Linux: LUKS e vários discos rígidos

Question

Linux: LUKS e vários discos rígidos

#1 resposta do (6 votos)

10

Eu tenho um sistema Debian Linux (amd64) instalado em um dispositivo criptografado do sistema RAID-1 (LVM no LUKS) e terá um RAID-6 de > = 4 discos onde colocarei meus dados (LUKS e talvez LVM).

Acho que a idéia básica é desbloquear a partição criptografada do sistema (na inicialização local ou via ssh) e armazenar um arquivo de chave em / etc / crypttab para a partição criptografada em RAID-6. Isso representa um risco de segurança? Quero dizer ... é inútil se alguém pode entrar no meu sistema local / remotamente e eu acho que há muitos serviços em execução em servidores que são vulneráveis a "enraizar" (por exemplo, SSH). Existe uma alternativa (ao lado de desbloquear a partição via SSH, o que pode ser um problema, pois, por exemplo, as operações de backup começam mesmo antes da partição de dados ser montada).

Em outra máquina, eu usarei vários discos com o LUKS + greyhole (sem RAID-6) para Backups e será muito difícil destravar 10 discos, entendendo 10 vezes a mesma senha ...

security encryption luks raid linux

por user51166 24.02.2012 / 07:07

1 resposta

Tags security encryption luks raid linux

Como configuro o syslinux para inicializar imediatamente? emacs - cola texto da área de transferência sem formatar

score 6 · Answer 1

Você pode usar /lib/cryptsetup/scripts/decrypt_derived no seu crypttab para usar automaticamente a chave de um disco para outro.

O script decrypt_derived é parte do pacote cryptsetup do Debian.

Exemplo pequeno para adicionar a chave de sda6crypt a sda5:

/lib/cryptsetup/scripts/decrypt_derived sda6crypt > /path/to/mykeyfile
cryptsetup luksAddKey /dev/sda5 /path/to/mykeyfile
ls -la /dev/disk/by-uuid/ | grep sda5
echo "sda5crypt UUID=<uuid> sda6crypt luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived" >> /etc/crypttab
shred -u /path/to/mykeyfile # remove the keyfile

Como atualmente é muito difícil excluir um arquivo, assegure-se de que / path / to / mykeyfile esteja em uma unidade criptografada ( sda6crypt seria, no meu exemplo, uma boa solução).

Em geral, você pode adicionar uma camada de segurança adicional usando a criptografia do sistema de arquivos do espaço de usuário, por exemplo, via encfs .