自動解鎖 Linux 上的加密磁碟
從安全的角度來看,對敏感數據進行加密以保護其免受窺探和黑客的攻擊是很重要的。 Linux 統一密鑰設置 (LUKS)是一個很好的工具,也是 Linux 磁碟加密的通用標準。因為它將所有相關的設置信息存儲在分區頭部中,所以它使數據遷移變得簡單。
要使用 LUKS 配置加密磁碟或分區,你需要使用 cryptsetup 工具。不幸的是,加密磁碟的一個缺點是,每次系統重啟或磁碟重新掛載時,你都必須手動提供密碼。
然而, 網路綁定磁碟加密 (NBDE) 可以在沒有任何用戶干預的情況下自動安全地解鎖加密磁碟。它可以在一些 Linux 發行版中使用,包括從 Red Hat Enterprise Linux 7.4、CentOS 7.4 和 Fedora 24 開始,以及之後的後續版本。
NBDE 採用以下技術實現:
Tang 向 Clevis 客戶端提供加密密鑰。據 Tang 的開發人員介紹,這為密鑰託管服務提供了一個安全、無狀態、匿名的替代方案。
由於 NBDE 使用客戶端-伺服器架構,你必須同時配置客戶端和伺服器。你可以在你的本地網路上使用一個虛擬機作為 Tang 伺服器。
伺服器安裝
用 sudo 安裝 Tang:
sudo yum install tang -y
啟用 Tang 伺服器:
sudo systemctl enable tangd.socket --now
Tang 伺服器工作在 80 埠,需加入到 firewalld 防火牆。添加相應的 firewalld 規則:
sudo firewall-cmd --add-port=tcp/80 --perm
sudo firewall-cmd --reload
現在安裝好了伺服器。
客戶端安裝
在本例中,假設你已經添加了一個名為 /dev/vdc
的新的 1GB 磁碟到你的系統中。
使用 fdisk
或 parted
創建主分區:
sudo fdisk /dev/vdc
完成以下步驟來安裝客戶端:
Welcome to fdisk (util-linux 2.23.2).
Changes will remain in memory only, until you decide to write them.
Be careful before using the write command.
Device does not contain a recognized partition table
Building a new DOS disklabel with disk identifier 0x4a6812d4.
Command (m for help):
輸入 n
來創建新的分區:
Partition type:
p primary (0 primary, 0 extended, 4 free)
e extended
Select (default p):
按下回車鍵選擇主分區:
Using default response p
Partition number (1-4, default 1):
按下回車鍵選擇默認分區號:
First sector (2048-2097151, default 2048):
Using default value 2048
Last sector, +sectors or +size{K,M,G} (2048-2097151, default 2097151):
按回車鍵選擇最後一個扇區:
Using default value 2097151
Partition 1 of type Linux and of size 1023 MiB is set
Command (m for help): wq
輸入 wq
保存更改並退出 fdisk
:
The partition table has been altered!
Calling ioctl() to re-read partition table.
Syncing disks.
運行 partprobe
通知系統分區表的變化:
sudo partprobe
使用 sudo
安裝 cryptsetup 軟體包:
sudo yum install cryptsetup -y
使用 cryptsetup luksFormat
命令對磁碟進行加密。當提示時,你需要輸入大寫的 YES
,並輸入密碼來加密磁碟:
sudo cryptsetup luksFormat /dev/vdc1
WARNING!
========
This will overwrite data on /dev/vdc1 irrevocably.
Are you sure? (Type uppercase yes):
Enter passphrase for /dev/vdc1:
Verify passphrase:
使用 cryptsetup luksOpen
命令將加密的分區映射到一個邏輯設備上。例如,使用 encryptedvdc1
作為名稱。你還需要再次輸入密碼:
sudo cryptsetup luksOpen /dev/vdc1 encryptedvdc1
Enter passphrase for /dev/vdc1:
加密分區現在在 /dev/mapper/encryptedvdc1
中可用。
在加密的分區上創建一個 XFS 文件系統:
sudo mkfs.xfs /dev/mapper/encryptedvdc1
創建一個掛載加密分區的目錄:
sudo mkdir /encrypted
使用 cryptsetup luksClose
命令鎖定分區:
cryptsetup luksClose encryptedvdc1
使用 sudo
安裝 Clevis 軟體包:
sudo yum install clevis clevis-luks clevis-dracut -y
修改 /etc/crypttab
,在啟動時打開加密卷:
sudo vim /etc/crypttab
增加以下一行:
encryptedvdc1 /dev/vdc1 none _netdev
修改 /etc/fstab
,在重啟時或啟動時自動掛載加密卷:
sudo vim /etc/fstab
增加以下一行:
/dev/mapper/encryptedvdc1 /encrypted xfs _netdev 1 2
在這個例子中,假設 Tang 伺服器的 IP 地址是 192.168.1.20
。如果你喜歡,也可以使用主機名或域名。
運行以下 clevis
命令:
sudo clevis bind luks -d /dev/vdc1 tang '{"url":"http://192.168.1.20"}'
The advertisement contains the following signing keys:
rwA2BAITfYLuyNiIeYUMBzkhk7M
Do you wish to trust these keys? [ynYN] Y
Enter existing LUKS password:
輸入 Y
接受 Tang 伺服器的密鑰,並提供現有的 LUKS 密碼進行初始設置。
通過 systemctl
啟用 clevis-luks-askpass.path
,以防止非根分區被提示輸入密碼。
sudo systemctl enable clevis-luks-askpass.path
客戶端已經安裝完畢。現在,每當你重啟伺服器時,加密後的磁碟應該會自動解密,並通過 Tang 伺服器取回密鑰進行掛載。
如果 Tang 伺服器因為任何原因不可用,你需要手動提供密碼,才能解密和掛載分區。
via: https://opensource.com/article/20/11/nbde-linux
作者:Curt Warfield 選題:lujun9972 譯者:geekpi 校對:wxy
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive