Wéi verschlësselte Drive mat LUKS a Fedora Linux
An dësem Artikel erkläre mir kuerz iwwer Blockverschlësselung, Linux Unified Key Setup (LUKS), a beschreift d'Instruktioune fir e verschlësselte Blockapparat am Fedora Linux ze kreéieren.
Block Apparat Verschlësselung gëtt benotzt fir d'Donnéeën op engem Blockapparat ze sécheren andeems se se verschlësselen, a fir Daten ze entschlësselen, muss e Benotzer e Passphrase oder Schlëssel ubidden fir Zougang. Dëst gëtt extra Sécherheetsmechanismen well et den Inhalt vum Apparat schützt och wann et physesch vum System getrennt ass.
LUKS (Linux Unified Key Setup) ass de Standard fir Block-Apparatverschlësselung a Linux, déi funktionnéiert andeems en op-Disk Format fir d'Donnéeën an eng Passphrase/Schlësselmanagementpolitik etabléiert ass. Et späichert all néideg Setupinformatioun am Partition Header (och bekannt als LUKS Header), sou datt Dir Daten nahtlos transportéiere kann oder migréieren.
LUKS benotzt de Kernel Apparat Mapper Subsystem mam dm-crypt Modul fir eng Low-Level Mapping ze bidden déi Verschlësselung an Entschlësselung vun den Apparatdaten hält. Dir kënnt de cryptsetup Programm benotzen fir Benotzer-Niveau Aufgaben auszeféieren wéi d'Erstelle an Zougang zu verschlësselte Geräter.
Preparéieren engem Block Apparat
Déi folgend Instruktioune weisen d'Schrëtt fir verschlësselte Blockgeräter no der Installatioun ze kreéieren an ze konfiguréieren.
Installéiert de cryptsetup Package.
# dnf install cryptsetup-luks
Als nächst, fëllt den Apparat mat zoufälleg Donnéeën ier Dir et verschlësselt, well dëst wäert d'Kraaft vun der Verschlësselung wesentlech erhéijen andeems Dir déi folgend Kommandoen benotzt.
# dd if=/dev/urandom of=/dev/sdb1 [slow with high quality random data ] OR # badblocks -c 10240 -s -w -t random -v /dev/sdb1 [fast with high quality random data]
Opgepasst: Déi uewe genannte Kommandoen wëschen all existent Daten um Apparat aus.
Formatéiere vun engem verschlësselte Gerät
Als nächst benotzt de cryptsetup Kommandozeil Tool fir den Apparat als dm-crypt/LUKS verschlësselte Gerät ze formatéieren.
# cryptsetup luksFormat /dev/sdb1
Nodeems Dir de Kommando ausgeführt hutt, gitt Dir opgefuerdert JO (a grousse Buschtawen) anzeginn fir e Passphrase zweemol ze liwweren fir den Apparat ze formatéieren fir ze benotzen, wéi am folgenden Screenshot gewisen.
Fir z'iwwerpréiwen ob d'Operatioun erfollegräich war, fuert de folgende Kommando.
# cryptsetup isLuks /dev/sdb1 && echo Success
Dir kënnt e Resumé vun der Verschlësselungsinformatioun fir den Apparat gesinn.
# cryptsetup luksDump /dev/sdb1
Mapping erstellen fir Zougang zu engem dekryptéierten Inhalt z'erméiglechen
An dëser Sektioun wäerte mir konfiguréieren wéi Zougang zum verschlësselten Apparat de verschlësselten Inhalt gëtt. Mir erstellen eng Mapping mam Kernel device-mapper. Et ass recommandéiert e sënnvollen Numm fir dës Mapping ze kreéieren, eppes wéi luk-uuid (wou <uuid> mam LUKS UUID vum Apparat(Universally Unique Identifier) ersat gëtt.
Fir Ären verschlësselten Apparat UUID ze kréien, fuert de folgende Kommando.
# cryptsetup luksUUID /dev/sdb1
Nodeems Dir den UUID kritt hutt, kënnt Dir de Mapping Numm erstellen wéi gewisen (Dir wäert gefuerdert ginn de Passphrase anzeginn, dee virdru erstallt gouf).
# cryptsetup luksOpen /dev/sdb1 luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Wann de Kommando erfollegräich ass, en Apparat Node genannt /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c deen den entschlësselten Apparat duerstellt.
De Blockapparat, dee just erstallt gouf, ka gelies a geschriwwe ginn wéi all aner onverschlësselte Blockapparat. Dir kënnt e puer Informatioun iwwer de mapéierten Apparat gesinn andeems Dir de folgende Kommando ausféiert.
# dmsetup info /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Erstellt Dateiesystemer op Mapped Device
Elo wäerte mir kucken wéi e Dateiesystem op dem mapéierten Apparat erstallt gëtt, wat Iech erlaabt de mapéierten Apparat Node just wéi all aner Blockapparat ze benotzen.
Fir en ext4 Dateiesystem op dem mapéierten Apparat ze kreéieren, fuert de folgende Kommando.
# mkfs.ext4 /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Fir dat uewe genannte Dateiesystem ze montéieren, erstellt e Montéierungspunkt dofir zB /mnt/encrypted-device an montéiert et dann wéi follegt.
# mkdir -p /mnt/encrypted-device # mount /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c /mnt/encrypted-device/
Füügt Mapping Informatioun un /etc/crypttab an /etc/fstab
Als nächst musse mir de System konfiguréieren fir automatesch eng Mapping fir den Apparat opzestellen an och beim Bootzäit ze montéieren.
Dir sollt d'Kaartinformatioun an der /etc/crypttab Datei addéieren, am mat dem folgenden Format.
luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c UUID=59f2b688-526d-45c7-8f0a-1ac4555d1d7c none
am uewe genannte Format:
- luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c – ass de Mapping Numm
- UUID=59f2b688-526d-45c7-8f0a-1ac4555d1d7c – ass den Apparatnumm
Späichert d'Datei a maach se zou.
Als nächst füügt de folgenden Entrée un /etc/fstab fir automatesch de mapéierten Apparat beim Systemboot ze montéieren.
/dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c /mnt/encrypted-device ext4 0 0
Späichert d'Datei a maach se zou.
Fuert dann de folgende Kommando fir systemd Eenheeten ze aktualiséieren, déi aus dëse Dateien generéiert ginn.
# systemctl daemon-reload
Backupsatellit LUKS Header
Schlussendlech wäerte mir decken wéi Dir d'LUKS Header backt. Dëst ass e kritesche Schrëtt fir ze vermeiden datt all Donnéeën am verschlësselte Blockapparat verléiert, am Fall wou d'Secteuren, déi d'LUKS Header enthalen, duerch entweder Benotzerfehler oder Hardwarefehler beschiedegt ginn. Dës Aktioun erlaabt Daten Erhuelung.
Fir Backupsatellit der LUKS Header.
# mkdir /root/backups # cryptsetup luksHeaderBackup --header-backup-file luks-headers /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
A fir d'LUKS-Header ze restauréieren.
# cryptsetup luksHeaderRestore --header-backup-file /root/backups/luks-headers /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Dat ass alles! An dësem Artikel hu mir erkläert wéi Dir Blockapparaten verschlësselt mat LUKS an der Fedora Linux Verdeelung. Hutt Dir Froen oder Kommentaren iwwer dëst Thema oder Guide, benotzt de Feedbackformular hei ënnen fir eis z'erreechen.