Cómo cifrar el sistema de archivos usando LUKS en Linux
La configuración de clave unificada de Linux (LUKS) es una especificación de cifrado de disco que puede ayudar a proteger los datos en los dispositivos en los que está configurado. Las principales empresas ahora han comenzado a adoptarlo en las estaciones de trabajo / computadoras portátiles que se entregan a los empleados para que los datos confidenciales puedan cifrarse. LUKS protege el sistema de archivos mediante una frase de contraseña que proporciona una capa adicional de seguridad.
El siguiente ejemplo creará un volumen lógico, cifrará la partición, formateará eso con el sistema de archivos ext4 y lo montará en RHEL 6. También puede usar LUKS para proteger una partición en lugar de LVM. Al configurar una partición o volumen lógico para LUKS, esté preparado con una frase de contraseña y recuérdelo.
Cargar los módulos del kernel
El primer paso es cargar los módulos dm_crypt y dm_mod. Una forma de hacerlo es con modprobe dm_crypt mando. Si tiene éxito, debería ver los siguientes módulos en la salida de ‘lsmod | comando grep dm_ ‘:
# modprobe dm_crypt # lsmod | grep dm_ dm_crypt 13022 0 dm_mod 81500 3 dm_crypt,dm_mirror,dm_log
Creemos un volumen lógico y cifrémoslo usando LUKS
1. Cree un volumen lógico
Primero deberá crear el dispositivo que desea cifrar. Puede ser un volumen lógico LVM o una partición.
Nota: Cree una nueva partición porque la creación de un volumen LUKS en el sistema de archivos existente borrará todo en ese sistema de archivos.
El siguiente ejemplo creará otro volumen lógico en el grupo de volúmenes existente. Asegúrese de que el VG sea redimensionable y tenga suficiente espacio para crear uno.
# vgs --> To see the free space VG #PV #LV #SN Attr VSize VFree vg_server 1 1 0 wz--n- 4.39g 990.00m # lvcreate -L 500M -n lv_luks vg_server Logical volume "lv_luks" created
2. Cifre el volumen lógico
Después de crear el dispositivo, debe formatearlo como un dispositivo encriptado. Para hacer eso, use el comando ‘cryptsetup luksFormat / dev / yourdevice’. Mientras hace esto, también establecerá la contraseña de descifrado. ¡Asegúrese de recordar esta contraseña, porque es la única forma de obtener acceso a un dispositivo una vez que ha sido encriptado!
# cryptsetup luksFormat /dev/mapper/vg_server-lv_luks WARNING! ======== This will overwrite data on /dev/mapper/vg_server-lv_luks irrevocably. Are you sure? (Type uppercase yes): YES Enter LUKS passphrase: Verify passphrase:
3. Crea un dispositivo
Debe abrir este dispositivo antes de poder hacer algo con él. Al abrirlo, asigna un nombre al dispositivo cifrado. Este nombre aparece en el directorio ‘/ dev / mapper’. Crearemos luis-dev1 como dispositivo que aparecerá en ‘/ dev / mapper’ y luego se usará para formatear y montar.
# cryptsetup luksOpen /dev/mapper/vg_server-lv_luks luks-dev1 Enter passphrase:
4. Cree un sistema de archivos en una partición cifrada
Ahora formatee el dispositivo cifrado con un comando como ‘mkfs.ext4’, el archivo del dispositivo debería estar disponible en el directorio ‘/ dev / mapper’.
# mkfs.ext4 /dev/mapper/luks-dev1 mke2fs 1.41.12 (17-May-2010) Filesystem label= OS type: Linux Block size=1024 (log=0) Fragment size=1024 (log=0) Stride=0 blocks, Stripe width=0 blocks 128016 inodes, 512000 blocks 25600 blocks (5.00%) reserved for the super user First data block=1 Maximum filesystem blocks=67633152 63 block groups 8192 blocks per group, 8192 fragments per group 2032 inodes per group Superblock backups stored on blocks: 8193, 24577, 40961, 57345, 73729, 204801, 221185, 401409 Writing inode tables: done Creating journal (8192) blocks): done Writing superblocks and filesystem accounting information This filesystem will be automatically checked every 30 mounts or 180 days, whichever comes first. Use tune2fs -c or -i to override.
5. El archivo / etc / crypttab
Si reiniciara ahora, el módulo dm_crypt ni siquiera se cargaría. Para configurar correctamente el sistema de archivos cifrado con LUKS, debe configurar el archivo ‘/ etc / crypttab’. Cada volumen cifrado obtiene una línea en ese archivo, con el siguiente formato:
Opciones de archivo de contraseña de volumen sin formato del dispositivo
El dispositivo es el archivo creado anteriormente en el directorio ‘/ dev / mapper / luks-dev1’. El volumen sin formato puede ser la partición o el LV que se ha cifrado. Establezca passphrase_file en none y RHEL 6 le solicitará una contraseña durante el arranque. Esto proporciona mayor seguridad. En caso de robo del dispositivo, el volumen cifrado no se puede iniciar sin proporcionar la frase de contraseña. Si no desea solicitar una frase de contraseña durante el arranque, entonces el archivo de frase de contraseña se puede configurar con 600 permisos.
Edit /etc/crypttab and enter as below: luks-dev1 /dev/mapper/vg_server-lv_luks none
6. Monte el sistema de archivos LUKS
Monte este sistema de archivos cifrado LUKS en el directorio que elija. Lo he montado en / LUKS
# mkdir /LUKS # mount -t ext4 /dev/mapper/luks-dev1 /LUKS
Agregue esta entrada en el archivo / etc / fstab para que pueda montarse durante el arranque.
/dev/mapper/luks-dev1 /LUKS ext4 defaults 1 2
Su volumen LUKS ahora está listo. Puede proteger / file system mientras instala Linux y cifrarlo. De esta manera, se puede cifrar todo su disco duro y se agrega una capa adicional de protección incluso si es robado porque Linux le pedirá una contraseña durante el arranque.