লিনাক্স: LUKS এবং একাধিক হার্ড ড্রাইভ

আমার কাছে একটি ডেবিয়ান লিনাক্স সিস্টেম (amd64) একটি RAID-1 সিস্টেম এনক্রিপ্টড ডিভাইসে (LUKS- এ LVM) ইনস্টল করা আছে এবং আপনার>> 4 ডিস্কের একটি RAID-6 থাকবে যেখানে আমি আমার ডেটা (LUKS এবং সম্ভবত LVM) রাখব।

আমি মনে করি মূল ধারণাটি হ'ল সিস্টেম এনক্রিপ্ট করা পার্টিশনটি আনলক করা (স্থানীয় বুটে বা ssh এর মাধ্যমে) এবং RAID-6 এনক্রিপ্ট করা পার্টিশনের জন্য / etc / crypttab- এ একটি কীফাইল সংরক্ষণ করা। এটি কি কোনও সুরক্ষা ঝুঁকি সৃষ্টি করে? আমি বোঝাতে চাইছি ... যদি কেউ স্থানীয়ভাবে / দূরবর্তীভাবে আমার সিস্টেমে প্রবেশ করতে পারে এবং এটি আমার কাছে মনে হয় যে সার্ভারগুলিতে প্রচুর পরিষেবা রয়েছে যা "রুটিং" (যেমন এসএসএইচ) এর ঝুঁকির মধ্যে রয়েছে। বিকল্প আছে (এসএসএইচ দিয়ে পার্টিশন আনলক করার পাশাপাশি যা সমস্যা হতে পারে যেমন ডেটা পার্টিশন মাউন্ট হওয়ার আগেই ব্যাকআপ অপারেশন শুরু হয়)।

অন্য একটি মেশিনে আমি ব্যাকআপগুলির জন্য LUKS + গ্রেহোল (কোনও RAID-6 নেই) দিয়ে একাধিক ডিস্ক ব্যবহার করব এবং একই পাসওয়ার্ডটি 10 ​​বার প্রবেশ করে 10 টি ডিস্ক আনলক করা সত্যিই ব্যথা হবে ...

তুমি ব্যবহার করতে পার /lib/cryptsetup/scripts/decrypt_derivedcrypttab অন্যটিতে ডিস্ক থেকে কীটি স্বয়ংক্রিয়ভাবে ব্যবহার করতে আপনার ।

দ্য decrypt_derived স্ক্রিপ্ট ডেবিয়ান এর cryptsetup প্যাকেজের অংশ।

Sda6crypt থেকে sda5 এ কী যুক্ত করার জন্য ছোট উদাহরণ:

/lib/cryptsetup/scripts/decrypt_derived sda6crypt > /path/to/mykeyfile
cryptsetup luksAddKey /dev/sda5 /path/to/mykeyfile
ls -la /dev/disk/by-uuid/ | grep sda5
echo "sda5crypt UUID=<uuid> sda6crypt luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived" >> /etc/crypttab
shred -u /path/to/mykeyfile # remove the keyfile

যেহেতু আজকাল কোনও ফাইলকে সত্যিই মুছে ফেলা খুব কঠিন, তাই নিশ্চিত করুন যে / পথ / থেকে / মাইকিফিল কোনও এনক্রিপ্ট করা ড্রাইভে রয়েছে (sda6crypt আমার উদাহরণে এটি একটি ভাল সমাধান হতে পারে)।

সাধারণভাবে, আপনি ব্যবহারকারীর স্পেস ফাইল সিস্টেম এনক্রিপশন ব্যবহার করে যেমন অতিরিক্ত সুরক্ষা স্তর যুক্ত করতে পারেন encfs।

জোফেল উত্তরের উপর ভিত্তি করে, এখানে একই উদাহরণ তবে কোনও ফাইলটিতে কীটি সংরক্ষণ না করেই করা যায়। কীটি একটি নামী পাইপে পাস করা হয়েছে, যা ডিস্কে কোনও কিছু সঞ্চয় করে না।

/lib/cryptsetup/scripts/decrypt_derivedঅন্য ডিস্কের জন্য একটি ডিস্ক থেকে কীটি স্বয়ংক্রিয়ভাবে ব্যবহার করতে আপনি আপনার ক্রিপ্টটাবটিতে ব্যবহার করতে পারেন । decrypt_derivedস্ক্রিপ্ট ডেবিয়ান এর cryptsetup প্যাকেজের অংশ।

Sda6crypt থেকে sda5 এ কী যুক্ত করার জন্য পরিবর্তিত উদাহরণ:

mkfifo fifo
/lib/cryptsetup/scripts/decrypt_derived sda6crypt > fifo &
cryptsetup luksAddKey /dev/sda5 fifo
rm fifo

ls -la /dev/disk/by-uuid/ | grep sda5
echo "sda5crypt UUID=<uuid> sda6crypt luks,initramfs,keyscript=/lib/cryptsetup/scripts/decrypt_derived" >> /etc/crypttab

keyscriptবিকল্প শুধুমাত্র যদি কাজ করে crypttabডেবিয়ান মূল cryptsetup সরঞ্জাম দ্বারা প্রক্রিয়াকৃত হয়, systemd হল reimplementation বর্তমানে সমর্থন করে না। যদি আপনার সিস্টেমটি সিস্টেমড ব্যবহার করে (যা বেশিরভাগ সিস্টেমে থাকে), আপনার সিস্টেমে initramfsস্টার্ট শুরুর আগে ক্রিপসেটআপ সরঞ্জামগুলির মাধ্যমে আরআরআরডি তে প্রসেসিং করার জন্য জোর করার বিকল্প প্রয়োজন ।