Ghidul serverului de criptare completă a discului LUKS

LUKS (Linux Unified Key Setup) criptează un întreg dispozitiv bloc Linux, astfel încât conținutul să fie ilizibil fără cheia principală. O unitate furată, un șasiu scos din uz, un disc de backup uitat: niciunul dintre acestea nu vă expune datele odată ce LUKS este configurat corect. Această postare acoperă modul de implementare a criptării complete a discului LUKS pe un server, inclusiv structura LVM, gestionarea cheilor, deblocarea de la distanță și modurile de eșec care îi împiedică pe utilizatori să acceseze propriile date.

Implementarea de referință de aici este LUKS2 cu LVM în interiorul containerului criptat, pe un server Linux cu AES-NI în CPU. Această combinație gestionează orice sarcină de lucru modernă, are performanțe bune și îndeplinește cerințele privind datele stocate din HIPAA, PCI-DSS, GDPR și SOC 2.

De ce LUKS2 și ce trebuie verificat mai întâi

LUKS criptează la nivelul dispozitivului bloc folosind dm-crypt, cheia principală fiind stocată în sloturi de chei din antetul LUKS. Această separare este importantă: puteți roti frazele de acces sau adăuga chei noi fără a recripta discul.

LUKS2 este setarea implicită actuală. Acesta acceptă până la 32 de sloturi de chei, metadate în format JSON, recriptare online și criptare autentificată prin intermediul --integrity flag. LUKS1 suportă 8 sloturi de chei și este potrivit pentru sistemele mai vechi, dar noile implementări ar trebui să înceapă cu LUKS2.

Surcharga de performanță cu AES-NI este de obicei sub 5% pe hardware-ul modern. Verificați înainte de a începe:

grep -o aes /proc/cpuinfo | head -1
cryptsetup benchmark

Dacă grep nu returnează nimic, procesorul dvs. nu are AES-NI și criptarea va fi limitată de procesor în condiții de I/O intens. cryptsetup benchmark afișează rata de transfer pe cifru, astfel încât să îl puteți alege pe cel mai rapid pe care îl suportă hardware-ul dvs. Confirmați, de asemenea, că cryptsetup este instalat și că modulul dm-crypt modulul kernel este disponibil. Ambele sunt incluse implicit în Ubuntu, Debian, RHEL și Arch.

Structura discului

Două partiții rămân necriptate: partiția de sistem EFI (512 MB FAT32) și /boot (1 până la 2 GB, ext4 sau xfs). GRUB trebuie să le citească pe amândouă înainte de a putea solicita fraza de parolă. Tot restul se află în interiorul containerului LUKS.

Structura recomandată este LVM în interiorul LUKS: un container LUKS care conține un grup de volume LVM, cu volume logice pentru root, swap și orice partiții de date. Acest lucru menține metadatele LVM criptate și vă permite să redimensionați sau să creați instantanee ale volumelor fără a atinge stratul LUKS. LUKS-on-LVM funcționează și el, dar expune structura grupului de volume.

ext4 este opțiunea implicită sigură pentru volumul rădăcină. xfs gestionează mai bine fișierele mari și scrierile paralele, ceea ce contează pentru serverele media, ML și de baze de date. Pentru SSD-uri și NVMe, adăugați opțiunea discard opțiunea /etc/crypttab pentru a activa TRIM. TRIM dezvăluie care sectoare sunt utilizate, ceea ce reprezintă o mică scurgere de informații. Pentru majoritatea sarcinilor de lucru, merită beneficiul egalizării uzurii. Dacă modelul dvs. de amenințare include analiza criminalistică a dispozitivului, lăsați-l dezactivat.

Configurarea LUKS cu LVM

Identificați discul țintă cu lsblk și ștergeți orice metadate existente:

wipefs -a /dev/sdX

Opțional, suprascrieți cu date aleatorii, astfel încât blocurile criptate să nu poată fi distinse de spațiul gol:

dd if=/dev/urandom of=/dev/sdX bs=1M status=progress

Inițializați containerul LUKS2. Utilizați --sector-size 4096 pentru NVMe și SSD-urile moderne cu sectoare fizice de 4K:

cryptsetup luksFormat --type luks2 --sector-size 4096 /dev/sdX
cryptsetup luksOpen /dev/sdX cryptdata

Faceți imediat o copie de rezervă a antetului, înainte de a stoca orice date pe disc:

cryptsetup luksHeaderBackup /dev/sdX --header-backup-file luks-header-backup.img

Creați LVM peste containerul deblocat, apoi formatați volumele logice:

pvcreate /dev/mapper/cryptdata
vgcreate vg_secure /dev/mapper/cryptdata
lvcreate -L 50G -n lv_root vg_secure
lvcreate -L 8G -n lv_swap vg_secure
 
mkfs.xfs /dev/vg_secure/lv_root
mkswap /dev/vg_secure/lv_swap

Adăugați o intrare la /etc/crypttab folosind UUID-ul, nu /dev/sdX, care se poate modifica între reporniri. Obțineți-l cu blkid /dev/sdX:

cryptdata UUID=<your-uuid> none luks,discard

Apoi montați prin /etc/fstab:

/dev/vg_secure/lv_root  /  xfs  defaults,noatime  0 1

Regenerați initramfs astfel încât cârligele de criptare să fie încărcate la pornire:

# Debian/Ubuntu
update-initramfs -u -k all
 
# RHEL/Fedora
dracut -f --regenerate-all

Reporniți, introduceți fraza de parolă și confirmați configurarea cu cryptsetup status cryptdata și lsblk -f. Acesta din urmă ar trebui să afișeze crypto_LUKS ca FSTYPE pe partiția criptată.

Gestionarea cheilor și deblocarea de la distanță

LUKS2 acceptă 32 de sloturi pentru chei. Folosiți cel puțin trei de la început: o parolă de administrator, o cheie de recuperare stocată offline (tipărită și păstrată sub cheie sau pe un USB criptat într-un seif) și un fișier cheie pentru deblocarea automată a volumelor secundare de date. Limitați-vă la cele 95 de caractere ASCII imprimabile, deoarece caracterele non-ASCII cauzează probleme de dispunere a tastaturii la promptul de pornire, care sunt extrem de dificil de depanat. Schimbați fraza de acces de administrator de fiecare dată când o persoană cu acces părăsește echipa.

Vizualizați sloturile active cu cryptsetup luksDump /dev/sdX, adăugați o cheie cu cryptsetup luksAddKeyși revocați una cu cryptsetup luksKillSlot. Protejați orice fișiere-cheie cu permisiuni stricte:

chmod 0400 /etc/luks/keyfile.bin

Pentru serverele fără monitor din centrele de date la distanță, solicitarea parolei este o problemă. Trei moduri de a o gestiona:

Dropbear rulează un mic server SSH în initramfs. Vă conectați prin SSH după pornire și introduceți fraza de parolă manual. Clevis cu Tang utilizează criptarea discului legată de rețea: serverul se deblochează singur atâta timp cât poate accesa un server Tang din rețeaua de încredere. Tang nu vă stochează cheia, ci furnizează o jumătate dintr-un schimb McCallum-Relyea. Utilizați mai multe servere Tang cu sss pin, astfel încât deblocarea să funcționeze în continuare dacă unul este offline. Legarea TPM 2.0 prin systemd-cryptenroll leagă cheia de PCR 7 (starea Secure Boot), astfel încât serverul se deblochează singur doar dacă firmware-ul și bootloader-ul nu au fost modificate. Păstrați întotdeauna o parolă ca soluție de rezervă atunci când utilizați TPM, deoarece actualizările de firmware modifică valorile PCR.

Consolidarea securității și evitarea blocării

Utilizați fraze de acces de cel puțin 20 de caractere. Activați criptarea autentificată cu --integrity din luksFormat dacă modelul dvs. de amenințare include alterarea datelor, nu doar confidențialitatea. Aceasta implică un cost de amplificare a scrierii, așa că efectuați mai întâi un test de performanță.

Nu clonați un container LUKS pe mai multe mașini. Cheia de volum se copiază odată cu acesta, așa că schimbarea frazei de acces pe o gazdă nu o va proteja pe cealaltă. Reformatați fiecare disc individual.

Pentru scoaterea din uz în condiții de siguranță, cryptsetup erase /dev/sdX șterge toate sloturile de chei în milisecunde, făcând discul irecuperabil fără distrugere fizică. Acest lucru este un argument puternic pentru criptarea tuturor datelor în mod implicit.

Moduri comune de defectare:

Modul de eșec care contează cel mai mult este corupția antetului. Dacă antetul LUKS este pierdut sau corupt, datele se pierd. Nu există recuperare fără a restaura dintr-o copie de rezervă a antetului. Păstrați o copie pe un suport separat, ideal în două locații, și niciodată pe discul criptat însuși. Pentru volumele secundare necritice, adăugați nofail la /etc/crypttab astfel încât o montare eșuată să nu blocheze boot-area.

Serverele dedicate FDC sunt livrate cu hardware care suportă AES-NI și criptarea completă a discului din fabrică. Configurați un server dedicat când sunteți gata de implementare.