Debian: Configuração Raid 1 Criptografada.

Navegue suas respostas
1

Nós temos um servidor Debian X64 que tem a seguinte configuração. Um único SSD de 512 GB, que possui nosso sistema operacional e dois HDDs de 2.0 TB que possuem dados como anexos, etc.

As duas unidades de 2,0 TB estão na configuração RAID-1. Por motivos de segurança, gostaria de criptografar essa configuração do RAID-1. O que não entendo é que até a unidade criptografada exigirá uma chave para descriptografar. Estes são os dois problemas que estou tendo:

  1. Como configurar um RAID-1 criptografado. Eu encontrei muitas coisas para o RAID com o LVM.
  2. Onde e como a chave será armazenada para descriptografar a unidade.

Aqui está minha configuração do RAID: 

mdadm --detail /dev/md0
/dev/md0:
        Version : 1.2
  Creation Time : Tue Feb  2 16:35:52 2016
     Raid Level : raid1
     Array Size : 1953382336 (1862.89 GiB 2000.26 GB)
  Used Dev Size : 1953382336 (1862.89 GiB 2000.26 GB)
   Raid Devices : 2
  Total Devices : 2
    Persistence : Superblock is persistent

    Update Time : Thu Feb 11 10:00:37 2016
          State : clean 
 Active Devices : 2
Working Devices : 2
 Failed Devices : 0
  Spare Devices : 0

           Name : domain:0  (local to host domain)
           UUID : e3750654:c7e1a24c:3f0a15b6:46f26d0d
         Events : 22

    Number   Major   Minor   RaidDevice State
       0       8        1        0      active sync   /dev/sda1
       1       8       17        1      active sync   /dev/sdb1

Qualquer ajuda seria legal. Obrigado.

    
por We are Borg 11.02.2016 / 10:12

2 respostas

2

Eu não concordo com o @Hennes answer - Criptografar o sistema de arquivos não é tão seguro quanto a criptografia de partições completa, e possivelmente mais difícil de usar - assim como mais lento.

A maneira típica de configurar a criptografia seria configurar o volume RAID1, depois o LVM e, em seguida, criptografar para o LVM. (Você pode pular o bit de volume do LVM, mas adiciona mais flexibilidade). Eu imagino que a maioria das distros permitirá que você faça isso em uma nova instalação - Isso é verdade para Ubuntu / Mint e, se você quiser trocar as camadas de LVM e criptografia aqui. Tenho certeza que você pode fazer isso com Redhat e derivativos também.

No que diz respeito ao armazenamento da chave - a criptografia de Full Disk usa LUKS , portanto, a chave é armazenada no cabeçalho do disco. e criptografado com sua frase secreta. Isso significa que você pode alterar sua senha sem precisar criptografar novamente o disco.

Ao executar um FS criptografado, é necessário inserir novamente a chave toda vez que você inicializar. (Se você usa criptografia de usuário Ubuntu, este não é o caso - ele pega a chave da senha do usuário - e também é menos seguro).

Informações estendidas após comentários

Como você construiu o array RAID 1, o primeiro passo é construir o LVM sobre ele. Você deve pesquisar no Google para entender completamente, mas existem 3 partes para isso -

  1. Use o comando pvcreate /dev/md0 torna o dispositivo RAID um LVM recurso.

  2. Adicione um grupo de volumes com o comando vgcreate RaidVG /dev/md0

  3. Crie um Volume Lógico usando um comando como lvcreate -n LVMVol RaidVG -L +1700G (é uma boa ideia garantir que o Volume Lógico seja menor que o tamanho total do disco para que você possa fazer instantâneos e outras coisas legais)

Isso criará um novo volume (semelhante a uma partição) chamado /dev/RaidVG/LVMVol , que você criptografaria. Para fazer isso, use o comando cryptsetup -u u-v luksFormat /dev/RaidVG/LVMVol para criar o volume.

Para montar o volume (e você precisará executar este comando toda vez que reiniciar o sistema), digite cryptsetup luksOpen /dev/RaidVG/LVMVol CryptVol - Isso solicitará que você insira uma senha e crie um novo volume / partição /dev/mapper/CryptVol que você pode operar - e todas as operações serão criptografadas.

Depois disso, é uma questão de criar o sistema de arquivos - por exemplo, mkfs.ext4 /dev/mapper/CryptVol e, em seguida, montá-lo mount /dev/mapper/CryptVol /path/to/mountpoint - Você precisará montar manualmente o volume toda vez que reiniciar o computador, depois de descriptografá-lo primeiro como acima.

    
por 11.02.2016 / 10:31
2

How to setup an encrypted RAID-1.

Maneira mais fácil: configurar um RAID 1 não criptografado e criptografar o sistema de arquivos. (Não o disco ou a partição).

Eu nunca fiz isso sozinho, mas parece que uma maneira de fazer isso é:

  • opções do cryptsetup luksFormat device
  • nome do dispositivo aberto cryptsetup
  • mkfs.fstype / dev / mapper / name (que é feito no dispositivo criptografado)

Where and how will the key be stored for decrypting the drive.

Ah, boa pergunta. A resposta deve ser 'nenhum lugar no computador'.
Além disso, é semelhante a uma fechadura com a chave ainda inserida.

Você precisará inserir a chave manualmente sempre que inicializar.

Aparentemente, você também pode armazená-lo em / etc / crypttab, mas sua segurança é significativamente menor. Isso impedirá que alguém apenas remova fisicamente os discos e leia o conteúdo. Mas se eles puderem acessar os discos, provavelmente também poderão acessar seu SSD e recuperar as chaves.

    
por 11.02.2016 / 10:15

Tags

Por que não consigo desanexar alguns diretórios do gerenciador de arquivos no windows 10 Fazendo download de vídeos Flash profundamente incorporados?