Phenquestions
Funkcia šifrovania na úrovni súborového systému Btrfs stále nie je k dispozícii. Môžete však použiť šifrovací nástroj tretej strany, ako je dm-krypta na zašifrovanie celého úložného zariadenia vášho súborového systému Btrfs.
V tomto článku vám ukážem, ako šifrovať úložné zariadenia pridané do súborového systému Btrfs pomocou nástroja dm-crypt. Takže poďme na to.
Skratky
- LUKS - Linux Unified Key Setup
- HDD - Pevný disk
- SSD - Jednotka SSD
Predpoklady
Postupujte podľa tohto článku:
- Musíte bežať na pracovnej stanici Fedora 33 alebo na Ubuntu 20.04 LTS distribúcia Linuxu na vašom počítači.
- V počítači musíte mať voľný HDD / SSD.
Ako vidíte, mám HDD sdb na mojom Ubuntu 20.04 stroj LTS. Zašifrujem to a naformátujem pomocou súborového systému Btrfs.
$ sudo lsblk -e7
Inštalácia požadovaných balíkov na Ubuntu 20.04 LTS
Na šifrovanie pamäťových zariadení a ich formátovanie pomocou súborového systému Btrfs musíte mať btrfs-progs a kryptsetup balíčky nainštalované na vašom Ubuntu 20.04 stroj LTS. Našťastie sú tieto balíčky dostupné v oficiálnom úložisku balíkov Ubuntu 20.04 LTS.
Najskôr aktualizujte medzipamäť úložiska balíkov APT pomocou nasledujúceho príkazu:
$ sudo apt aktualizácia
Inštalovať btrfs-progs a kryptsetup, spustite nasledujúci príkaz:
Inštaláciu potvrdíte stlačením Y a potom stlačte <Zadajte>.
The btrfs-progs a kryptsetup balíčky a ich závislosti sa inštalujú.
The btrfs-progs a kryptsetup v tomto okamihu by mali byť nainštalované balíčky.
Inštalácia požadovaných balíkov na Fedore 33
Na šifrovanie pamäťových zariadení a ich formátovanie pomocou súborového systému Btrfs musíte mať btrfs-progs a kryptsetup balíčky nainštalované na vašom počítači pracovnej stanice Fedora 33. Našťastie sú tieto balíčky k dispozícii v oficiálnom úložisku balíkov pracovnej stanice Fedora 33.
Najskôr aktualizujte medzipamäť úložiska balíkov DNF pomocou nasledujúceho príkazu:
$ sudo dnf makecache
Inštalovať btrfs-progs a kryptsetup, spustite nasledujúci príkaz:
Pracovná stanica Fedora 33 štandardne používa súborový systém Btrfs. Je teda pravdepodobnejšie, že tieto balíčky už budete mať nainštalované, ako vidíte na snímke obrazovky nižšie. Ak z nejakého dôvodu nie sú nainštalované, budú nainštalované.
Generuje sa šifrovací kľúč
Skôr ako budete môcť zašifrovať svoje úložné zariadenia pomocou kryptsetup, musíte vygenerovať 64 bajtov dlhý náhodný kľúč.
Môžete vygenerovať šifrovací kľúč a uložiť ho do / etc / cryptkey súbor s nasledujúcim príkazom:
$ sudo dd if = / dev / urandom of = / etc / cryptkey bs = 64 count = 1
Mal by sa vygenerovať nový šifrovací kľúč a uložiť do súboru / etc / cryptkey spis.
Súbor šifrovacieho kľúča / etc / cryptkey si ich môže predvolene prečítať každý, ako vidíte na snímke obrazovky nižšie. Toto je bezpečnostné riziko. Chceme iba koreň užívateľ schopný čítať / zapisovať do súbor / etc / cryptkey.
Povoliť čítanie / zápis do servera iba root súbor / etc / cryptkey, zmeňte oprávnenie súboru nasledovne:
Ako vidíte, iba koreň užívateľ má povolenie na čítanie / zápis (rw) do / etc / cryptkey spis. Takže nikto iný nemôže vidieť, čo je v / etc / cryptkey spis.
Šifrovanie úložných zariadení pomocou dm-crypt
Teraz, keď ste vygenerovali šifrovací kľúč, môžete šifrovať svoje úložné zariadenie. povedzme, sdb, s technológiou šifrovania disku LUKS v2 (verzia 2):
$ sudo cryptsetup -v --typ luks2 luksFormat / dev / sdb / etc / cryptkey
kryptsetup vás vyzve na potvrdenie operácie šifrovania.
POZNÁMKA: Mali by ste odstrániť všetky dáta na vašom HDD / SSD. Nezabudnite teda presunúť všetky svoje dôležité údaje skôr, ako sa pokúsite zašifrovať pevný disk / SSD.
Na potvrdenie operácie šifrovania disku zadajte ÁNO (veľkými písmenami) a stlačte
V tomto okamihu je úložné zariadenie / dev / sdb by mali byť šifrované pomocou šifrovacieho kľúča / etc / cryptkey.
Otváranie šifrovaných úložných zariadení
Po zašifrovaní úložného zariadenia pomocou kryptsetup, musíte ho otvoriť pomocou kryptsetup nástroj na jeho použitie.
Môžete otvoriť šifrované úložné zariadenie sdb a namapujte ho na svoj počítač ako údaje úložné zariadenie nasledovne:
$ sudo cryptsetup open --key-file = / etc / cryptkey --typ luks2 / dev / sdb dáta
Teraz bude na ceste k dispozícii dešifrované úložné zariadenie / dev / mapovač / dáta. Požadovaný súborový systém musíte vytvoriť v priečinku / dev / mapovač / dátové zariadenie a namontovať / dev / mapovač / dátové zariadenie namiesto / dev / sdb odteraz.
Vytváranie súborového systému Btrfs na šifrovaných zariadeniach:
Vytvorenie súborového systému Btrfs na dešifrovanom úložnom zariadení / dev / mapovač / dáta s údajmi štítka spustite nasledujúci príkaz:
$ sudo mkfs.btrfs -L dáta / dev / mapovač / dáta
Na serveri by sa mal vytvoriť súborový systém Btrfs / dev / mapovač / zariadenie na ukladanie údajov, ktorý je dešifrovaný z úložného zariadenia / dev / sdb (šifrované pomocou LUKS 2).
Pripojenie šifrovaného súborového systému Btrfs
Môžete tiež pripojiť súborový systém Btrfs, ktorý ste vytvorili predtým.
Povedzme, že chcete pripojiť súborový systém Btrfs, ktorý ste vytvorili predtým v / údaje adresár.
Takže vytvorte / údaje adresár takto:
$ sudo mkdir -v / data
Ak chcete pripojiť súborový systém Btrfs vytvorený na serveri / dev / mapovač / zariadenie na ukladanie údajov v / údaje adresára, spustite nasledujúci príkaz:
Ako vidíte, súborový systém Btrfs bol vytvorený na šifrovanom úložnom zariadení sdb je namontovaný v / údaje adresár.
Automatické pripojenie šifrovaného súborového systému Btrfs pri štarte
Môžete tiež pripojiť šifrovaný súborový systém Btrfs počas bootovania.
Ak chcete pripojiť šifrovaný súborový systém Btrfs v čase zavádzania, musíte:
- dešifrovať úložné zariadenie / dev / sdb pri štarte pomocou / etc / cryptkey súbor šifrovacieho kľúča
- pripojiť dešifrované úložné zariadenie / dev / mapovač / dáta do / údaje adresár
Najskôr vyhľadajte UUID súboru sdb šifrované úložné zariadenie pomocou nasledujúceho príkazu:
$ sudo blkid / dev / sdb
Ako vidíte, UUID z sdb šifrované úložné zariadenie je 1c66b0de-b2a3-4d28-81c5-81950434f972. U teba to bude iné. Nezabudnite to teda odteraz meniť s tým svojim.
Automaticky dešifrovať sdb úložné zariadenie pri štarte, musíte doň pridať položku / etc / crypttab spis.
Otvor / etc / crypttab súbor s nano textový editor nasledovne:
$ sudo nano / etc / crypttab
Pridajte nasledujúci riadok na koniec súboru / etc / crypttab súbor, ak používate pevný disk.
Pridajte nasledujúci riadok na koniec súboru / etc / crypttab súbor, ak používate SSD.
data UUID = 1c66b0de-b2a3-4d28-81c5-81950434f972 / etc / cryptkey luks, noearly, discardPo dokončení stlačte <Ctrl> + X, nasledovaný Y, a <Zadajte> aby ste uložili / etc / crypttab spis.
Teraz nájdite UUID dešifrovaného / dev / mapovač / dáta úložné zariadenie s nasledujúcim príkazom:
Ako vidíte, UUID z / dev / mapovač / dáta dešifrované úložné zariadenie je dafd9d61-bdc9-446a-8b0c-aa209bfab98d. U teba to bude iné. Nezabudnite to teda odteraz meniť s tým svojim.
Na automatické pripojenie dešifrovaného úložného zariadenia / dev / mapovač / dáta v adresári / data v čase zavádzania systému, musíte preň pridať záznam na serveri / etc / fstab spis.
Otvor súbor / etc / fstab s nano textový editor nasledovne:
$ sudo nano / etc / fstab
Teraz pridajte nasledujúci riadok na koniec súboru / etc / fstab spis:
Po dokončení stlačte <Ctrl> + X, nasledovaný Y, a <Zadajte> aby ste uložili / etc / fstab spis.
Na záver reštartujte počítač, aby sa zmeny prejavili.
Šifrované úložné zariadenie sdb je dešifrovaný do a údaje pamäťové zariadenie a údaje úložné zariadenie je namontované v priečinku / údaje adresár.
Ako vidíte, súborový systém Btrfs, ktorý bol vytvorený na dešifrovaní / dev / mapovač / dáta úložné zariadenie je namontované v priečinku / údaje adresár.
Záver
V tomto článku som vám ukázal, ako šifrovať úložné zariadenie pomocou šifrovacej technológie LUKS 2 pomocou šifrovania. Dozviete sa tiež, ako dešifrovať šifrované úložné zariadenie a tiež ho naformátovať pomocou súborového systému Btrfs. Rovnako ako aj to, ako automaticky dešifrovať šifrované úložné zariadenie a pripojiť ho pri štarte. Tento článok by vám mal pomôcť začať so šifrovaním súborového systému Btrfs.
