LINUX

Cómo cifrar el sistema de archivos usando LUKS en Linux

0 151 3 minutos de lectura

La configuración de clave unificada de Linux (LUKS) es una especificación de cifrado de disco que puede ayudar a proteger los datos en los dispositivos en los que está configurado. Las principales empresas ahora han comenzado a adoptarlo en las estaciones de trabajo / computadoras portátiles que se entregan a los empleados para que los datos confidenciales puedan cifrarse. LUKS protege el sistema de archivos mediante una frase de contraseña que proporciona una capa adicional de seguridad.

El siguiente ejemplo creará un volumen lógico, cifrará la partición, formateará eso con el sistema de archivos ext4 y lo montará en RHEL 6. También puede usar LUKS para proteger una partición en lugar de LVM. Al configurar una partición o volumen lógico para LUKS, esté preparado con una frase de contraseña y recuérdelo.

Cargar los módulos del kernel

El primer paso es cargar los módulos dm_crypt y dm_mod. Una forma de hacerlo es con modprobe dm_crypt mando. Si tiene éxito, debería ver los siguientes módulos en la salida de ‘lsmod | comando grep dm_ ‘:

# modprobe dm_crypt
# lsmod | grep dm_
dm_crypt 13022 0
dm_mod 81500 3 dm_crypt,dm_mirror,dm_log

Creemos un volumen lógico y cifrémoslo usando LUKS

1. Cree un volumen lógico

Primero deberá crear el dispositivo que desea cifrar. Puede ser un volumen lógico LVM o una partición.

Nota: Cree una nueva partición porque la creación de un volumen LUKS en el sistema de archivos existente borrará todo en ese sistema de archivos.

El siguiente ejemplo creará otro volumen lógico en el grupo de volúmenes existente. Asegúrese de que el VG sea redimensionable y tenga suficiente espacio para crear uno.

# vgs --> To see the free space
VG #PV #LV #SN Attr VSize VFree
vg_server 1 1 0 wz--n- 4.39g 990.00m

# lvcreate -L 500M -n lv_luks vg_server
Logical volume "lv_luks" created

2. Cifre el volumen lógico

Después de crear el dispositivo, debe formatearlo como un dispositivo encriptado. Para hacer eso, use el comando ‘cryptsetup luksFormat / dev / yourdevice’. Mientras hace esto, también establecerá la contraseña de descifrado. ¡Asegúrese de recordar esta contraseña, porque es la única forma de obtener acceso a un dispositivo una vez que ha sido encriptado!

# cryptsetup luksFormat /dev/mapper/vg_server-lv_luks

WARNING!
========
This will overwrite data on /dev/mapper/vg_server-lv_luks irrevocably.

Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:

3. Crea un dispositivo

Debe abrir este dispositivo antes de poder hacer algo con él. Al abrirlo, asigna un nombre al dispositivo cifrado. Este nombre aparece en el directorio ‘/ dev / mapper’. Crearemos luis-dev1 como dispositivo que aparecerá en ‘/ dev / mapper’ y luego se usará para formatear y montar.

# cryptsetup luksOpen /dev/mapper/vg_server-lv_luks luks-dev1
Enter passphrase:

4. Cree un sistema de archivos en una partición cifrada

Ahora formatee el dispositivo cifrado con un comando como ‘mkfs.ext4’, el archivo del dispositivo debería estar disponible en el directorio ‘/ dev / mapper’.

# mkfs.ext4 /dev/mapper/luks-dev1
mke2fs 1.41.12 (17-May-2010)
Filesystem label=
OS type: Linux
Block size=1024 (log=0)
Fragment size=1024 (log=0)
Stride=0 blocks, Stripe width=0 blocks
128016 inodes, 512000 blocks
25600 blocks (5.00%) reserved for the super user
First data block=1
Maximum filesystem blocks=67633152
63 block groups
8192 blocks per group, 8192 fragments per group
2032 inodes per group
Superblock backups stored on blocks:
8193, 24577, 40961, 57345, 73729, 204801, 221185, 401409

Writing inode tables: done
Creating journal (8192) blocks): done
Writing superblocks and filesystem accounting information

This filesystem will be automatically checked every 30 mounts or
180 days, whichever comes first. Use tune2fs -c or -i to override.

5. El archivo / etc / crypttab

Si reiniciara ahora, el módulo dm_crypt ni siquiera se cargaría. Para configurar correctamente el sistema de archivos cifrado con LUKS, debe configurar el archivo ‘/ etc / crypttab’. Cada volumen cifrado obtiene una línea en ese archivo, con el siguiente formato:

Opciones de archivo de contraseña de volumen sin formato del dispositivo

El dispositivo es el archivo creado anteriormente en el directorio ‘/ dev / mapper / luks-dev1’. El volumen sin formato puede ser la partición o el LV que se ha cifrado. Establezca passphrase_file en none y RHEL 6 le solicitará una contraseña durante el arranque. Esto proporciona mayor seguridad. En caso de robo del dispositivo, el volumen cifrado no se puede iniciar sin proporcionar la frase de contraseña. Si no desea solicitar una frase de contraseña durante el arranque, entonces el archivo de frase de contraseña se puede configurar con 600 permisos.

Edit /etc/crypttab and enter as below:

luks-dev1                   /dev/mapper/vg_server-lv_luks             none

6. Monte el sistema de archivos LUKS

Monte este sistema de archivos cifrado LUKS en el directorio que elija. Lo he montado en / LUKS

# mkdir /LUKS
# mount -t ext4 /dev/mapper/luks-dev1 /LUKS

Agregue esta entrada en el archivo / etc / fstab para que pueda montarse durante el arranque.

/dev/mapper/luks-dev1   /LUKS      ext4      defaults     1 2

Su volumen LUKS ahora está listo. Puede proteger / file system mientras instala Linux y cifrarlo. De esta manera, se puede cifrar todo su disco duro y se agrega una capa adicional de protección incluso si es robado porque Linux le pedirá una contraseña durante el arranque.

Publicaciones relacionadas

Cómo instalar la CPU XMR STAK para Monero Mining en Ubuntu 16.04

Aplicación meteorológica de Linux para pronosticar de 1 a 5 días

Cómo configurar ELK Stack para centralizar registros en Ubuntu 16.04

Las mejores herramientas para crear una unidad USB de arranque de Linux

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar