Kif Kriptaġġ Drives billi tuża LUKS f'Fedora Linux
F'dan l-artikolu, aħna se nispjegaw fil-qosor dwar il-kriptaġġ tal-blokki, Linux Unified Key Setup (LUKS), u tiddeskrivi l-istruzzjonijiet biex jinħoloq apparat ta 'blokki encrypted f'Fedora Linux.
Il-kriptaġġ tal-apparat tal-blokk jintuża biex jiżgura d-dejta fuq apparat tal-blokk billi jikkriptaha, u biex jiddeċifra d-dejta, utent għandu jipprovdi passphrase jew ċavetta għall-aċċess. Dan jagħti mekkaniżmi ta’ sigurtà żejda peress li jissalvagwardja l-kontenut tal-apparat anki jekk ikun inqala’ fiżikament mis-sistema.
LUKS (Linux Unified Key Setup) huwa l-istandard għall-kriptaġġ tal-apparat tal-blok fil-Linux, li jaħdem billi jistabbilixxi format fuq id-diska għad-data u passphrase/politika ta 'ġestjoni taċ-ċavetta. Taħżen l-informazzjoni kollha meħtieġa tas-setup fil-header tal-partizzjoni (magħrufa wkoll bħala header LUKS), u b'hekk tippermettilek tittrasporta jew temigra d-dejta bla xkiel.
LUKS juża s-subsistema tal-mapper tal-mezz tal-kernel bil-modulu dm-crypt biex jipprovdi mapping ta 'livell baxx li jżomm encryption u decryption tad-dejta tal-apparat. Tista 'tuża l-programm cryptsetup biex tesegwixxi kompiti fil-livell tal-utent bħall-ħolqien u l-aċċess ta' apparati kriptati.
Tħejjija ta' Apparat Blokk
L-istruzzjonijiet li ġejjin juru l-passi biex jinħolqu u jiġu kkonfigurati apparati ta 'blokk kriptat wara l-installazzjoni.
Installa l-pakkett cryptsetup.
# dnf install cryptsetup-luks
Sussegwentement, imla l-apparat b'dejta każwali qabel ma tikkodifikah, peress li dan iżid b'mod sinifikanti s-saħħa tal-kriptaġġ billi tuża l-kmandi li ġejjin.
# dd if=/dev/urandom of=/dev/sdb1 [slow with high quality random data ] OR # badblocks -c 10240 -s -w -t random -v /dev/sdb1 [fast with high quality random data]
Twissija: Il-kmandi ta 'hawn fuq se jneħħu kwalunkwe data eżistenti fuq l-apparat.
Ifformattjar ta' Apparat Encrypted
Sussegwentement, uża l-għodda tal-linja tal-kmand cryptsetup biex tifformattja l-apparat bħala apparat encrypted dm-crypt/LUKS.
# cryptsetup luksFormat /dev/sdb1
Wara li tmexxi l-kmand, tkun imħeġġeġ biex iddaħħal IVA (f'ittri kbar) biex tforni passphrase darbtejn biex l-apparat jiġi fformattjat għall-użu, kif muri fil-screenshot li ġej.
Biex tivverifika jekk l-operazzjoni kinitx ta 'suċċess, mexxi l-kmand li ġej.
# cryptsetup isLuks /dev/sdb1 && echo Success
Tista' tara sommarju tal-informazzjoni tal-kriptaġġ għall-apparat.
# cryptsetup luksDump /dev/sdb1
Ħolqien ta 'Mapping biex Jippermetti Aċċess għal Kontenut Decrypted
F'din it-taqsima, aħna se nikkonfiguraw kif naċċessaw il-kontenut deċifrat tal-apparat ikkodifikat. Aħna se noħolqu mapping bl-użu tal-kernel device-mapper. Huwa rrakkomandat li jinħoloq isem sinifikanti għal dan l-immappjar, xi ħaġa bħal luk-uuid (fejn <uuid> jiġi sostitwit bil-LUKS UUID(Universally Unique Identifier) tal-apparat.
Biex tikseb l-UUID tat-tagħmir kriptat tiegħek, mexxi l-kmand li ġej.
# cryptsetup luksUUID /dev/sdb1
Wara li tikseb l-UUID, tista 'toħloq l-isem tal-mapping kif muri (inti se tintalab biex iddaħħal il-passphrase maħluqa aktar kmieni).
# cryptsetup luksOpen /dev/sdb1 luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Jekk il-kmand jirnexxi, nodu tal-apparat imsejjaħ /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c li jirrappreżenta l-apparat decrypted.
L-apparat tal-blokk li għadu kif inħoloq jista' jinqara minn u jinkiteb bħal kull mezz ieħor tal-blokk mhux kriptat. Tista 'tara xi informazzjoni dwar l-apparat immappjat billi tħaddem il-kmand li ġej.
# dmsetup info /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Ħolqien ta' Filesystems fuq Apparat Mappat
Issa se nħarsu lejn kif toħloq sistema ta 'fajls fuq l-apparat immappjat, li jippermettilek tuża n-nodu tal-apparat immappjat bħal kull mezz ieħor tal-blokk.
Biex toħloq sistema ta 'fajls ext4 fuq l-apparat immappjat, mexxi l-kmand li ġej.
# mkfs.ext4 /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Biex timmonta s-sistema tal-fajls ta’ hawn fuq, oħloq punt ta’ muntaġġ għaliha eż. /mnt/encrypted-device u mbagħad immuntaha kif ġej.
# mkdir -p /mnt/encrypted-device # mount /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c /mnt/encrypted-device/
Żid Informazzjoni tal-Immappjar f'/etc/crypttab u /etc/fstab
Sussegwentement, irridu nikkonfiguraw is-sistema biex twaqqaf awtomatikament mapping għall-apparat kif ukoll nimmontaha fil-ħin tal-ibbutjar.
Għandek iżżid l-informazzjoni tal-mapping fil-fajl /etc/crypttab, fil-format li ġej.
luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c UUID=59f2b688-526d-45c7-8f0a-1ac4555d1d7c none
fil-format ta' hawn fuq:
- luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c – huwa l-isem tal-mapping
- UUID=59f2b688-526d-45c7-8f0a-1ac4555d1d7c – huwa l-isem tal-apparat
Issejvja l-fajl u agħlaqha.
Sussegwentement, żid l-entrata li ġejja f'/etc/fstab biex twaħħal awtomatikament l-apparat immappjat fil-boot tas-sistema.
/dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c /mnt/encrypted-device ext4 0 0
Issejvja l-fajl u agħlaqha.
Imbagħad mexxi l-kmand li ġej biex taġġorna l-unitajiet systemd iġġenerati minn dawn il-fajls.
# systemctl daemon-reload
Backup LUKS Headers
Fl-aħħar nett, se nkopru kif tagħmel backup tal-headers LUKS. Dan huwa pass kritiku biex tevita li titlef id-dejta kollha fl-apparat tal-blokk ikkodifikat, f'każ li s-setturi li fihom l-headers LUKS jiġu mħassra jew minn żball tal-utent jew falliment tal-hardware. Din l-azzjoni tippermetti għall-irkupru tad-data.
Biex tagħmel backup tal-headers LUKS.
# mkdir /root/backups # cryptsetup luksHeaderBackup --header-backup-file luks-headers /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
U biex tirrestawra l-headers LUKS.
# cryptsetup luksHeaderRestore --header-backup-file /root/backups/luks-headers /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Dak kollox! F'dan l-artikolu, spjegajna kif tikkodifika l-apparati tal-blokk bl-użu ta 'LUKS fid-distribuzzjoni Fedora Linux. Għandek xi mistoqsijiet jew kummenti dwar dan is-suġġett jew gwida, uża l-formola ta' feedback hawn taħt biex tilħaqna.