1

У нас есть сервер Debian X64, который имеет следующий конфиг. Один SSD-накопитель емкостью 512 ГБ, на котором установлена наша ОС, и два жестких диска объемом 2,0 ТБ с данными, такими как вложения и т.д.

Два диска емкостью 2,0 ТБ имеют конфигурацию RAID-1. В целях безопасности я хотел бы зашифровать эту настройку RAID-1. Я не понимаю, что даже для зашифрованного диска потребуется ключ для расшифровки. Вот две проблемы, которые у меня возникают:

  1. Как настроить зашифрованный RAID-1. Я нашел много вещей для RAID с LVM.
  2. Где и как будет храниться ключ для расшифровки диска.

Вот мой конфиг рейда:

mdadm --detail /dev/md0
/dev/md0:
        Version : 1.2
  Creation Time : Tue Feb  2 16:35:52 2016
     Raid Level : raid1
     Array Size : 1953382336 (1862.89 GiB 2000.26 GB)
  Used Dev Size : 1953382336 (1862.89 GiB 2000.26 GB)
   Raid Devices : 2
  Total Devices : 2
    Persistence : Superblock is persistent

    Update Time : Thu Feb 11 10:00:37 2016
          State : clean 
 Active Devices : 2
Working Devices : 2
 Failed Devices : 0
  Spare Devices : 0

           Name : domain:0  (local to host domain)
           UUID : e3750654:c7e1a24c:3f0a15b6:46f26d0d
         Events : 22

    Number   Major   Minor   RaidDevice State
       0       8        1        0      active sync   /dev/sda1
       1       8       17        1      active sync   /dev/sdb1

Любая помощь будет хорошей. Спасибо.

|источник

2 ответа2

2

Как настроить зашифрованный RAID-1.

Самый простой способ: настроить незашифрованный RAID 1 и зашифровать файловую систему. (Нет диска или раздела).

Я никогда не делал этого сам, но, кажется, один из способов сделать это:

  • параметры cryptsetup устройства luksFormat
  • cryptsetup открыть имя устройства
  • mkfs.fstype /dev /mapper /name (это делается на зашифрованном устройстве)

Где и как будет храниться ключ для расшифровки диска.

Ах, хороший вопрос. Ответ должен быть «нигде на компьютере».
Иначе это похоже на замок с ключом, все еще вставленным.

Вам нужно будет вручную вводить ключ при каждой загрузке.

Очевидно, вы также можете сохранить его в /etc /crypttab, но тогда ваша безопасность будет значительно ниже. Это предотвратит просто физическое удаление дисков и чтение содержимого. Но если они могут получить доступ к дискам, то они, вероятно, также могут получить доступ к вашему SSD и получить ключи.

|источник
2

Я не согласен с ответом @Hennes - шифрование файловой системы не так безопасно, как полное шифрование разделов, и, возможно, сложнее в использовании, а также медленнее.

Типичным способом настройки шифрования является настройка RAID1, затем LVM, затем шифрование на том LVM. (Вы можете пропустить бит громкости LVM, но это добавляет больше гибкости). Я полагаю, что большинство дистрибутивов позволят вам сделать это при новой установке - это верно для Ubuntu/Mint и, если вы хотите переключить уровни LVM и Encryption здесь. Я уверен, что вы можете сделать это с Redhat и производными.

Что касается хранения ключа - полное шифрование диска использует LUKS, поэтому ключ хранится в заголовке диска и шифруется вашей парольной фразой. Это означает, что вы можете изменить свою фразу-пароль без необходимости повторного шифрования диска.

При работе с зашифрованной FS вам необходимо вводить ключ каждый раз при загрузке. (Если вы используете пользовательское шифрование Ubuntu, это не так - он берет ключ от пароля пользователя - и это также менее безопасно).

Расширенная информация после комментариев

Поскольку вы создали массив RAID 1, первым шагом будет создание LVM поверх него. Вы должны Google для этого, чтобы полностью понять это, но есть 3 части к этому -

  1. Использование команды pvcreate /dev/md0 делает устройство RAID ресурсом LVM.

  2. Добавьте группу томов с помощью команды vgcreate RaidVG /dev/md0

  3. Создайте логический том с помощью такой команды, как lvcreate -n LVMVol RaidVG -L +1700G ( желательно, чтобы логический том был меньше полного размера диска, чтобы вы могли делать снимки и другие интересные вещи)

Это создаст новый том (похожий на раздел) с именем /dev/RaidVG/LVMVol , который вы затем зашифруете . Для этого используйте команду cryptsetup -u u-v luksFormat /dev/RaidVG/LVMVol для создания тома.

Чтобы смонтировать том (и вам нужно будет запускать эту команду каждый раз при перезапуске системы), введите cryptsetup luksOpen /dev/RaidVG/LVMVol CryptVol - это попросит вас ввести пароль, а затем создать новый том / раздел /dev/mapper/CryptVol которым вы можете работать - и все операции будут зашифрованы.

После этого необходимо создать файловую систему - например, mkfs.ext4 /dev/mapper/CryptVol , а затем смонтировать ее. mount /dev/mapper/CryptVol /path/to/mountpoint - Вам, конечно, нужно будет смонтировать вручную том каждый раз, когда вы перезагружаете компьютер, после дешифрования сначала, как указано выше.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .