So verschlüsseln Sie Laufwerke mit LUKS in Fedora Linux

In diesem Artikel werden wir kurz die Blockverschlüsselung und das Linux Unified Key Setup (LUXUS) und beschreibt die Anweisungen zum Erstellen eines verschlüsselten Blockgeräts unter Fedora Linux.

Blockieren Sie die Geräteverschlüsselung

Die Blockgeräteverschlüsselung wird verwendet, um die Daten auf einem Blockgerät durch Verschlüsselung zu sichern. Um Daten zu entschlüsseln, muss ein Benutzer eine Passphrase oder einen Schlüssel für den Zugriff angeben. Dies bietet zusätzliche Sicherheitsmechanismen, da der Inhalt des Geräts auch dann geschützt wird, wenn es physisch vom System getrennt wurde.

Einführung in LUKS

LUXUS (Linux Unified Key Setup) ist der Standard für die Blockgeräteverschlüsselung unter Linux, bei dem ein Format auf der Festplatte für die Daten und eine Richtlinie zur Verwaltung von Passphrasen / Schlüsseln festgelegt werden. Es speichert alle erforderlichen Setup-Informationen im Partitionsheader (auch bekannt als LUKS Header), sodass Sie Daten nahtlos transportieren oder migrieren können.

LUXUS Verwenden Sie das Kernel Device Mapper-Subsystem mit dem dm-crypt Modul zur Bereitstellung einer Zuordnung auf niedriger Ebene, die die Ver- und Entschlüsselung der Gerätedaten enthält. Mit dem Programm cryptsetup können Sie Aufgaben auf Benutzerebene ausführen, z. B. das Erstellen und Zugreifen auf verschlüsselte Geräte.

Blockgerät vorbereiten

Die folgenden Anweisungen zeigen die Schritte zum Erstellen und Konfigurieren verschlüsselter Blockgeräte nach der Installation.


Installiere das Cryptsetup Paket.

# dnf install cryptsetup-luks

Füllen Sie das Gerät anschließend mit zufälligen Daten, bevor Sie es verschlüsseln, da dies die Stärke der Verschlüsselung mit den folgenden Befehlen erheblich erhöht.

# dd if=/dev/urandom of=/dev/sdb1             [slow with high quality random data ]
OR
# badblocks -c 10240 -s -w -t random -v /dev/sdb1  [fast with high quality random data]
Füllen Sie das Gerät mit zufälligen Daten
Füllen Sie das Gerät mit zufälligen Daten

Warnung: Mit den obigen Befehlen werden alle auf dem Gerät vorhandenen Daten gelöscht.

Formatieren eines verschlüsselten Geräts

Verwenden Sie als Nächstes die Cryptsetup Befehlszeilentool zum Formatieren des Geräts als dm-crypt / LUKS verschlüsseltes Gerät.

# cryptsetup luksFormat /dev/sdb1

Nach dem Ausführen des Befehls werden Sie zur Eingabe aufgefordert YES (in Großbuchstaben), um zweimal eine Passphrase für das zu verwendende Gerät bereitzustellen, wie im folgenden Screenshot gezeigt.

Gerät mit LUKS formatieren
Gerät mit LUKS formatieren

Führen Sie den folgenden Befehl aus, um zu überprüfen, ob der Vorgang erfolgreich war.

# cryptsetup isLuks /dev/sdb1 && echo Success
Überprüfen Sie die Geräteformatierung
Überprüfen Sie die Geräteformatierung

Sie können eine Zusammenfassung der Verschlüsselungsinformationen für das Gerät anzeigen.

# cryptsetup luksDump /dev/sdb1
Informationen zur Geräteverschlüsselung
Informationen zur Geräteverschlüsselung

Erstellen einer Zuordnung, um den Zugriff auf einen entschlüsselten Inhalt zu ermöglichen

In diesem Abschnitt konfigurieren wir den Zugriff auf die entschlüsselten Inhalte des verschlüsselten Geräts. Wir werden ein Mapping mit dem Kernel Device Mapper erstellen. Es wird empfohlen, einen aussagekräftigen Namen für diese Zuordnung zu erstellen luk-uuid (wo wird durch das Gerät ersetzt LUXUS NEUUniversell eindeutiger Bezeichner).

So erhalten Sie Ihr verschlüsseltes Gerät UUIDFühren Sie den folgenden Befehl aus.

# cryptsetup luksUUID /dev/sdb1
Geräte-UUID abrufen
Geräte-UUID abrufen

Nach dem bekommen die UUIDkönnen Sie den Zuordnungsnamen wie gezeigt erstellen (Sie werden aufgefordert, die zuvor erstellte Passphrase einzugeben).

# cryptsetup luksOpen /dev/sdb1 luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c

Wenn der Befehl erfolgreich ist, wird ein Geräteknoten aufgerufen /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c welches das entschlüsselte Gerät darstellt.

Erstellen Sie den Gerätezuordnungsnamen
Erstellen Sie den Gerätezuordnungsnamen

Das soeben erstellte Blockgerät kann wie jedes andere unverschlüsselte Blockgerät gelesen und beschrieben werden. Sie können einige Informationen zum zugeordneten Gerät anzeigen, indem Sie den folgenden Befehl ausführen.

# dmsetup info /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Überprüfen Sie die zugeordneten Geräteinformationen
Überprüfen Sie die zugeordneten Geräteinformationen

Erstellen von Dateisystemen auf einem zugeordneten Gerät

Nun werden wir uns ansehen, wie Sie ein Dateisystem auf dem zugeordneten Gerät erstellen, mit dem Sie den zugeordneten Geräteknoten wie jedes andere Blockgerät verwenden können.

Führen Sie den folgenden Befehl aus, um ein ext4-Dateisystem auf dem zugeordneten Gerät zu erstellen.

# mkfs.ext4 /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Erstellen Sie ein Ext4-Dateisystem auf einem zugeordneten Gerät
Erstellen Sie ein Ext4-Dateisystem auf einem zugeordneten Gerät

Um das obige Dateisystem bereitzustellen, erstellen Sie einen Einhängepunkt dafür, z /mnt/encrypted-device und montieren Sie es dann wie folgt.

# mkdir -p /mnt/encrypted-device
# mount /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c /mnt/encrypted-device/

Fügen Sie Zuordnungsinformationen zu / etc / crypttab und / etc / fstab hinzu

Als Nächstes müssen wir das System so konfigurieren, dass automatisch eine Zuordnung für das Gerät eingerichtet und beim Booten bereitgestellt wird.

Sie sollten die Zuordnungsinformationen in der hinzufügen / etc / crypttab Datei im folgenden Format.

luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c  UUID=59f2b688-526d-45c7-8f0a-1ac4555d1d7c   none

im obigen Format:

  • luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c – ist der Mapping-Name
  • UUID = 59f2b688-526d-45c7-8f0a-1ac4555d1d7c – ist der Gerätename

Speichern Sie die Datei und schließen Sie sie.

Fügen Sie als Nächstes den folgenden Eintrag hinzu / etc / fstab um das zugeordnete Gerät beim Systemstart automatisch zu mounten.

/dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c  /mnt/encrypted-device  ext4 0 0

Speichern Sie die Datei und schließen Sie sie.

Führen Sie dann den folgenden Befehl aus Systemd aktualisieren aus diesen Dateien generierte Einheiten.

# systemctl daemon-reload

Backup LUKS Header

Zuletzt werden wir uns mit dem Sichern der LUKS-Header befassen. Dies ist ein kritischer Schritt, um zu vermeiden, dass alle Daten im verschlüsselten Blockgerät verloren gehen, falls die Sektoren, die die LUKS-Header enthalten, durch Benutzerfehler oder Hardwarefehler beschädigt werden. Diese Aktion ermöglicht die Datenwiederherstellung.

So sichern Sie die LUKS-Header

# mkdir /root/backups  
# cryptsetup luksHeaderBackup --header-backup-file luks-headers /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c

Und um die LUKS-Header wiederherzustellen.

# cryptsetup luksHeaderRestore --header-backup-file /root/backups/luks-headers /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c

Das ist alles! In diesem Artikel haben wir erklärt, wie Blockgeräte mit verschlüsselt werden LUXUS im Fedora Linux Verteilung. Wenn Sie Fragen oder Kommentare zu diesem Thema oder Leitfaden haben, verwenden Sie das unten stehende Feedback-Formular, um uns zu erreichen.

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *