Image

Bilgi Veritabanı → Luks Şifreli Dosyanın Otomatik Montajı

[Virtual sunucular]
Yayın tarihi: 20.01.2024

VDS Linux Üzerinde Şifreli Disk Oluşturma makalesinde, şifreli bir dosya oluşturup onu disk olarak nasıl bağlayacağımızı anlatmıştık. Bu örnekte, her bağlantıda parola giriyoruz ve işimiz bittiğinde bağlantıyı kesiyoruz. Bu yöntem, verilerle çalışırken yüksek güvenlik sağlar.

Dezavantaj olarak, parolanın her seferinde girilmesi, eğer kullanılan bilgisayarda bir keylogger (tuş kaydedici) varsa parolanın ele geçirilmesine yol açabilir.

Bu örnekte, şifreli dosyanın otomatik olarak montajını ve sunucu her açıldığında disk bağlanmasını bir anahtar dosyası kullanarak nasıl yapacağımızı açıklayacağız.

1. Anahtar Dosyası Oluşturma

dd if=/dev/urandom of=/root/random_data_keyfile1 bs=1024 count=4

1.1 Yalnızca root için izinleri ayarlayalım

chmod 0400 /root/random_data_keyfile1

1.2 Şifreli dosyamıza anahtar dosyasını ekleyelim

cryptsetup luksAddKey /root/crypt-drive /root/random_data_keyfile1

Var olan herhangi bir parolayı girin:

2. Otomatik Bağlantı için Yapılandırma Ekleme

2.1 /etc/crypttab Dosyası

# <hedef adı>	<kaynak aygıt>		<anahtar dosyası>	<seçenekler>
crypto-my /root/crypt-drive /root/random_data_keyfile1 luks,discard

Anahtar dosyasını siler ve sunucuyu yeniden başlatırsanız, başlatma aşamasında şifreli dosyanın parolasını girmeniz istenir ve bu aşamada ağ erişimi yoktur. Parolayı doğru girerseniz, sunucu ağ hizmetleri de dahil olmak üzere yüklenmeye devam eder.

2.1.1 Anahtar dosyası olmadığında sunucunun devam etmesini sağlamak için timeout seçeneğini ekleyelim

# <hedef adı>	<kaynak aygıt>		<anahtar dosyası>	<seçenekler>
crypto-my /root/crypt-drive /root/random_data_keyfile1 luks,discard,timeout=30

Artık anahtar dosyası olmadığında parola girişi 30 saniye beklenecek, ardından sunucu açılmaya devam edecek ve ağ üzerinden erişilebilir olacaktır.

2.2 /etc/fstab Dosyası

...
/dev/mapper/crypto-my /mnt/crypt-volume ext4 defaults 0 0

Sunucuyu yeniden başlatıp kontrol edebilirsiniz.

df -h

Filesystem             Size  Used Avail Use% Mounted on
udev                   962M     0  962M   0% /dev
tmpfs                  197M  504K  197M   1% /run
/dev/sda1               62G  2.7G   56G   5% /
tmpfs                  984M     0  984M   0% /dev/shm
tmpfs                  5.0M     0  5.0M   0% /run/lock
/dev/mapper/crypto-my  974M   72K  908M   1% /mnt/crypt-volume
tmpfs                  197M     0  197M   0% /run/user/0

Bu yöntemin bir dezavantajı vardır: sunucuya fiziksel erişim sağlanırsa root parolası sıfırlanabilir, ayrıca anahtar dosyası sunucuda saklandığı için şifreli bölümdeki verilere erişilebilir.





No Comments Yet