Глава 22. Блокировка данных с помощью пароля LUKS в веб-консоли RHEL

Во вкладке веб-консоли Storage теперь можно создавать, блокировать, разблокировать, изменять размер и иным образом настраивать зашифрованные устройства, используя формат LUKS (Linux Unified Key Setup) версии 2.

Эта новая версия LUKS предлагает:

  • Более гибкая политика разблокировки
  • Более сильная криптография
  • Лучшая совместимость с будущими изменениями

Предпосылки

  • Установлена веб-консоль RHEL 8.

    Для получения более подробной информации смотрите раздел Установка веб-консоли.

  • Пакет cockpit-storaged установлен в Вашей системе.

22.1. шифрование диска LUKS

Linux Unified Key Setup-on-disk-формат (LUKS) позволяет шифровать блочные устройства и предоставляет набор инструментов, который упрощает управление зашифрованными устройствами. LUKS позволяет нескольким ключам пользователей расшифровывать мастер-ключ, который используется для группового шифрования раздела.

RHEL использует LUKS для шифрования блочных устройств. По умолчанию опция шифрования блочного устройства снята во время установки. Если Вы выберете опцию шифрования диска, то при каждой загрузке компьютера система будет запрашивать кодовую фразу. Эта кодовая фраза «разблокирует» основной ключ шифрования, который расшифровывает Ваш раздел. Если Вы выберете изменить таблицу разделов по умолчанию, Вы можете выбрать, какие разделы Вы хотите зашифровать. Это устанавливается в настройках таблицы разделов.

Что делает LUKS

  • LUKS шифрует целые блочные устройства и поэтому хорошо подходит для защиты содержимого мобильных устройств, таких как съемные носители информации или дисководы для ноутбуков.
  • Содержимое зашифрованного блочного устройства является произвольным, что делает его полезным для шифрования устройств подкачки. Это также может быть полезно для определенных баз данных, которые используют специально отформатированные блочные устройства для хранения данных.
  • LUKS использует существующую подсистему ядра устройства mapper.
  • LUKS обеспечивает укрепление пароля, которое защищает от атак по словарю.
  • Устройства LUKS содержат несколько слотов для ключей, что позволяет пользователям добавлять резервные ключи или парольные фразы.

Что делает LUKS not

  • Решения по шифрованию дисков, такие как LUKS, защищают данные только при выключенной системе. Как только система включена и LUKS расшифровал диск, файлы на этом диске доступны любому, кто обычно имеет к ним доступ.
  • LUKS не очень хорошо подходит для сценариев, которые требуют, чтобы многие пользователи имели различные ключи доступа к одному и тому же устройству. Формат LUKS1 предоставляет восемь слотов для ключей, LUKS2 - до 32 слотов для ключей.
  • LUKS не очень хорошо подходит для приложений, требующих шифрования на уровне файлов.

Шифры

Шифр по умолчанию, используемый для LUKS, - aes-xts-plain64. Размер ключа по умолчанию для LUKS - 512 бит. Размер ключа по умолчанию для LUKS с Anaconda (режим XTS) - 512 бит. Доступны шифры:

  • AES - Расширенный стандарт шифрования - FIPS PUB 197
  • Две рыбки (128-битный блочный шифр)
  • Змей

Дополнительные ресурсы