-
Salatut pysyvät taltiot
Salatut pysyvät taltiot
Tässä artikkelissa kerrotaan, miten salattua pysyvää taltiota käytetään Poudassa. Taltio salataan virtuaalikoneen (VM) sisällä LUKSilla (Linux Unified Key Setup), mikä varmistaa, että taltiolle tallennettu data pysyy levossa salattuna. Vain käyttäjät, joilla on salauslause, voivat käyttää taltion sisältöä. Taltio salataan ja puretaan virtuaalikoneen sisällä LUKSilla.
Info
Jos käsittelet sensitiivistä dataa, harkitse Sensitiivisen datan palveluita tai ePoutaa, jotka on suunniteltu tähän tarkoitukseen.
Esivaatimukset
- Käynnissä oleva Pouta-VM. Katso Virtuaalikoneen luominen.
- VM:ään liitetty pysyvä taltio. Katso Taltion luominen ja liittäminen Poudan selainkäyttöliittymässä.
cryptsetup-paketti.
Uuden laitteen tunnistaminen
Kun taltio on liitetty, kirjaudu VM:ään SSH:n (Secure SHell) kautta ja listaa lohkolaitteet:
Järjestelmälevy on /dev/vda. Uusi liitetty taltio näkyy
seuraavana vapaana laitteena, yleensä /dev/vdb. Varmista, että sillä on odotettu koko
eikä tiedostojärjestelmää:
FSTYPE-sarakkeen pitäisi olla tyhjä. Tämän artikkelin loppuosa olettaa, että
laite on /dev/vdb.
Cryptsetupin asentaminen
Testauksessa käytetty Ubuntu 26.04 LTS -levykuva sisältää cryptsetup-paketin
oletuksena. Varmista asennus suorittamalla:
Jos cryptsetup ei ole asennettu, asenna se paketinhallinnalla.
Ubuntussa ja Debianissa:
Rocky Linuxissa ja AlmaLinuxissa:
LUKS-säiliön luominen
Alusta taltio LUKS2-säiliöksi. Tämä vaihe tehdään vain ensimmäisellä käyttökerralla:
Sinua pyydetään kirjoittamaan vahvistukseksi YES isoilla kirjaimilla ja sen jälkeen syöttämään
salauslause kahdesti. Valitse vahva salauslause ja tallenna se salasananhallintaan.
Varmista, että säiliö luotiin:
Tulosteessa näkyvät Version: 2, salausalgoritmi (aes-xts-plain64 oletuksena)
ja yksi käytössä oleva avainpaikka.
Säiliön avaaminen ja tiedostojärjestelmän luominen
LUKS-säiliön avaaminen luo puretun laitteen polkuun
/dev/mapper/<name>:
Sinulta kysytään salauslausetta. Nimi securedata on vapaavalintainen;
mikä tahansa nimi käy.
Luo XFS-tiedostojärjestelmä puretulle laitteelle:
Luo liitospiste ja liitä laite:
Vaihda omistajuus niin, että tavallinen käyttäjä voi kirjoittaa taltiolle. Alla oleva
esimerkki käyttää käyttäjää ubuntu.
Varmista tulos:
/dev/vdb näyttää arvon FSTYPE crypto_LUKS, ja sen alla oleva securedata-kuvaus
näyttää arvon FSTYPE xfs ja liitospisteen /media/securedata.
LUKS-otsakkeen varmuuskopiointi
LUKS-otsake sisältää metadatan ja avainpaikat, joita tarvitaan salatun taltion avaamiseen. Avainpaikat tallentavat salattuja versioita pääsalausavaimesta.
Jos otsake ylikirjoitetaan tai vioittuu, taltion data muuttuu pysyvästi palautuskelvottomaksi, vaikka oikea salauslause olisi tiedossa.
Luo otsakkeen varmuuskopio:
sudo cryptsetup luksHeaderBackup /dev/vdb \
--header-backup-file ~/vdb-luks-header.bin
sudo chmod 0400 ~/vdb-luks-header.bin
Kopioi otsakkeen varmuuskopio pois VM:ltä (esimerkiksi työasemallesi
käyttäen scp:tä). Sekä otsakkeen varmuuskopio että salauslause tarvitaan
taltion avaamiseen.
Salatun taltion hallinta
Säiliön sulkeminen
Ennen VM:n sammuttamista tai kun haluat tehdä taltiosta saavuttamattoman, irrota tiedostojärjestelmä ja sulje LUKS-säiliö:
Tämän jälkeen laite sisältää vain salattua dataa ja
/dev/mapper/securedata ei ole enää olemassa.
Säiliön avaaminen
Uudelleenkäynnistyksen jälkeen tai kun taltio tarvitaan uudelleen, avaa ja liitä se:
Tilan tarkistaminen
Taltion irrottaminen
Sulje aina LUKS-säiliö ennen taltion irrottamista:
Irrota sitten taltio VM:stä tämän ohjeen mukaisesti.
Warning
Taltion irrottaminen sen ollessa edelleen liitettynä tai avoinna voi vioittaa tiedostojärjestelmää.
Taltion liittäminen uudelleen
Sama salattu taltio voidaan liittää samaan tai toiseen VM:ään.
Kun olet liittänyt taltion VM:ään samalla tavalla kuin yllä, jatka seuraavasti:
lsblk
sudo cryptsetup luksOpen /dev/vdb securedata
sudo mount /dev/mapper/securedata /media/securedata
Sama salauslause vaaditaan, ja data säilyy muuttumattomana.
Info
Laitenimenä ei välttämättä ole /dev/vdb. Varmista aina
oikea laite komennolla lsblk ennen avaamista.
Salauslauseiden hallinta
LUKS2 tukee enintään 32 avainpaikkaa. Vähintään kahden salauslauseen käyttöä suositellaan, jotta toinen voidaan vaihtaa tai palauttaa, jos se unohtuu.
Lisää ylimääräinen salauslause:
Sinulta kysytään olemassa olevaa salauslausetta ja sitten uutta.
Poista salauslause:
Sinulta kysytään poistettavaa salauslausetta.
Warning
Älä poista viimeistä jäljellä olevaa salauslausetta. Taltio muuttuu palautuskelvottomaksi.
Listaa käytössä olevat avainpaikat:
Salaettujen taltioiden tilannevedokset
Luo tilannevedokset kuten on kuvattu kohdassa taltion tilannevedokset.
Kun uusi taltio luodaan tilannevedoksesta, se on avattava samalla salauslauseella, joka oli voimassa tilannevedoksen ottamisen aikaan.
Salatun taltion laajentaminen
Laajenna taltio kuten on kuvattu kohdassa Poudan selainkäyttöliittymässä liitetyn taltion koon kasvattaminen uuteen kokoon. Taltion koon kasvattamisen jälkeen lisätila ei ole vielä käytettävissä LUKS-säiliön tai tiedostojärjestelmän sisällä.
Irrota tiedostojärjestelmä VM:llä ja sulje salattu säiliö:
Irrota ja liitä sitten taltio uudelleen. Varmista, että /dev/vdb vastaa uutta kokoa:
lsblk-komennon pitäisi näyttää uusi koko.
Avaa sitten salattu säiliö uudelleen, muuta LUKS-kuvauksen kokoa, liitä tiedostojärjestelmä uudelleen ja kasvata XFS-tiedostojärjestelmää:
sudo cryptsetup luksOpen /dev/vdb securedata
sudo cryptsetup resize securedata
sudo mount /dev/mapper/securedata /media/securedata
sudo xfs_growfs /dev/mapper/securedata
Varmista uusi koko:
Lisätietoja taltion laajentamisesta on kohdassa Poudan selainkäyttöliittymässä liitetyn taltion koon kasvattaminen.