web-dev-qa-db-ja.com

Debian:暗号化されたRAID1のセットアップ。

次の設定を持つDebianX64サーバーがあります。私たちのOSを搭載した1つの512GBSSDと、添付ファイルなどのデータを搭載した2つの2.0TBHDD。

2台の2.0 TBドライブはRAID-1構成です。セキュリティ上の理由から、このRAID-1セットアップを暗号化したいと思います。私が理解していないのは、暗号化されたドライブでも復号化するにはキーが必要ですこれらは私が抱えている2つの問題です:

  1. 暗号化されたRAID-1をセットアップする方法。 LVMを使用したRAID用のものをたくさん見つけました。
  2. ドライブを復号化するために、キーはどこにどのように保存されますか。

これが私のレイド設定です:

mdadm --detail /dev/md0
/dev/md0:
        Version : 1.2
  Creation Time : Tue Feb  2 16:35:52 2016
     Raid Level : raid1
     Array Size : 1953382336 (1862.89 GiB 2000.26 GB)
  Used Dev Size : 1953382336 (1862.89 GiB 2000.26 GB)
   Raid Devices : 2
  Total Devices : 2
    Persistence : Superblock is persistent

    Update Time : Thu Feb 11 10:00:37 2016
          State : clean 
 Active Devices : 2
Working Devices : 2
 Failed Devices : 0
  Spare Devices : 0

           Name : domain:0  (local to Host domain)
           UUID : e3750654:c7e1a24c:3f0a15b6:46f26d0d
         Events : 22

    Number   Major   Minor   RaidDevice State
       0       8        1        0      active sync   /dev/sda1
       1       8       17        1      active sync   /dev/sdb1

どんな助けでもいいでしょう。ありがとうございました。

2
We are Borg

@Hennesの回答に同意しません-ファイルシステムの暗号化は、フルパーティション暗号化ほど安全ではなく、間違いなく使いにくいです-また、速度も遅くなります。

暗号化を設定する一般的な方法は、RAID1、次にLVM、次に暗号化をLVMボリュームに設定することです。 (LVMボリュームビットをスキップすることもできますが、柔軟性が向上します)。ほとんどのディストリビューションでは、新規インストールでこれを実行できると思います-これは buntu/Mint に当てはまり、 LVMおよび暗号化レイヤー を切り替えたい場合はここに。 Redhatとその派生物でもこれを実行できると確信しています。

キーを保存する限り-フルディスク暗号化は [〜#〜] luks [〜#〜] を使用するため、キーはディスクのヘッダーに保存され、パスフレーズで暗号化されます。これは、ディスクを再暗号化することなくパスフレーズを変更できることを意味します。

暗号化されたFSを実行する場合、起動するたびにキーを再入力する必要があります(Ubuntuユーザー暗号化を使用する場合、これは当てはまりません-ユーザーのパスワードからキーを取得します) -そしてその安全性も低い)。

コメント後の拡張情報

RAID 1アレイを構築したので、最初のステップはその上にLVMを構築することです。あなたはそれを完全に理解するためにグーグルするべきです、しかしこれには3つの部分があります-

  1. コマンドpvcreate /dev/md0を使用して、RAIDデバイスをLVMリソースにします。

  2. コマンドvgcreate RaidVG /dev/md0を使用してボリュームグループを追加します

  3. lvcreate -n LVMVol RaidVG -L +1700Gのようなコマンドを使用して論理ボリュームを作成します(スナップショットやその他の優れた機能を実行できるように、論理ボリュームがフルディスクサイズよりも小さいことを確認することをお勧めします)

これにより、/dev/RaidVG/LVMVolという新しいボリューム(パーティションと同様)が作成され、暗号化されます。これを行うには、コマンドcryptsetup -u u-v luksFormat /dev/RaidVG/LVMVolを使用してボリュームを作成します。

ボリュームをマウントするには(システムを再起動するたびにこのコマンドを実行する必要があります)、cryptsetup luksOpen /dev/RaidVG/LVMVol CryptVolと入力します-これにより、パスワードを入力してから、新しいボリューム/パーティション/dev/mapper/CryptVolを作成するように求められます。あなたは操作することができます-そしてすべての操作は暗号化されます。

この後、ファイルシステムを作成する必要があります-たとえば、mkfs.ext4 /dev/mapper/CryptVol、次にマウントしますmount /dev/mapper/CryptVol /path/to/mountpoint-もちろん、暗号化を解除した後、コンピュータを再起動するたびに手動でボリュームをマウントする必要があります上記のように最初に。

2
davidgo

暗号化されたRAID-1をセットアップする方法。

最も簡単な方法:暗号化されていないRAID 1をセットアップし、ファイルシステムを暗号化します。 (ディスクやパーティションはありません)。

私はこれを自分でやったことはありませんが、それを行う1つの方法は次のようです。

  • cryptsetupオプションluksFormatデバイス
  • cryptsetupオープンデバイス名
  • mkfs.fstype/dev/mapper/name(暗号化されたデバイスで実行されます)

ドライブを復号化するために、キーはどこにどのように保存されますか。

ああ、いい質問です。答えは「コンピュータのどこにもありません」である必要があります。
それ以外は、キーが挿入されたままのロックに似ています。

起動するたびに手動でキーを入力する必要があります。

どうやらそれを/ etc/crypttabに保存することもできますが、そうするとセキュリティが大幅に低下します。これにより、誰かがディスクを物理的に取り外して内容を読み取ることを防ぐことができます。ただし、ディスクにアクセスできる場合は、SSDにアクセスしてキーを取得することもできます。

2
Hennes