Giunsa ang Pag-encrypt sa mga Drive Gamit ang LUKS sa Fedora Linux
Niini nga artikulo, among ipasabut sa makadiyot mahitungod sa block encryption, Linux Unified Key Setup (LUKS), ug naghulagway sa mga instruksyon sa paghimo og encrypted block device sa Fedora Linux.
Ang block device encryption gigamit aron ma-secure ang data sa block device pinaagi sa pag-encrypt niini, ug aron ma-decrypt ang data, ang user kinahanglang maghatag ug passphrase o yawe aron ma-access. Naghatag kini og dugang nga mekanismo sa seguridad tungod kay gipanalipdan niini ang mga sulud sa aparato bisan kung kini pisikal nga nahimulag gikan sa sistema.
Ang LUKS (Linux Unified Key Setup) mao ang sumbanan alang sa block device encryption sa Linux, nga naglihok pinaagi sa pag-establisar og on-disk format para sa datos ug usa ka passphrase/key management policy. Gitipigan niini ang tanan nga kinahanglan nga kasayuran sa pag-setup sa header sa partition (nailhan usab nga header sa LUKS), sa ingon gitugotan ka sa pagdala o pagbalhin sa datos nga hapsay.
Gigamit sa LUKS ang kernel device mapper subsystem nga adunay dm-crypt module aron mahatagan og ubos nga lebel nga mapping nga nagkupot sa encryption ug decryption sa data sa device. Mahimo nimong gamiton ang programa sa cryptsetup aron ipatuman ang mga buluhaton sa lebel sa user sama sa paghimo ug pag-access sa mga naka-encrypt nga aparato.
Pag-andam og Block Device
Ang mosunod nga mga instruksyon nagpakita sa mga lakang sa paghimo ug pag-configure sa mga naka-encrypt nga block device human sa pag-instalar.
I-install ang pakete sa cryptsetup.
# dnf install cryptsetup-luks
Sunod, pun-a ang aparato sa random nga datos sa dili pa kini i-encrypt, tungod kay kini makadugang sa kalig-on sa pag-encrypt gamit ang mosunod nga mga sugo.
# dd if=/dev/urandom of=/dev/sdb1 [slow with high quality random data ] OR # badblocks -c 10240 -s -w -t random -v /dev/sdb1 [fast with high quality random data]
Pasidaan: Ang mga sugo sa ibabaw mopapas sa bisan unsang anaa nga datos sa device.
Pag-format sa usa ka Naka-encrypt nga Device
Sunod, gamita ang cryptsetup command-line tool para ma-format ang device isip dm-crypt/LUKS encrypted device.
# cryptsetup luksFormat /dev/sdb1
Human sa pagpadagan sa sugo, ikaw pagaaghaton sa pagsulod OO (sa uppercase) aron sa paghatag og passphrase kaduha alang sa device nga ma-format para magamit, sama sa gipakita sa mosunod nga screenshot.
Aron mapamatud-an kung malampuson ang operasyon, pagdagan ang mosunud nga mando.
# cryptsetup isLuks /dev/sdb1 && echo Success
Mahimo nimong tan-awon ang usa ka summary sa impormasyon sa pag-encrypt para sa device.
# cryptsetup luksDump /dev/sdb1
Paghimo og Mapping aron Tugotan ang Access sa usa ka Decrypted Content
Sa kini nga seksyon, among i-configure kung giunsa ang pag-access sa mga na-decrypted nga sulud sa na-encrypt nga aparato. Maghimo kami og mapping gamit ang kernel device-mapper. Girekomendar ang paghimo og makahuluganong ngalan alang niini nga pagmapa, sama sa luk-uuid (diin ang <uuid> gipulihan sa LUKS UUID sa device(Universally Unique Identifier).
Aron makuha ang imong naka-encrypt nga device nga UUID, padagana ang mosunod nga sugo.
# cryptsetup luksUUID /dev/sdb1
Human makuha ang UUID, mahimo nimong buhaton ang ngalan sa pagmapa ingon sa gipakita (giaghat ka sa pagsulod sa passphrase nga gihimo sa sayo pa).
# cryptsetup luksOpen /dev/sdb1 luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Kung malampuson ang command, usa ka node sa device nga gitawag og /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c nga nagrepresentar sa decrypted device.
Ang block device nga bag-o lang gimugna mahimong basahon ug isulat nga gusto sa bisan unsa nga unencrypted block device. Makita nimo ang pipila ka impormasyon bahin sa gimapa nga device pinaagi sa pagpadagan sa mosunod nga sugo.
# dmsetup info /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Paghimo sa mga Filesystem sa Mapped Device
Karon atong tan-awon kung giunsa paghimo ang usa ka filesystem sa gimapa nga aparato, nga magtugot kanimo sa paggamit sa mapped device node sama sa bisan unsang ubang block device.
Aron makamugna og ext4 filesystem sa gimapa nga device, padagana ang mosunod nga command.
# mkfs.ext4 /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Para i-mount ang naa sa ibabaw nga filesystem, paghimo og mount point para niini e.g /mnt/encrypted-device ug dayon i-mount kini sama sa mosunod.
# mkdir -p /mnt/encrypted-device # mount /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c /mnt/encrypted-device/
Idugang ang Mapping Information sa /etc/crypttab ug /etc/fstab
Sunod, kinahanglan namon nga i-configure ang sistema aron awtomatiko nga mag-set up sa usa ka mapping alang sa aparato ingon usab i-mount kini sa oras sa pag-boot.
Kinahanglan nimong idugang ang impormasyon sa pagmapa sa /etc/crypttab file, sa uban sa mosunod nga format.
luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c UUID=59f2b688-526d-45c7-8f0a-1ac4555d1d7c none
sa ibabaw nga pormat:
- luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c – mao ang ngalan sa pagmapa
- UUID=59f2b688-526d-45c7-8f0a-1ac4555d1d7c – mao ang ngalan sa device
I-save ang file ug isira kini.
Sunod, idugang ang mosunud nga entry sa/etc/fstab aron awtomatiko nga i-mount ang na-map nga aparato sa boot sa system.
/dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c /mnt/encrypted-device ext4 0 0
I-save ang file ug isira kini.
Dayon padagana ang mosunod nga sugo aron ma-update ang systemd units nga namugna gikan niini nga mga file.
# systemctl daemon-reload
I-backup ang LUKS Header
Katapusan, tabonan namon kung giunsa ang pag-back up sa mga ulohan sa LUKS. Kini usa ka kritikal nga lakang aron malikayan ang pagkawala sa tanan nga datos sa naka-encrypt nga block device, kung ang mga sektor nga adunay sulud nga mga ulohan sa LUKS nadaot tungod sa sayup sa gumagamit o pagkapakyas sa hardware. Kini nga aksyon nagtugot alang sa data recovery.
Aron i-backup ang mga ulohan sa LUKS.
# mkdir /root/backups # cryptsetup luksHeaderBackup --header-backup-file luks-headers /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Ug aron ibalik ang mga ulohan sa LUKS.
# cryptsetup luksHeaderRestore --header-backup-file /root/backups/luks-headers /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Kana lang! Sa kini nga artikulo, gipasabut namon kung giunsa ang pag-encrypt sa mga block device gamit ang LUKS sa pag-apod-apod sa Fedora Linux. Aduna ka bay mga pangutana o komento mahitungod niini nga hilisgutan o giya, gamita ang feedback nga porma sa ubos aron maabot kami.