Como criptografar unidades de armazenamento usando Luks no Linux

Este artigo abordará um guia sobre o uso do padrão de criptografia “Linux Unified Key Setup” ou Luks Criptografia que pode ser usada para criar unidades de armazenamento criptografadas e protegidas por senha. Durante a criptografia, Luks se reserva um espaço na unidade de armazenamento e armazena as informações necessárias para a criptografia e descriptografia na unidade de armazenamento em si. Essa metodologia de criptografia no disco garante a compatibilidade próxima de plug e reprodução em distribuições Linux e fácil transferibilidade de unidades de dados. Contanto que você tenha Luks instalado no seu sistema Linux e conhece a senha, poderá facilmente descriptografar qualquer unidade de dados criptografada de Luks em qualquer distribuição Linux.

Instalando Luks

Luks faz parte do pacote "CryptSetup", você pode instalá -lo no Ubuntu executando o comando abaixo:

$ sudo apt install Cryptsetup

Você pode instalar o CryptSetup no Fedora executando o comando abaixo:

$ sudo dnf install cryptsetup-luks

Cryptsetup pode ser instalado no Archlinux usando o seguinte comando:

$ sudo pacman -s Cryptsetup

Você também pode compilá -lo de seu código -fonte disponível aqui.

Encontrando unidades de armazenamento conectadas em um sistema Linux

Para criptografar uma unidade usando Luks, você precisará primeiro determinar seu caminho correto. Você pode executar o comando abaixo para listar todas as unidades de armazenamento instaladas em seu sistema Linux.

$ lsblk -o nome, caminho, modelo, fornecedor, tamanho, fsususado, fsuse%, tipo, MountPoint

Você verá alguma saída semelhante a este em um terminal:

Se você olhar para os metadados de saída e acionamento, poderá encontrar facilmente um caminho para unidades conectadas (listadas na coluna "Path"). Por exemplo, eu conectei uma unidade de polegar externo feita por transcend. Olhando para a captura de tela, pode -se inferir que o caminho para esta unidade é "/dev/sdb".

Como alternativa, você pode executar o comando abaixo para encontrar o caminho correto para qualquer unidade de armazenamento conectada.

$ sudo lshw -short -c disco

Você obterá algum resultado semelhante a isso.

Seja qual for o caminho do acionamento no seu caso, anote -o como será usado durante a criptografia de Luks.

Criptografar uma unidade usando Luks

Antes de avançar, você deve saber que a criptografia Luks removerá todos os dados existentes na unidade. Se houver arquivos importantes na unidade de armazenamento, faça um backup de antemão.

Agora que você tem o caminho de acionamento da etapa anterior, você pode criptografar uma unidade usando Luks executando o comando abaixo. Certifique -se de substituir "/dev/sdc" pelo caminho de acionamento que você encontrou na etapa anterior.

$ sudo Cryptsetup -verbose luksformat /dev /sdc

Siga as instruções na tela e insira uma senha.

No final, você deve receber uma mensagem de "comando bem -sucedida" indicando que a criptografia foi bem -sucedida.

Você também pode despejar os metadados da criptografia e verificar se a unidade foi criptografada com sucesso executando o comando abaixo (substitua “/dev/sdc” conforme necessário):

$ sudo Cryptsetup Luksdump /dev /sdc

Decriptografando e montando uma unidade criptografada de Luks

Para descriptografar uma unidade criptografada usando Luks, execute o comando abaixo enquanto especifica o caminho da unidade criptografada conectada ao seu sistema. Você pode substituir "drivedata" por qualquer outro nome, ele atuará como um identificador para o dispositivo descriptografado.

$ sudo Cryptsetup -Verbose Luksopen /dev /sdc drivedata

A mensagem "Comando bem -sucedida" indica que a unidade foi descriptografada e mapeada como um novo dispositivo de armazenamento chamado "drivedata" em seu sistema. Se você executar o comando "lsblk", a unidade mapeada aparecerá como uma nova unidade de armazenamento conectada ao seu sistema Linux.

Até esse ponto, a unidade criptografada de Luks foi descriptografada e mapeada como um dispositivo, mas não montado. Você pode verificar as informações sobre o Mapped Drive executando o comando abaixo (substitua “drivedata” conforme necessário):

$ sudo Cryptsetup -status de verbose drivedata

A unidade mapeada atua como um dispositivo de armazenamento real conectado ao seu sistema. Mas ainda não contém partições com sistemas de arquivos. Para ler e escrever arquivos na unidade mapeada, você precisará criar uma partição. Para criar uma partição ext4, execute o seguinte comando enquanto especifica o caminho da unidade mapeada.

$ sudo mkfs.ext4/dev/mapper/drivedata

Espere o processo terminar. Esta etapa precisa ser feita apenas uma vez ou quando você precisa forçar limpar toda a partição. Não execute esta etapa toda vez que você conectar a unidade criptografada, pois limpará os dados existentes.

Para gerenciar arquivos na unidade mapeada formatada como uma partição ext4, você precisará montá -la. Para fazer isso, execute os dois comandos a seguir em sucessão.

$ sudo mkdir /mídia /mydrive
$ sudo monte/dev/mapper/drivedata/mídia/mydrive

O primeiro comando cria um novo ponto de montagem para a unidade mapeada. Você pode fornecer qualquer caminho para isso. O próximo comando monta a unidade mapeada para que você possa acessá -lo a partir do caminho especificado no comando anterior.

Uma vez montado, você poderá acessar a unidade mapeada de um gerenciador de arquivos gráfico ou da linha de comando como qualquer outra unidade de armazenamento. Para desmontar, execute o seguinte comando enquanto especifica o caminho completo do ponto de montagem.

$ sudo umount /mídia /mydrive

Conclusão

Luks fornece uma maneira de criptografar uma unidade de armazenamento inteira, que só pode ser acessada usando a senha criada durante a criptografia. Como é um sistema de criptografia no disco em que as informações de criptografia são armazenadas no próprio dispositivo criptografado, você pode simplesmente conectar a unidade criptografada em qualquer sistema Linux e descriptografar-se usando Luks para obter acesso imediato aos dados criptografados.