Шифрование диска с помощью LUKS в Ubuntu

Шифрование диска с помощью LUKS в Ubuntu

Данная инструкция описывает процесс шифрования дополнительного диска в операционной системе Ubuntu с использованием LUKS (Linux Unified Key Setup). Это позволяет обеспечить полную защиту пользовательских данных на уровне блочного устройства. Без ввода пароля расшифровка данных невозможна.

Warning
Внимание: при инициализации шифрования все данные на диске будут удалены. Убедитесь, что диск не содержит важных данных, или предварительно создайте резервную копию.

Требования
  1. Операционная система: Ubuntu / Debian
  2. Права суперпользователя (root)
  3. Установленный пакет cryptsetup
  4. Дополнительный диск (например, /dev/sdb)
Этапы настройки

1. Обновление списка пакетов
  1. apt update

2. Установка cryptsetup
  1. apt install cryptsetup -y

3. Инициализация шифрования диска
  1. cryptsetup luksFormat /dev/sdb
В процессе потребуется:
  1. Подтвердить действие, введя YES
  2. Установить пароль, который будет использоваться для доступа к зашифрованному устройству
Warning
Внимание: Все данные на диске будут удалены!
Alert
Важно: пароль необходимо хранить в надёжном и защищённом месте. Никому не сообщайте этот пароль, даже сотрудникам службы технической поддержки Pro-Data.

4. Открытие зашифрованного устройства
  1. cryptsetup open /dev/sdb my_encrypted_disk
my_encrypted_disk — это имя, под которым диск будет отображаться в системе

5. Создание файловой системы
  1. mkfs.ext4 /dev/mapper/my_encrypted_disk

6. Монтирование устройства
  1. mkdir -p /mnt/my_encrypted_disk
  2. mount /dev/mapper/my_encrypted_disk /mnt/my_encrypted_disk
Alert
Рекомендуется настроить автомонтирование после перезагрузки.

7. Проверка монтирования
  1. df -h | grep my_encrypted_disk

Поведение после перезагрузки
После перезагрузки устройство не будет доступно до тех пор, пока не будет введён пароль вручную:
  1. cryptsetup open /dev/sdb my_encrypted_disk
  2. mount /dev/mapper/my_encrypted_disk /mnt/my_encrypted_disk

Восстановление доступа
Если пароль утерян, восстановление доступа невозможно. Рекомендуется хранить пароль в защищённом месте, так как даже сотрудники технической поддержки не смогут расшифровать данные без него.

Шифрование корневого (root) диска
Для чувствительных данных мы также рекомендуем шифровать корневой диск. Это позволяет защитить не только пользовательские данные, но и содержимое всей операционной системы.
Шифрование корневого диска возможно только при установке операционной системы. Поддержка в Ubuntu доступна при использовании LVM (Logical Volume Manager). В инфраструктуре Pro-Data такая конфигурация может быть реализована с использованием собственного пользовательского образа ОС.
Если необходимо шифровать корневой диск, рекомендуется:
  1. Подготовить и загрузить собственный образ ОС с настроенным шифрованием
  2. Убедиться, что шифрование включено в процессе установки
  3. Учесть, что сервер не сможет автоматически загружаться без ввода пароля или ключа для расшифровки данных на дисках.
Для других ОС рекомендуется использовать лучшие практики шифрования данных для конкретной ОС.