alteração da senha de criptografia
Girar a senha do disco rígido criptografado é uma das melhores práticas para proteger os dados. A senha do disco rígido criptografado pode ser alterado usando o Lukschangekey Método do Cryptsetup ferramenta.
ubuntu@ubuntu: ~ sudo Cryptsetup lukschangekey /dev /sdc
Ao alterar a senha do disco rígido criptografado, a unidade de destino é o disco rígido real em vez da unidade de mapeador. Antes de mudar a senha, ele pedirá a senha antiga.
Conclusão
Os dados em repouso podem ser protegidos criptografando os volumes lógicos. Os volumes lógicos fornecem flexibilidade para estender o tamanho do volume sem tempo de inatividade e criptografar os volumes lógicos protege os dados armazenados. Este blog explica todas as etapas necessárias para criptografar o disco rígido com Luks. Os volumes lógicos podem ser criados no disco rígido que são automaticamente criptografados.