LVM -Volumes mit Luks verschlüsseln

LVM -Volumes mit Luks verschlüsseln
Das Verschlingen der logischen Bände ist eine der besten Lösungen, um die Daten in Ruhe zu sichern. Es gibt viele andere Methoden zur Datenverschlüsselung, aber Luks ist die beste, da sie Verschlüsselung durchführt, während sie auf Kernelebene arbeiten. LUKS oder Linux Unified Key Setup ist die Standardverfahren, um die Festplatten unter Linux zu verschlüsseln.

Im Allgemeinen werden auf einer Festplatte unterschiedliche Partitionen erstellt, und jede Partition muss mit verschiedenen Schlüssel verschlüsselt werden. Auf diese Weise müssen Sie mehrere Schlüssel für verschiedene Partitionen verwalten. LVM -Volumes, die mit Luks verschlüsselt sind. Zuerst wird die gesamte Festplatte mit Luks verschlüsselt und dann kann diese Festplatte als physisches Volumen verwendet werden. Der Leitfaden demonstriert den Verschlüsselungsprozess mit Luks, indem sie den angegebenen Schritten befolgen:

  1. CryptSetup -Paketinstallation
  2. Festplattenverschlüsselung mit Luks
  3. Erstellen verschlüsselter logischer Bände
  4. Änderung der Verschlüsselungspassphrase

Installieren von Cryptsetup -Paket

Um das LVM -Volumina mit Luks zu verschlüsseln, installieren Sie die erforderlichen Pakete wie folgt:

Ubuntu@Ubuntu: ~ $ sudo APT install cryptsetup -y

Laden Sie nun die Kernelmodule, die zur Verschlüsselung verwandt sind.

Ubuntu@Ubuntu: ~ $ sudo modprobe dm crypt

Festplatte mit Luks verschlüsseln

Der erste Schritt, um die Volumina mit Luks zu verschlüsseln, besteht darin, die Festplatte zu identifizieren, auf der LVM erstellt werden soll. Zeigen Sie alle Festplatten auf dem System mit dem an LSBLK Befehl.

Ubuntu@Ubuntu: ~ $ sudo lsblk

Derzeit sind mit dem System drei Festplatten verbunden, die es sind /dev/sda, /dev/sdb Und /dev/sdc. Für dieses Tutorial werden wir die verwenden /dev/sdc Festplatte, um mit Luks zu verschlüsseln. Erstellen Sie zuerst eine Luks -Partition mit dem folgenden Befehl.

Ubuntu@ubuntu: ~ $ sudo Cryptsetup LuksFormat--hash = sha512-Keey-Größe = 512--cipher = aes-texs-plain64-Verify-PasPhrase /Dev /SDC

Es wird um die Bestätigung und eine Passphrase gebeten, um eine Luks -Partition zu erstellen. Im Moment können Sie eine Passphrase eingeben, die nicht viel sicher ist, da dies nur für die Zufallsdatenerzeugung verwendet wird.

NOTIZ: Bevor Sie den obigen Befehl anwenden, stellen Sie sicher, dass in der Festplatte keine wichtigen Daten vorhanden sind.

Nach der Festplattenverschlüsselung öffnen und ordnen Sie sie ab als crypt_sdc Verwenden des folgenden Befehls:

Ubuntu@Ubuntu: ~ $ sudo Cryptsetup Luksopen /dev /sdc crypt_sdc

Es wird um die Passphrase gebeten, die verschlüsselte Festplatte zu öffnen. Verwenden Sie die Passphrase, um die Festplatte im vorherigen Schritt zu verschlüsseln:

Listen Sie alle verbundenen Geräte auf dem System mit dem auf LSBLK Befehl. Die Art der zugeordneten verschlüsselten Partition erscheint als die Krypta anstatt Teil.

Ubuntu@Ubuntu: ~ $ sudo lsblk

Füllen Sie nach dem Öffnen der LUKS -Partition das kartierte Gerät nun mit 0S mit dem folgenden Befehl aus:

Ubuntu@Ubuntu: ~ $ sudo dd if =/dev/null von =/dev/mapper/krypt_sdc bs = 1m

Dieser Befehl füllt die vollständige Festplatte mit 0s. Verwenden Sie das Hexdump Befehl zum Lesen der Festplatte:

Ubuntu@Ubuntu: ~ $ sudo hexdump /dev /sdc | mehr

Schließen und zerstören Sie die Kartierung der crypt_sdc Verwenden des folgenden Befehls:

Ubuntu@Ubuntu: ~ $ sudo cryptsetup luksclose crypt_sdc

Überschreiben Sie den Festplattenheader mit zufälligen Daten mit dem dd Befehl.

Ubuntu@ubuntu: ~ $ sudo dd if =/dev/urandom von =/dev/sdc bs = 512 count = 20480 Status = Fortschritt

Jetzt ist unsere Festplatte voller zufälliger Daten und ist bereit, verschlüsselt zu werden. Erstellen Sie erneut eine Luks -Partition, indem Sie die verwenden luksformat Methode der Cryptsetup Werkzeug.

Ubuntu@ubuntu: ~ $ sudo Cryptsetup LuksFormat--hash = sha512-Keey-Größe = 512--cipher = aes-texs-plain64-Verify-PasPhrase /Dev /SDC

Verwenden Sie zu diesem Zeitpunkt eine sichere Passphrase, da diese zum Entsperren der Festplatte verwendet wird.

Kartieren Sie die verschlüsselte Festplatte erneut als crypt_sdc:

Ubuntu@Ubuntu: ~ $ sudo Cryptsetup Luksopen /dev /sdc crypt_sdc

Erstellen verschlüsselter logischer Bände

Bisher haben wir die Festplatte verschlüsselt und sie als abgebildet als crypt_sdc auf dem System. Jetzt werden wir auf der verschlüsselten Festplatte logische Bände erstellen. Verwenden Sie zunächst die verschlüsselte Festplatte als physisches Volumen.

Ubuntu@Ubuntu: ~ $ sudo pvcreate/dev/mapper/crypt_sdc

Beim Erstellen des physischen Volumens muss das Ziellaufwerk die zugeordnete Festplatte sein,.e /Dev/Mapper/Cryptte_sdc in diesem Fall.

Listen Sie alle verfügbaren physischen Volumina mit dem auf PVS Befehl.

Ubuntu@Ubuntu: ~ $ sudo pvs

Das neu erstellte physikalische Volumen aus der verschlüsselten Festplatte wird als benannt /Dev/Mapper/Crypt_sdc:

Erstellen Sie nun die Volumengruppe vge01 Dies erstreckt sich über das physische Volumen, das im vorherigen Schritt erstellt wurde.

Ubuntu@Ubuntu: ~ $ sudo vgcreate vge01/dev/mapper/krypt_sdc

Listen Sie alle verfügbaren Volumengruppen im System mit dem auf vgs Befehl.

Ubuntu@Ubuntu: ~ $ sudo vgs

Die Volumengruppe vge01 erstreckt sich über ein physisches Volumen und die Gesamtgröße der Volumengruppe beträgt 30 GB.

Nach dem Erstellen der Volumengruppe vge01, Erstellen Sie nun so viele logische Bände, wie Sie möchten. Im Allgemeinen werden vier logische Bände erstellt Wurzel, Tausch, heim Und Daten Partitionen. Dieses Tutorial erzeugt nur ein logisches Volumen für die Demonstration.

Ubuntu@Ubuntu: ~ $ sudo lvcreate -n lv00_main -l 5g vge01

Listen Sie alle vorhandenen logischen Volumes mit dem auf Ich gegen Befehl.

Ubuntu@Ubuntu: ~ $ sudo lvs

Es gibt nur ein logisches Volumen lv00_main die im vorherigen Schritt mit einer Größe von 5 GB erstellt wurde.

Änderung der Verschlüsselungspassphrase

Das Drehen der Passphrase der verschlüsselten Festplatte ist eine der besten Verfahren, um die Daten zu sichern. Die Passphrase der verschlüsselten Festplatte kann durch die Verwendung der verwendet werden Lukschangekey Methode der Cryptsetup Werkzeug.

Ubuntu@Ubuntu: ~ $ sudo cryptsetup lukschangekey /dev /sdc

Während des Änderns der Passphrase der verschlüsselten Festplatte ist das Ziellaufwerk die eigentliche Festplatte anstelle des Mapper -Laufwerks. Bevor Sie die Passphrase ändern, wird nach der alten Passphrase gefragt.

Abschluss

Die Daten in Ruhe können durch Verschlüsseln der logischen Volumina gesichert werden. Logische Volumina bieten Flexibilität, um die Größe des Volumens ohne Ausfallzeiten zu erweitern und die logischen Volumina zu verschlüsseln, die gespeicherten Daten sichern. In diesem Blog werden alle Schritte erläutert, die erforderlich sind, um die Festplatte mit Luks zu verschlüsseln. Die logischen Volumina können dann auf der Festplatte erstellt werden, die automatisch verschlüsselt werden.