लिनक्स: एलयूकेएस और कई हार्ड ड्राइव

मेरे पास एक डेबियन लिनक्स सिस्टम (amd64) एक RAID-1 सिस्टम एन्क्रिप्टेड डिवाइस (LVM LUKS पर) स्थापित है और एक RAID-6 का> = 4 डिस्क जहां मैं अपना डेटा (LUKS और शायद LVM) रखूंगा।

मुझे लगता है कि मूल विचार सिस्टम एन्क्रिप्टेड पार्टीशन (स्थानीय या ssh के माध्यम से बूट पर) को अनलॉक करने और RAID-6 एन्क्रिप्टेड पार्टीशन के लिए एक की / फाइल / क्रिप्टैब को स्टोर करने के लिए है। क्या यह सुरक्षा जोखिम पैदा करता है? मेरा मतलब है ... यह बहुत बेकार है अगर कोई भी मेरे सिस्टम को स्थानीय रूप से / दूरस्थ रूप से दर्ज कर सकता है और मुझे लगता है कि सर्वर पर बहुत सारी सेवाएं चल रही हैं जो "रूटिंग" (जैसे एसएसएच) की चपेट में हैं। क्या कोई विकल्प है (एसएसएच के माध्यम से विभाजन को अनलॉक करने के बाद जो कि एक समस्या हो सकती है जैसे कि बैकअप ऑपरेशन डेटा विभाजन के शुरू होने से पहले ही शुरू हो जाता है)।

एक और मशीन पर मैं बैकअप के लिए LUKS + greyhole (कोई RAID-6) के साथ कई डिस्क का उपयोग करूँगा और यह एक ही पासवर्ड से 10 गुना दर्ज करके 10 डिस्क को अनलॉक करने के लिए एक वास्तविक दर्द होगा ...

आप /lib/cryptsetup/scripts/decrypt_derivedअपने crypttabलिए उपयोग कर सकते हैं स्वचालित रूप से एक डिस्क से दूसरे के लिए कुंजी का उपयोग करने के लिए।

decrypt_derived स्क्रिप्ट डेबियन के cryptsetup पैकेज का हिस्सा है।

Sda6crypt से sda5 में कुंजी जोड़ने के लिए छोटा उदाहरण:

/lib/cryptsetup/scripts/decrypt_derived sda6crypt > /path/to/mykeyfile
cryptsetup luksAddKey /dev/sda5 /path/to/mykeyfile
ls -la /dev/disk/by-uuid/ | grep sda5
echo "sda5crypt UUID=<uuid> sda6crypt luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived" >> /etc/crypttab
shred -u /path/to/mykeyfile # remove the keyfile

जैसा कि आजकल किसी फ़ाइल को वास्तव में हटाना बहुत मुश्किल है, यह सुनिश्चित करें कि एन्क्रिप्टेड ड्राइव पर / पाथ / टू / मायकीफाइल है ( sda6cryptमेरे उदाहरण में एक अच्छा समाधान होगा)।

सामान्य तौर पर, आप उपयोगकर्ता स्थान फाइलसिस्टम एन्क्रिप्शन जैसे कि के माध्यम से एक अतिरिक्त सुरक्षा परत जोड़ सकते हैं encfs।

जोफल्स उत्तर के आधार पर, यहां एक ही उदाहरण है, लेकिन बिना किसी फ़ाइल में कुंजी को स्टोर किए बिना। कुंजी को एक नामित पाइप में पारित किया जाता है, जो डिस्क में कुछ भी संग्रहीत नहीं करता है।

आप /lib/cryptsetup/scripts/decrypt_derivedअपने crypttab में एक डिस्क से दूसरे के लिए स्वचालित रूप से कुंजी का उपयोग करने के लिए उपयोग कर सकते हैं । decrypt_derivedस्क्रिप्ट डेबियन के cryptsetup पैकेज का हिस्सा है।

Sda6crypt से sda5 में कुंजी जोड़ने के लिए संशोधित उदाहरण:

mkfifo fifo
/lib/cryptsetup/scripts/decrypt_derived sda6crypt > fifo &
cryptsetup luksAddKey /dev/sda5 fifo
rm fifo

ls -la /dev/disk/by-uuid/ | grep sda5
echo "sda5crypt UUID=<uuid> sda6crypt luks,initramfs,keyscript=/lib/cryptsetup/scripts/decrypt_derived" >> /etc/crypttab

keyscriptविकल्प केवल तभी काम करता है crypttabडेबियन के मूल cryptsetup उपकरण द्वारा संसाधित किया जाता है, systemd reimplementation वर्तमान में इसका समर्थन नहीं करता। यदि आपका सिस्टम systemd (जो कि ज्यादातर सिस्टम है) का उपयोग करता है, तो आपको सिस्टम के initramfsशुरू होने से पहले क्रिप्टसैप्टअप टूल्स द्वारा प्रोसेसिंग को फोर्स करने की जरूरत होती है।