LUKS teljes lemez titkosítási szerver útmutató

A LUKS (Linux Unified Key Setup) a teljes Linux blokkeszközt titkosítja, így a tartalom a főkulcs nélkül olvashatatlan. Egy ellopott meghajtó, egy leszerelt ház, egy elfeledett biztonsági másolat: ezek egyike sem teszi ki az adatait, ha a LUKS-t helyesen állította be. Ez a bejegyzés bemutatja, hogyan telepítheti a LUKS teljes lemez titkosítást egy szerveren, beleértve az LVM elrendezést, a kulcskezelést, a távoli feloldást és azokat a hibaállapotokat, amelyek miatt az emberek nem férnek hozzá a saját adataikhoz.

A referencia-megvalósítás itt a LUKS2, LVM-mel a titkosított konténerben, egy olyan Linux-kiszolgálón, amelynek CPU-ja AES-NI-t támogat. Ez a kombináció minden modern terhelést kezel, jól teljesít, és megfelel a HIPAA, PCI-DSS, GDPR és SOC 2 szabványok tárolt adatokra vonatkozó követelményeinek.

Miért LUKS2, és mit kell először ellenőrizni

A LUKS a dm-crypt segítségével a blokkeszköz rétegen titkosít, a főkulcsot pedig a LUKS fejlécében található kulcstárolókban tárolja. Ez a szétválasztás fontos: a jelszavakat cserélheti vagy új kulcsokat adhat hozzá anélkül, hogy újra titkosítaná a lemezt.

A LUKS2 a jelenlegi alapértelmezett beállítás. Legfeljebb 32 kulcsrést, JSON formátumú metaadatokat, online újratitkosítást és a --integrity flag segítségével. A LUKS1 8 kulcsrést támogat, és régebbi rendszereken jól működik, de az új telepítéseknél a LUKS2-t érdemes használni.

Az AES-NI használatával járó teljesítménycsökkenés a modern hardverek esetében általában 5% alatt marad. Indítás előtt ellenőrizze:

grep -o aes /proc/cpuinfo | head -1
cryptsetup benchmark

Ha a grep nem ad vissza semmit, akkor a CPU-jának nincs AES-NI-je, és a titkosítás nagy I/O-terhelés mellett CPU-függő lesz. cryptsetup benchmark megmutatja az egyes titkosítási algoritmusok átviteli sebességét, így kiválaszthatja a hardvere által támogatott leggyorsabbat. Ellenőrizze azt is, hogy a cryptsetup telepítve van-e, és hogy a dm-crypt kernel modul elérhető-e. Mindkettő alapértelmezés szerint megtalálható az Ubuntu, a Debian, az RHEL és az Arch rendszereken.

Lemez elrendezés

Két partíció marad titkosítatlan: az EFI rendszerpartíció (512 MB FAT32) és /boot (1–2 GB, ext4 vagy xfs). A GRUB-nak mindkettőt el kell olvasnia, mielőtt a jelszót kérné. Minden más a LUKS-konténerben található.

Az ajánlott elrendezés az LVM a LUKS-on belül: egy LUKS-konténer, amely egy LVM-kötetcsoportot tartalmaz, logikai kötetekkel a root, a swap és az adatpartíciók számára. Ez titkosítva tartja az LVM-metadatákat, és lehetővé teszi a kötetek átméretezését vagy pillanatfelvételének készítését anélkül, hogy az LVM-réteget érintené. A LUKS-on-LVM is működik, de ez felfedi a kötetcsoport szerkezetét.

Az ext4 a biztonságos alapértelmezett a gyökérkötet számára. Az xfs jobban kezeli a nagy fájlokat és a párhuzamos írásokat, ami fontos a média-, ML- és adatbázis-kiszolgálók számára. SSD-k és NVMe esetén adja hozzá az discard opciót a /etc/crypttab beállításhoz a TRIM engedélyezéséhez. A TRIM feltárja, mely szektorok vannak használatban, ami egy kis információszivárgást jelent. A legtöbb terhelésnél megéri a kopáskiegyenlítés előnye miatt. Ha a fenyegetési modellje magában foglalja az eszköz forenzikus elemzését, hagyja ki.

LUKS beállítása LVM-mel

Azonosítsa a céllemezt a lsblk parancsokkal, és törölje az esetleges meglévő metaadatokat:

wipefs -a /dev/sdX

Opcionálisan írja felül véletlenszerű adatokkal, hogy a titkosított blokkok ne legyenek megkülönböztethetők az üres területtől:

dd if=/dev/urandom of=/dev/sdX bs=1M status=progress

Inicializálja a LUKS2 konténert. Használja a --sector-size 4096 parancsot az NVMe és a 4K fizikai szektorokkal rendelkező modern SSD-k esetében:

cryptsetup luksFormat --type luks2 --sector-size 4096 /dev/sdX
cryptsetup luksOpen /dev/sdX cryptdata

Készítsen azonnal biztonsági másolatot a fejlécéről, mielőtt bármilyen adatot elhelyezne a lemezen:

cryptsetup luksHeaderBackup /dev/sdX --header-backup-file luks-header-backup.img

Hozzon létre LVM-et a feloldott konténer tetején, majd formázza a logikai köteteket:

pvcreate /dev/mapper/cryptdata
vgcreate vg_secure /dev/mapper/cryptdata
lvcreate -L 50G -n lv_root vg_secure
lvcreate -L 8G -n lv_swap vg_secure
 
mkfs.xfs /dev/vg_secure/lv_root
mkswap /dev/vg_secure/lv_swap

Adjon hozzá egy bejegyzést a /etc/crypttab az UUID-t használva, ne /dev/sdX, amely újraindítások között változhat. Szerezze be a blkid /dev/sdX:

cryptdata UUID=<your-uuid> none luks,discard

Ezután csatlakoztassa a /etc/fstab:

/dev/vg_secure/lv_root  /  xfs  defaults,noatime  0 1

Regenerálja az initramfs-t, hogy a titkosítási hookok betöltődjenek indításkor:

# Debian/Ubuntu
update-initramfs -u -k all
 
# RHEL/Fedora
dracut -f --regenerate-all

Indítsa újra a rendszert, írja be a jelszót, és erősítse meg a beállítást a cryptsetup status cryptdata és lsblk -f. Az utóbbi crypto_LUKS -t kell megjelenítenie az FSTYPE mezőben a titkosított partíción.

Kulcskezelés és távoli feloldás

A LUKS2 32 kulcshelyet támogat. Kezdetben legalább hármat használjon: egy rendszergazdai jelszót, egy offline tárolt helyreállítási kulcsot (kinyomtatva és elzárva, vagy titkosított USB-n egy széfben), valamint egy kulcsfájlt a másodlagos adatkötetek automatikus feloldásához. Tartsa be a 95 nyomtatható ASCII karaktert, mert a nem ASCII karakterek billentyűzetkiosztási problémákat okoznak a rendszerindítási parancssorban, amelyek hibakeresése rendkívül bosszantó. Cserélje le az admin jelszót, amikor valaki, aki hozzáféréssel rendelkezik, elhagyja a csapatot.

Az aktív helyeket a cryptsetup luksDump /dev/sdX, adjon hozzá kulcsot a cryptsetup luksAddKey, és vonjon vissza egyet a cryptsetup luksKillSlot. Védje a kulcsfájlokat szigorú jogosultságokkal:

chmod 0400 /etc/luks/keyfile.bin

A távoli adatközpontokban található, képernyő nélküli szerverek esetében a jelszó-parancssor problémát jelent. Háromféle módon lehet ezt kezelni:

A Dropbear egy apró SSH-kiszolgálót futtat az initramfs-ben. Indítás után SSH-n keresztül jelentkezik be, és manuálisan adja meg a jelszót. A Clevis a Tang-gal hálózati alapú lemez titkosítást használ: a szerver feloldja magát, amíg elérhető a megbízható hálózaton lévő Tang szerver. A Tang nem tárolja a kulcsát, hanem a McCallum-Relyea csere egyik felét biztosítja. Használjon több Tang szervert a sss pin segítségével, így a feloldás akkor is működik, ha az egyik offline. A TPM 2.0-hoz való kapcsolódás systemd-cryptenroll a kulcsot a PCR 7-hez (Secure Boot állapot) köti, így a szerver csak akkor oldja fel a zárat, ha a firmware-t és a bootloadert nem módosították. TPM használata esetén mindig tartson fenn egy jelszó-kulcshelyet tartaléknak, mert a firmware-frissítések megváltoztatják a PCR-értékeket.

Biztonsági megerősítés és a kizárások elkerülése

Használjon legalább 20 karakterből álló jelszavakat. Engedélyezze a hitelesített titkosítást --integrity már luksFormat ha a fenyegetési modellje nem csupán a titkosságot, hanem az adatok meghamisítását is magában foglalja. Ez írási amplifikációs költségekkel jár, ezért először végezzen teljesítménytesztet.

Ne klónozza a LUKS-konténert gépek között. A kötetkulcs is átmásolódik vele, így a jelszó megváltoztatása az egyik gépen nem védi meg a másikat. Minden lemezt külön formázzon újra.

A biztonságos leszerelés érdekében cryptsetup erase /dev/sdX milliszekundumok alatt törli az összes kulcshelyet, így a lemez fizikai megsemmisítés nélkül helyrehozhatatlanná válik. Ez önmagában is erős érv amellett, hogy alapértelmezés szerint mindent titkosítsunk.

Gyakori hiba módok:

A legfontosabb hiba a fejléc sérülése. Ha a LUKS fejléc elveszik vagy megsérül, az adatok elvesznek. Nincs más helyreállítási lehetőség, csak a fejléc biztonsági másolatából történő visszaállítás. Tároljon egy másolatot külön adathordozón, ideális esetben két helyen, és soha ne a titkosított lemezen magán. Nem kritikus másodlagos kötetek esetén adjon hozzá nofail a /etc/crypttab , hogy a sikertelen csatlakoztatás ne akadályozza a rendszerindítást.

Az FDC dedikált szerverei olyan hardverrel kerülnek forgalomba, amely támogatja az AES-NI-t és a teljes lemez titkosítást. Konfiguráljon egy dedikált szervert, amikor készen áll a telepítésre.