Cara Mengenkripsi Drive Menggunakan LUKS di Fedora Linux
Pada artikel ini, kami akan menjelaskan secara singkat tentang enkripsi blok, Linux Unified Key Setup (LUKS), dan menjelaskan petunjuk untuk membuat perangkat blok terenkripsi di Fedora Linux.
Blokir Enkripsi Perangkat
Enkripsi perangkat blok digunakan untuk mengamankan data pada perangkat blok dengan mengenkripsinya, dan untuk mendekripsi data, pengguna harus memberikan frasa sandi atau kunci untuk mengakses. Hal ini memberikan mekanisme keamanan ekstra karena melindungi konten perangkat meskipun perangkat telah terlepas secara fisik dari sistem.
Pengantar LUKS
LUKS (Linux Unified Key Setup) adalah standar untuk enkripsi perangkat blok di Linux, yang bekerja dengan menetapkan format pada disk untuk data dan kebijakan manajemen frasa sandi/kunci . Ia menyimpan semua informasi pengaturan yang diperlukan di header partisi (juga dikenal sebagai LUKS header), sehingga memungkinkan Anda memindahkan atau memigrasikan data dengan lancar.
LUKS memanfaatkan subsistem pemetaan perangkat kernel dengan modul dm-crypt untuk menyediakan pemetaan tingkat rendah yang menyimpan enkripsi dan dekripsi data perangkat. Anda dapat menggunakan program cryptsetup untuk menjalankan tugas tingkat pengguna seperti membuat dan mengakses perangkat terenkripsi.
Mempersiapkan Perangkat Blok
Petunjuk berikut menunjukkan langkah-langkah untuk membuat dan mengonfigurasi perangkat blok terenkripsi setelah instalasi.
Instal paket cryptsetup.
dnf install cryptsetup-luks
Selanjutnya, isi perangkat dengan data acak sebelum mengenkripsinya, karena ini akan meningkatkan kekuatan enkripsi secara signifikan menggunakan perintah berikut.
dd if=/dev/urandom of=/dev/sdb1 [slow with high quality random data ]
OR
badblocks -c 10240 -s -w -t random -v /dev/sdb1 [fast with high quality random data]
Peringatan: Perintah di atas akan menghapus semua data yang ada di perangkat.
Memformat Perangkat Terenkripsi
Selanjutnya, gunakan alat baris perintah cryptsetup untuk memformat perangkat sebagai perangkat terenkripsi dm-crypt/LUKS.
cryptsetup luksFormat /dev/sdb1
Setelah menjalankan perintah, Anda akan diminta memasukkan YES (dalam huruf besar) untuk memberikan frasa sandi dua kali agar perangkat dapat diformat untuk digunakan, seperti yang ditunjukkan pada gambar layar berikut.
Untuk memverifikasi apakah operasi berhasil, jalankan perintah berikut.
cryptsetup isLuks /dev/sdb1 && echo Success
Anda dapat melihat ringkasan informasi enkripsi untuk perangkat.
cryptsetup luksDump /dev/sdb1
Membuat Pemetaan untuk Mengizinkan Akses ke Konten yang Didekripsi
Di bagian ini, kami akan mengonfigurasi cara mengakses konten yang didekripsi pada perangkat yang dienkripsi. Kami akan membuat pemetaan menggunakan kernel device-mapper. Disarankan untuk membuat nama yang bermakna untuk pemetaan ini, seperti luk-uuid (dengan <uuid> diganti dengan LUKS UUID( Pengenal Unik Universal).
Untuk mendapatkan UUID perangkat terenkripsi Anda, jalankan perintah berikut.
cryptsetup luksUUID /dev/sdb1
Setelah mendapatkan UUID, Anda dapat membuat nama pemetaan seperti yang ditunjukkan (Anda akan diminta memasukkan frasa sandi yang dibuat sebelumnya).
cryptsetup luksOpen /dev/sdb1 luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Jika perintah berhasil, node perangkat bernama /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c yang mewakili perangkat yang didekripsi.
Perangkat blok yang baru saja dibuat dapat dibaca dan ditulis seperti perangkat blok tidak terenkripsi lainnya. Anda dapat melihat beberapa informasi tentang perangkat yang dipetakan dengan menjalankan perintah berikut.
dmsetup info /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Membuat Sistem File pada Perangkat yang Dipetakan
Sekarang kita akan melihat cara membuat sistem file pada perangkat yang dipetakan, yang memungkinkan Anda menggunakan node perangkat yang dipetakan sama seperti perangkat blok lainnya.
Untuk membuat sistem file ext4 pada perangkat yang dipetakan, jalankan perintah berikut.
mkfs.ext4 /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Untuk memasang sistem file di atas, buat titik pemasangannya misalnya /mnt/encrypted-device lalu pasang seperti berikut.
mkdir -p /mnt/encrypted-device
mount /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c /mnt/encrypted-device/
Tambahkan Informasi Pemetaan ke /etc/crypttab dan /etc/fstab
Selanjutnya, kita perlu mengkonfigurasi sistem agar secara otomatis mengatur pemetaan untuk perangkat serta memasangnya saat boot.
Anda harus menambahkan informasi pemetaan di file /etc/crypttab, dengan format berikut.
luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c UUID=59f2b688-526d-45c7-8f0a-1ac4555d1d7c none
dalam format di atas:
- luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c – adalah nama pemetaan
- UUID=59f2b688-526d-45c7-8f0a-1ac4555d1d7c – adalah nama perangkat
Simpan file dan tutup.
Berikutnya, tambahkan entri berikut ke /etc/fstab untuk memasang perangkat yang dipetakan secara otomatis saat boot sistem.
/dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c /mnt/encrypted-device ext4 0 0
Simpan file dan tutup.
Kemudian jalankan perintah berikut untuk memperbarui sistemd unit yang dihasilkan dari file ini.
systemctl daemon-reload
Cadangkan Header LUKS
Terakhir, kami akan membahas cara membuat cadangan header LUKS. Ini adalah langkah penting untuk menghindari kehilangan semua data dalam perangkat blok terenkripsi, jika sektor yang berisi header LUKS rusak karena kesalahan pengguna atau kegagalan perangkat keras. Tindakan ini memungkinkan pemulihan data.
Untuk membuat cadangan header LUKS.
mkdir /root/backups
cryptsetup luksHeaderBackup --header-backup-file luks-headers /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Dan untuk mengembalikan header LUKS.
cryptsetup luksHeaderRestore --header-backup-file /root/backups/luks-headers /dev/mapper/luk-59f2b688-526d-45c7-8f0a-1ac4555d1d7c
Itu saja! Dalam artikel ini, kami telah menjelaskan cara mengenkripsi perangkat yang diblokir menggunakan LUKS di distribusi Fedora Linux. Apakah Anda memiliki pertanyaan atau komentar mengenai topik atau panduan ini, gunakan formulir umpan balik di bawah untuk menghubungi kami.