LUKS-i täieliku kettakrüptimise serveri juhend

LUKS (Linux Unified Key Setup) krüpteerib kogu Linuxi plokkseadme, nii et sisu on ilma peavõtmeta loetamatu. Varastatud kõvaketas, kasutusest kõrvaldatud korpus, unustatud varunduskettas: ükski neist ei avalda teie andmeid, kui LUKS on õigesti seadistatud. See postitus käsitleb LUKS-i täieliku kettakrüptimise rakendamist serveris, sealhulgas LVM-i paigutust, võtmehaldust, kaugavamist ja rikkeolukordi, mis takistavad inimestel juurdepääsu oma andmetele.

Siin kasutatakse viiteimplementatsioonina LUKS2-d koos LVM-iga krüpteeritud konteineris, Linuxi serveril, mille protsessoris on AES-NI. See kombinatsioon toime tuleb igasuguse kaasaegse töökoormusega, toimib hästi ja vastab HIPAA, PCI-DSS, GDPR ja SOC 2 nõuetele salvestatud andmete kohta.

Miks LUKS2 ja mida esmalt kontrollida

LUKS krüpteerib plokkseadme tasandil, kasutades dm-crypti, kusjuures peavõti on salvestatud LUKS-i päises asuvatesse võtmepesadesse. Sellel eraldamisel on tähtsus: saate vahetada salasõnu või lisada uusi võtmeid ilma ketast uuesti krüpteerimata.

LUKS2 on praegune vaikimisi valik. See toetab kuni 32 võtmeauku, JSON-vormingus metaandmeid, võrgus uuesti krüpteerimist ja autentimise kaudu krüpteerimist --integrity lipu kaudu. LUKS1 toetab 8 võtmeauku ja sobib vanematele süsteemidele, kuid uute süsteemide puhul tuleks alustada LUKS2-st.

AES-NI-ga seotud jõudluse lisakulu on kaasaegsel riistvaral tavaliselt alla 5%. Kontrollige enne alustamist:

grep -o aes /proc/cpuinfo | head -1
cryptsetup benchmark

Kui grep ei anna tulemust, puudub teie CPU-l AES-NI ja krüpteerimine sõltub CPU-st suure I/O koormuse korral. cryptsetup benchmark näitab läbilaskevõimet krüpteerimisalgoritmi kohta, nii et saate valida kiireima, mida teie riistvara toetab. Veenduge ka, et cryptsetup on installitud ja et dm-crypt tuumamoodul on saadaval. Mõlemad on vaikimisi kaasas Ubuntu, Debian, RHEL ja Arch süsteemides.

Ketta paigutus

Kaks partitsiooni jäävad krüpteerimata: EFI süsteemipartitsioon (512 MB FAT32) ja /boot (1–2 GB, ext4 või xfs). GRUB peab mõlemat lugema, enne kui saab küsida salasõna. Kõik muu asub LUKS-konteineris.

Soovitatav paigutus on LVM LUKS-i sees: üks LUKS-konteiner, mis sisaldab LVM-mahugruppi, milles on loogilised mahud juur-, vahetus- ja mis tahes andmepartitsioonidele. See hoiab LVM-i metaandmed krüpteeritud ja võimaldab teil mahte ümber mõõdustada või neist hetktõmmiseid teha, puutumata LUKS-kihti. LUKS-on-LVM toimib samuti, kuid see paljastab mahugrupi struktuuri.

ext4 on juurimahu jaoks turvaline vaikimisi valik. xfs töötleb suuremaid faile ja paralleelseid kirjutamisi paremini, mis on oluline meedia-, masinõppe- ja andmebaasiserverite jaoks. SSD-de ja NVMe puhul lisage discard valik /etc/crypttab , et lubada TRIM-i. TRIM näitab, millised sektorid on kasutusel, mis on väike infoleke. Enamiku töökoormuste puhul on see kulumise tasakaalustamise eelise tõttu seda väärt. Kui teie ohumudel hõlmab seadme kriminalistilist analüüsi, jätke see välja lülitatuks.

LUKS-i seadistamine LVM-iga

Määrake sihtketas kindlaks käsuga lsblk ja kustutage kõik olemasolevad metaandmed:

wipefs -a /dev/sdX

Võimaluse korral kirjutage üle juhuslike andmetega, et krüpteeritud plokke ei saaks eristada tühjast ruumist:

dd if=/dev/urandom of=/dev/sdX bs=1M status=progress

Initsialiseerige LUKS2-konteiner. Kasutage --sector-size 4096 NVMe ja kaasaegsete SSD-de puhul, millel on 4K füüsilised sektorid:

cryptsetup luksFormat --type luks2 --sector-size 4096 /dev/sdX
cryptsetup luksOpen /dev/sdX cryptdata

Tee kohe pealkirjast varukoopia, enne kui paned kettale mingeid andmeid:

cryptsetup luksHeaderBackup /dev/sdX --header-backup-file luks-header-backup.img

Loo LVM avatud konteineri peale, seejärel vorminda loogilised mahud:

pvcreate /dev/mapper/cryptdata
vgcreate vg_secure /dev/mapper/cryptdata
lvcreate -L 50G -n lv_root vg_secure
lvcreate -L 8G -n lv_swap vg_secure
 
mkfs.xfs /dev/vg_secure/lv_root
mkswap /dev/vg_secure/lv_swap

Lisa kanali /etc/crypttab kasutades UUID-d, mitte /dev/sdX, mis võib taaskäivituste vahel muutuda. Hankige see käsuga blkid /dev/sdX:

cryptdata UUID=<your-uuid> none luks,discard

Seejärel monteerige kaudu /etc/fstab:

/dev/vg_secure/lv_root  /  xfs  defaults,noatime  0 1

Genereerige initramfs uuesti, et krüpteerimishookid laaditaks käivitamisel:

# Debian/Ubuntu
update-initramfs -u -k all
 
# RHEL/Fedora
dracut -f --regenerate-all

Taaskäivita, sisesta salasõna ja kinnita seadistus käskuga cryptsetup status cryptdata ja lsblk -f. Viimane peaks näitama crypto_LUKS krüpteeritud partitsiooni FSTYPE-na.

Võtmehaldus ja kaugavamine

LUKS2 toetab 32 võtmeauku. Kasutage algusest peale vähemalt kolme: administraatori salasõna, offline-režiimis salvestatud taastamisvõti (välja trükitud ja lukustatud või krüpteeritud USB-mälupulgale seifis) ning võtmefail teise andmekandja automaatseks lukustuse avamiseks. Pidage kinni 95 trükitavast ASCII-märgist, sest mitte-ASCII-märgid põhjustavad käivitusaknas klaviatuuri paigutuse probleeme, mille lahendamine on äärmiselt tüütu. Vahetage administraatori salasõna iga kord, kui keegi, kellel on juurdepääs, lahkub meeskonnast.

Vaadake aktiivseid pesasid käsuga cryptsetup luksDump /dev/sdX, lisage võti käskuga cryptsetup luksAddKeyja tühista üks cryptsetup luksKillSlot. Kaitse kõiki võtmefaile rangete õigustega:

chmod 0400 /etc/luks/keyfile.bin

Kaugandmekeskuste peata serverite puhul on parooli küsitlemine probleem. Sellega toimetulekuks on kolm võimalust:

Dropbear käitab väikest SSH-serverit initramfs-is. Pärast käivitamist logite sisse SSH-ga ja sisestate salasõna käsitsi. Clevis koos Tangiga kasutab võrguga seotud kettakrüptimist: server avab end ise, kui ta suudab ühenduda usaldusväärses võrgus asuva Tang-serveriga. Tang ei salvesta teie võtit, vaid pakub ühte poolt McCallum-Relyea vahetusest. Kasutage mitut Tang-serverit koos sss piniga, et lukustuse avamine toimiks ka siis, kui üks neist on võrgust väljas. TPM 2.0 sidumine systemd-cryptenroll seob võtme PCR 7-ga (Secure Boot seisund), nii et server avab end ainult siis, kui püsivara ja käivituslaadijat ei ole rikutud. Hoidke TPM-i kasutamisel alati varuvõtmena salasõna võtmeauku, sest püsivara uuendused muudavad PCR-väärtusi.

Turvalisuse tugevdamine ja lukustumise vältimine

Kasutage vähemalt 20-tähelisi salasõnu. Lülitage sisse autentimise krüpteerimine --integrity kui luksFormat kui teie ohumudel hõlmab andmete võltsimist, mitte ainult konfidentsiaalsust. See toob kaasa kirjutusvõimenduse kulusid, seega tehke esmalt võrdlusanalüüs.

Ärge kloonige LUKS-konteinerit ühelt masinalt teisele. Mahu võti kopeeritakse koos sellega, seega salasõna muutmine ühel hostil ei kaitse teist. Vormindage iga ketas eraldi.

Turvaliseks kasutuselt kõrvaldamiseks cryptsetup erase /dev/sdX kustutab kõik võtmeaugud millisekundite jooksul, muutes ketta taastamatuks ilma füüsilise hävitamiseta. Juba see on tugev argument kõige vaikimisi krüpteerimise kasuks.

Tavalised rikkeviisid:

Kõige olulisem rikkeviis on päise rikkumine. Kui LUKS-päis on kadunud või rikutud, on andmed kadunud. Taastamine on võimalik ainult päise varukoopia abil. Säilita koopia eraldi andmekandjal, ideaalis kahes kohas, ja mitte kunagi krüpteeritud kettal endal. Mittekriitiliste sekundaarvolüümide puhul lisa nofail nii /etc/crypttab , et ebaõnnestunud mountimine ei takistaks käivitamist.

FDC pühendatud serverid tarnitakse riistvaraga, mis toetab AES-NI-d ja täielikku kettakrüptimist kohe kasutusvalmis olekus. Konfigureerige pühendatud server, kui olete valmis seda kasutusele võtma.