Κρυπτογράφηση πλήρους δίσκου LUKS: Linux Server Setup Guide

15 λεπτά ανάγνωσης - 5 Ιουνίου 2026

hero section cover
Πίνακας περιεχομένων
  • Οδηγός διακομιστή πλήρους κρυπτογράφησης δίσκου LUKS
  • Γιατί LUKS2 και τι πρέπει να ελέγξετε πρώτα
  • Διάταξη δίσκων
  • Ρύθμιση του LUKS με LVM
  • Διαχείριση κλειδιών και απομακρυσμένο ξεκλείδωμα
  • Ενίσχυση της ασφάλειας και αποφυγή κλειδώματος
Κοινοποίηση

Κρυπτογράφηση πλήρους δίσκου LUKS για διακομιστές Linux, που καλύπτει τη ρύθμιση του LUKS2, τη διάταξη LVM, τη διαχείριση κλειδιών, το απομακρυσμένο ξεκλείδωμα με Tang και TPM και τη σκλήρυνση.

Πίνακας περιεχομένων

Οδηγός διακομιστή πλήρους κρυπτογράφησης δίσκου LUKS

Το LUKS (Linux Unified Key Setup) κρυπτογραφεί ολόκληρη τη συσκευή μπλοκ Linux, έτσι ώστε το περιεχόμενο να είναι μη αναγνώσιμο χωρίς το κύριο κλειδί. Ένας κλεμμένος δίσκος, ένα αποσυρμένο πλαίσιο, ένας ξεχασμένος δίσκος αντιγράφων ασφαλείας: κανένα από αυτά δεν εκθέτει τα δεδομένα σας, εφόσον το LUKS έχει ρυθμιστεί σωστά. Αυτή η ανάρτηση καλύπτει τον τρόπο ανάπτυξης της πλήρους κρυπτογράφησης δίσκου LUKS σε έναν διακομιστή, συμπεριλαμβανομένης της διάταξης LVM, της διαχείρισης κλειδιών, του απομακρυσμένου ξεκλειδώματος και των τρόπων αστοχίας που εμποδίζουν τους χρήστες να έχουν πρόσβαση στα δικά τους δεδομένα.

Η εφαρμογή αναφοράς εδώ είναι το LUKS2 με LVM μέσα στον κρυπτογραφημένο περιέκτη, σε έναν διακομιστή Linux με AES-NI στην CPU. Αυτός ο συνδυασμός χειρίζεται κάθε σύγχρονο φόρτο εργασίας, έχει καλή απόδοση και πληροί τις απαιτήσεις για δεδομένα σε κατάσταση ηρεμίας σύμφωνα με τα πρότυπα HIPAA, PCI-DSS, GDPR και SOC 2.

Γιατί LUKS2 και τι πρέπει να ελέγξετε πρώτα

Το LUKS κρυπτογραφεί στο επίπεδο της συσκευής μπλοκ χρησιμοποιώντας το dm-crypt, με το κύριο κλειδί να αποθηκεύεται σε θέσεις κλειδιών (keyslots) μέσα στην κεφαλίδα του LUKS. Αυτή η διαχωριστική λειτουργία έχει σημασία: μπορείτε να εναλλάσσετε φράσεις πρόσβασης ή να προσθέτετε νέα κλειδιά χωρίς να κρυπτογραφείτε εκ νέου το δίσκο.

Το LUKS2 είναι η τρέχουσα προεπιλογή. Υποστηρίζει έως και 32 θέσεις κλειδιών, μεταδεδομένα σε μορφή JSON, επανακρυπτογράφηση online και κρυπτογράφηση με πιστοποίηση μέσω της --integrity flag. Το LUKS1 υποστηρίζει 8 keyslots και είναι κατάλληλο για παλαιότερα συστήματα, αλλά οι νέες εγκαταστάσεις θα πρέπει να ξεκινούν με το LUKS2.

Η επιβάρυνση στην απόδοση με το AES-NI είναι συνήθως κάτω από 5% σε σύγχρονο υλικό. Ελέγξτε πριν ξεκινήσετε:

grep -o aes /proc/cpuinfo | head -1
cryptsetup benchmark

Εάν η εντολή grep δεν επιστρέφει τίποτα, η CPU σας δεν διαθέτει AES-NI και η κρυπτογράφηση θα εξαρτάται από την CPU υπό βαριά I/O. cryptsetup benchmark δείχνει τη διακίνηση ανά κρυπτογράφηση, ώστε να μπορείτε να επιλέξετε την ταχύτερη που υποστηρίζει το υλικό σας. Επιβεβαιώστε επίσης ότι το cryptsetup είναι εγκατεστημένο και ότι το dm-crypt ενότητα του πυρήνα είναι διαθέσιμη. Και τα δύο παρέχονται από προεπιλογή σε Ubuntu, Debian, RHEL και Arch.

Διάταξη δίσκων

Δύο διαμερίσματα παραμένουν μη κρυπτογραφημένα: το διαμέρισμα συστήματος EFI (512 MB FAT32) και /boot (1 έως 2 GB, ext4 ή xfs). Το GRUB πρέπει να διαβάσει και τα δύο πριν ζητήσει τον κωδικό πρόσβασης. Όλα τα υπόλοιπα βρίσκονται μέσα στο κοντέινερ LUKS.

Η συνιστώμενη διάταξη είναι LVM μέσα στο LUKS: ένα κοντέινερ LUKS που περιέχει μια ομάδα τόμων LVM, με λογικούς τόμους για το root, το swap και τυχόν διαμερίσματα δεδομένων. Αυτό διατηρεί τα μεταδεδομένα LVM κρυπτογραφημένα και σας επιτρέπει να αλλάξετε το μέγεθος ή να δημιουργήσετε στιγμιότυπα τόμων χωρίς να αγγίξετε το επίπεδο LUKS. Το LUKS-on-LVM λειτουργεί επίσης, αλλά εκθέτει τη δομή της ομάδας τόμων.

ΔιαμέρισμαΜέγεθοςΣύστημα αρχείωνΚρυπτογραφημένο
Σύστημα EFI512 MB έως 1 GBFAT32Όχι
/boot1 έως 2 GBext4 / xfsΌχι
Κοντέινερ LUKSΕναπομένων χώρουLUKS2Ναι
Ρίζα LVM20 έως 100 GB+ext4 / xfsΝαι (μέσα στο LUKS)
LVM swapΊσο με τη μνήμη RAMswapΝαι (μέσα στο LUKS)

Το ext4 είναι η ασφαλής προεπιλογή για τον τόμο root. Το xfs χειρίζεται καλύτερα τα μεγάλα αρχεία και τις παράλληλες εγγραφές, κάτι που έχει σημασία για διακομιστές πολυμέσων, ML και βάσεων δεδομένων. Για SSD και NVMe, προσθέστε την discard επιλογή στο /etc/crypttab για να ενεργοποιήσετε το TRIM. Το TRIM αποκαλύπτει ποιοι τομείς χρησιμοποιούνται, κάτι που αποτελεί μια μικρή διαρροή πληροφοριών. Στις περισσότερες περιπτώσεις, αξίζει τον κόπο για το όφελος της εξισορρόπησης φθοράς. Εάν το μοντέλο απειλών σας περιλαμβάνει εγκληματολογική ανάλυση της συσκευής, αφήστε το απενεργοποιημένο.

Ρύθμιση του LUKS με LVM

Προσδιορίστε τον δίσκο προορισμού με lsblk και διαγράψτε τυχόν υπάρχοντα μεταδεδομένα:

wipefs -a /dev/sdX

Προαιρετικά, αντικαταστήστε τα με τυχαία δεδομένα, ώστε τα κρυπτογραφημένα μπλοκ να μην διακρίνονται από τον κενό χώρο:

dd if=/dev/urandom of=/dev/sdX bs=1M status=progress

Αρχικοποιήστε το κοντέινερ LUKS2. Χρησιμοποιήστε --sector-size 4096 για NVMe και σύγχρονα SSD με φυσικούς τομείς 4K:

cryptsetup luksFormat --type luks2 --sector-size 4096 /dev/sdX
cryptsetup luksOpen /dev/sdX cryptdata

Δημιουργήστε αντίγραφο ασφαλείας της κεφαλίδας αμέσως, πριν αποθηκεύσετε οποιαδήποτε δεδομένα στον δίσκο:

cryptsetup luksHeaderBackup /dev/sdX --header-backup-file luks-header-backup.img

Δημιουργήστε LVM πάνω από το ξεκλειδωμένο κοντέινερ και, στη συνέχεια, διαμορφώστε τους λογικούς τόμους:

pvcreate /dev/mapper/cryptdata
vgcreate vg_secure /dev/mapper/cryptdata
lvcreate -L 50G -n lv_root vg_secure
lvcreate -L 8G -n lv_swap vg_secure
 
mkfs.xfs /dev/vg_secure/lv_root
mkswap /dev/vg_secure/lv_swap

Προσθέστε μια καταχώριση στο /etc/crypttab χρησιμοποιώντας το UUID, όχι /dev/sdX, το οποίο μπορεί να αλλάξει μεταξύ των επανεκκινήσεων. Αποκτήστε το με blkid /dev/sdX:

cryptdata UUID=<your-uuid> none luks,discard

Στη συνέχεια, συνδέστε μέσω /etc/fstab:

/dev/vg_secure/lv_root  /  xfs  defaults,noatime  0 1

Αναδημιουργήστε το initramfs ώστε τα hooks κρυπτογράφησης να φορτώνονται κατά την εκκίνηση:

# Debian/Ubuntu
update-initramfs -u -k all
 
# RHEL/Fedora
dracut -f --regenerate-all

Επανεκκινήστε, εισαγάγετε τη φράση πρόσβασης και επιβεβαιώστε τη ρύθμιση με cryptsetup status cryptdata και lsblk -f. Το τελευταίο θα πρέπει να εμφανίζει crypto_LUKS ως FSTYPE στο κρυπτογραφημένο διαμέρισμα.

Διαχείριση κλειδιών και απομακρυσμένο ξεκλείδωμα

Το LUKS2 υποστηρίζει 32 θέσεις κλειδιών. Χρησιμοποιήστε τουλάχιστον τρεις από την αρχή: μια φράση πρόσβασης διαχειριστή, ένα κλειδί ανάκτησης αποθηκευμένο εκτός σύνδεσης (εκτυπωμένο και κλειδωμένο, ή σε κρυπτογραφημένο USB σε χρηματοκιβώτιο) και ένα αρχείο κλειδιών για αυτόματο ξεκλείδωμα δευτερευόντων τόμων δεδομένων. Περιοριστείτε στους 95 εκτυπώσιμους χαρακτήρες ASCII, επειδή οι μη ASCII προκαλούν προβλήματα διάταξης πληκτρολογίου στην προτροπή εκκίνησης που είναι εξοργιστικά να διορθωθούν. Αλλάξτε τη φράση πρόσβασης διαχειριστή κάθε φορά που κάποιος με πρόσβαση αποχωρεί από την ομάδα.

Δείτε τις ενεργές θέσεις με cryptsetup luksDump /dev/sdX, προσθέστε ένα κλειδί με cryptsetup luksAddKeyκαι ανακαλέστε ένα με cryptsetup luksKillSlot. Προστατέψτε όλα τα αρχεία κλειδιών με αυστηρά δικαιώματα:

chmod 0400 /etc/luks/keyfile.bin

Για διακομιστές χωρίς οθόνη σε απομακρυσμένα κέντρα δεδομένων, η γραμμή εντολών για τον κωδικό πρόσβασης αποτελεί πρόβλημα. Τρεις τρόποι για να το αντιμετωπίσετε:

ΜέθοδοςΚατάλληλο γιαΣυμβιβασμός
Dropbear στο initramfsΧειροκίνητο ξεκλείδωμα μέσω SSHΑπαιτείται ακόμα ανθρώπινη παρέμβαση κατά την επανεκκίνηση
Clevis + Tang (NBDE)Αυτόματο ξεκλείδωμα σε αξιόπιστο δίκτυοΟ διακομιστής πρέπει να συνδεθεί με τον διακομιστή Tang για να εκκινήσει
TPM2 μέσω systemd-cryptenrollΑυτοματοποίηση που εξαρτάται από το υλικόΟι ενημερώσεις υλικολογισμικού μπορούν να αλλάξουν τις τιμές PCR και να σας αποκλείσουν

Το Dropbear εκτελεί έναν μικρό διακομιστή SSH στο initramfs. Συνδέεστε μέσω SSH μετά την εκκίνηση και εισάγετε τη φράση πρόσβασης χειροκίνητα. Το Clevis με το Tang χρησιμοποιεί κρυπτογράφηση δίσκου που εξαρτάται από το δίκτυο: ο διακομιστής ξεκλειδώνεται μόνος του, αρκεί να μπορεί να επικοινωνήσει με έναν διακομιστή Tang στο αξιόπιστο δίκτυο. Το Tang δεν αποθηκεύει το κλειδί σας, αλλά παρέχει το μισό ενός ανταλλαγής McCallum-Relyea. Χρησιμοποιήστε πολλαπλούς διακομιστές Tang με το sss pin, ώστε το ξεκλείδωμα να συνεχίζει να λειτουργεί αν ένας είναι εκτός σύνδεσης. Η σύνδεση TPM 2.0 μέσω systemd-cryptenroll συνδέει το κλειδί με το PCR 7 (κατάσταση Secure Boot), οπότε ο διακομιστής ξεκλειδώνεται μόνο αν το firmware και ο bootloader δεν έχουν παραβιαστεί. Διατηρείτε πάντα μια θέση κλειδιού για τον κωδικό πρόσβασης ως εφεδρεία όταν χρησιμοποιείτε TPM, επειδή οι ενημερώσεις firmware αλλάζουν τις τιμές PCR.

Ενίσχυση της ασφάλειας και αποφυγή κλειδώματος

Χρησιμοποιήστε φράσεις πρόσβασης τουλάχιστον 20 χαρακτήρων. Ενεργοποιήστε την πιστοποιημένη κρυπτογράφηση με --integrity εάν luksFormat αν το μοντέλο απειλών σας περιλαμβάνει παραποίηση δεδομένων και όχι μόνο εμπιστευτικότητα. Αυτό συνεπάγεται κόστος ενίσχυσης εγγραφής, οπότε κάντε πρώτα συγκριτική αξιολόγηση.

Μην κλωνοποιείτε ένα κοντέινερ LUKS σε διαφορετικούς υπολογιστές. Το κλειδί του τόμου αντιγράφεται μαζί του, οπότε η αλλαγή της φράσης πρόσβασης σε έναν κεντρικό υπολογιστή δεν θα προστατεύσει τον άλλο. Διαμορφώστε εκ νέου κάθε δίσκο ξεχωριστά.

Για ασφαλή αποσύρση από την κυκλοφορία, cryptsetup erase /dev/sdX διαγράφει όλες τις θέσεις κλειδιών σε χιλιοστά του δευτερολέπτου, καθιστώντας τον δίσκο μη ανακτήσιμο χωρίς φυσική καταστροφή. Αυτό από μόνο του αποτελεί ένα ισχυρό επιχείρημα για την κρυπτογράφηση όλων των δεδομένων από προεπιλογή.

Συνηθισμένοι τρόποι βλάβης:

ΣύμπτωμαΠιθανή αιτίαΕπιδιόρθωση
Η εκκίνηση κολλάει στην προτροπή για τον κωδικό πρόσβασηςΑναντιστοιχία διάταξης πληκτρολογίουΑλλάξτε τη διάταξη ή χρησιμοποιήστε το κλειδί αποκατάστασης
«Η συσκευή δεν είναι έγκυρη συσκευή LUKS»Λανθασμένη διαδρομή συσκευήςΕλέγξτε lsblk για διαμέρισμα έναντι ολόκληρου δίσκου
Το πληκτρολόγιο δεν ανταποκρίνεται κατά την εκκίνησηΣειρά αγκίστρωσης InitramfsΤοποθετήστε keyboard πριν encrypt το mkinitcpio.conf
Το GRUB παραλείπει την προτροπή για τον κωδικό πρόσβασηςGRUB_ENABLE_CRYPTODISK δεν έχει οριστείΟρισμός GRUB_ENABLE_CRYPTODISK=y στο /etc/default/grub, επανεγκαταστήστε το GRUB
"Αποτυχία εύρεσης της συσκευής root"Λείπει lvm2 ή encrypt hooksΠροσθέστε hooks και εκτελέστε mkinitcpio -P

Η πιο σημαντική κατάσταση αποτυχίας είναι η καταστροφή της κεφαλίδας. Εάν η κεφαλίδα LUKS χαθεί ή καταστραφεί, τα δεδομένα χάνονται. Δεν υπάρχει δυνατότητα ανάκτησης εκτός από την επαναφορά από ένα αντίγραφο ασφαλείας της κεφαλίδας. Αποθηκεύστε ένα αντίγραφο σε ξεχωριστό μέσο, ιδανικά σε δύο τοποθεσίες, και ποτέ στον ίδιο τον κρυπτογραφημένο δίσκο. Για δευτερεύοντες τόμους που δεν είναι κρίσιμοι, προσθέστε nofail στο /etc/crypttab έτσι ώστε μια αποτυχημένη προσάρτηση να μην μπλοκάρει την εκκίνηση.

Οι αποκλειστικοί διακομιστές της FDC διατίθενται με υλικό που υποστηρίζει AES-NI και πλήρη κρυπτογράφηση δίσκου από την αρχή. Διαμορφώστε έναν αποκλειστικό διακομιστή όταν είστε έτοιμοι για ανάπτυξη.

background image
Ο διακομιστής σας εμποδίζει την ανάπτυξή σας;

Κουραστήκατε από αργές αναπτύξεις ή όρια εύρους ζώνης; Η FDC Servers προσφέρει άμεση αποκλειστική ισχύ, παγκόσμια εμβέλεια και ευέλικτα πακέτα κατασκευασμένα για κάθε κλίμακα. Έτοιμοι για αναβάθμιση;

Ξεκλειδώστε την απόδοση τώρα

Blog

Προτεινόμενα αυτή την εβδομάδα

Περισσότερα άρθρα
Έλεγχος κυκλοφορίας Linux (tc): πρακτικός οδηγός

Έλεγχος κυκλοφορίας Linux (tc): πρακτικός οδηγός

Ελέγξτε το εύρος ζώνης, δώστε προτεραιότητα στην κυκλοφορία και διαμορφώστε την είσοδο και την έξοδο στο Linux με το tc. Διαμόρφωση παραμέτρων HTB, IFB, DSCP και fq_codel σε λειτουργία για πραγματικούς διακομιστές.

12 λεπτά ανάγνωσης - 5 Ιουνίου 2026

Γιατί είναι σημαντικό να έχετε ένα ισχυρό και unmetered VPS

7 λεπτά ανάγνωσης - 9 Μαΐου 2025

Περισσότερα άρθρα
background image

Έχετε ερωτήσεις ή χρειάζεστε μια προσαρμοσμένη λύση

icon

Ευέλικτες επιλογές

icon

Παγκόσμια εμβέλεια

icon

Άμεση ανάπτυξη

icon

Ευέλικτες επιλογές

icon

Παγκόσμια εμβέλεια

icon

Άμεση ανάπτυξη