LUKS: Enkripsi Data Hard Disk Linux dengan Dukungan NTFS di Linux

Akronim LUKS adalah singkatan dari Linux Unified Key Setup yang merupakan metode enkripsi disk yang banyak digunakan oleh Kernel Linux dan diimplementasikan dengan paket cryptsetup.

Baris perintah cryptsetup mengenkripsi disk volume dengan cepat menggunakan kunci enkripsi simetris yang berasal dari frasa sandi yang diberikan setiap kali disk volume, partisi, dan juga seluruh disk (bahkan stik USB) dipasang di hierarki sistem file dan menggunakan sandi aes-cbc-essiv:sha256.

Karena LUKS dapat mengenkripsi seluruh perangkat blok (hard-disk, stik USB, Flash disk, partisi, grup volume, dll) pada sistem Linux, sebagian besar direkomendasikan untuk melindungi media penyimpanan yang dapat dilepas, hard-disk laptop, atau file swap Linux dan tidak direkomendasikan untuk file enkripsi tingkat.

NTFS (Sistem File Teknologi Baru) adalah sistem file berpemilik yang dikembangkan oleh Microsoft.

Ubuntu 14.04 memberikan dukungan penuh untuk enkripsi LUKS dan juga dukungan asli NTFS untuk Windows dengan bantuan paket ntfs-3g.

Untuk membuktikan maksud saya dalam tutorial ini saya telah menambahkan hard-disk baru (ke-4) pada kotak Ubuntu 14.04 (referensi sistem untuk HDD yang baru ditambahkan adalah /dev/sdd ) yang akan dibagi menjadi dua partisi.

  1. Satu partisi (/dev/sdd1 -primer) digunakan untuk enkripsi LUKS.
  2. Partisi kedua (/dev/sdd5 – diperpanjang) berformat NTFS untuk mengakses data pada sistem berbasis Linux dan Windows.

Partisi juga akan secara otomatis dipasang di Ubuntu 14.04 setelah reboot.

Langkah 1: Buat Partisi Disk

1. Setelah hard-disk Anda ditambahkan secara fisik ke mesin Anda, gunakan perintah ls untuk mencantumkan semua /dev/devices (disk keempat adalah /dev/sdd).

ls /dev/sd*

2. Selanjutnya periksa HDD Anda yang baru ditambahkan dengan perintah fdisk.

sudo fdisk –l /dev/sdd

Karena tidak ada sistem file yang ditulis, jadi disk tersebut belum berisi tabel partisi yang valid.

3. Langkah selanjutnya mengiris hard-disk untuk hasil dua partisi menggunakan utilitas disk cfdisk.

sudo cfdisk /dev/sdd

4. Layar berikutnya membuka mode interaktif cfdisk. Pilih Ruang kosong hard disk Anda dan arahkan ke opsi Baru menggunakan tombol panah kiri/kanan.

5. Pilih jenis partisi Anda sebagai Utama dan tekan Enter.

6. Tuliskan ukuran partisi yang Anda inginkan dalam MB.

7. Buat partisi ini di Awal Ruang kosong hard-disk.

8. Selanjutnya navigasikan ke opsi Ketik partisi dan tekan Enter.

9. Perintah berikutnya menampilkan daftar semua jenis sistem file dan kode nomornya (nomor Hex). Partisi ini akan dienkripsi Linux LUKS jadi pilih kode 83 dan tekan Enter lagi untuk membuat partisi.

10. Partisi pertama dibuat dan prompt utilitas cfdisk kembali ke awal. Untuk membuat partisi kedua yang digunakan sebagai NTFS pilih Ruang kosong yang tersisa, navigasikan ke opsi Baru dan tekan tombol Enter .

11. Kali ini partisinya akan menjadi partisi Extend Logical. Jadi, navigasikan ke opsi Logical dan tekan lagi Enter.

12. Masukkan kembali ukuran partisi Anda. Untuk menggunakan sisa ruang kosong sebagai partisi baru, biarkan nilai default pada ukuran dan cukup tekan Enter.

13. Sekali lagi pilih kode jenis partisi Anda. Untuk sistem file NTFS pilih kode volume 86.

14. Setelah meninjau dan memverifikasi partisi, pilih Tulis, jawab ya pada pertanyaan cepat interaktif berikutnya, lalu Keluar untuk keluar dari < utilitas b>cfdisk.

Selamat ! Partisi Anda telah berhasil dibuat dan kini siap untuk diformat dan digunakan.

15. Untuk memverifikasi kembali Tabel Partisi disk, jalankan perintah fdisk lagi yang akan menampilkan informasi tabel partisi terperinci.

sudo fdisk –l /dev/sdd

Langkah 2: Buat Sistem File Partisi

Sistem File NTFS

16. Untuk membuat sistem file NTFS di partisi kedua, jalankan perintah mkfs.

sudo mkfs.ntfs /dev/sdd5

17. Agar partisi tersedia, partisi tersebut harus dipasang pada sistem file ke titik pemasangan. Pasang partisi kedua pada hard disk keempat ke /opt titik pemasangan menggunakan perintah mount.

sudo mount /dev/sdd5 /opt

18. Selanjutnya, periksa apakah partisi tersedia dan terdaftar di file /etc/mtab menggunakan perintah cat.

cat /etc/mtab

19. Untuk meng-unmount partisi gunakan perintah berikut.

sudo umount /opt
EXT4 LUKS

20. Pastikan paket cryptsetup diinstal pada sistem Anda.

sudo apt-get install cryptsetup		[On Debian Based Systems]

yum install cryptsetup				[On RedHat Based Systems]

21. Sekarang saatnya memformat partisi pertama pada hard disk keempat dengan sistem file ext4 dengan mengeluarkan perintah berikut.

sudo luksformat  -t ext4  /dev/sdd1

Jawab dengan huruf besar YA pada pertanyaan “Apakah Anda yakin?” dan masukkan tiga kali frasa sandi yang Anda inginkan.

Catatan: Tergantung pada ukuran partisi dan kecepatan HDD Anda, pembuatan sistem file dapat memakan waktu cukup lama.

22. Anda juga dapat memverifikasi status perangkat partisi.

sudo cryptsetup luksDump  /dev/sdd1

23. LUKS mendukung maksimum 8 kata sandi yang ditambahkan. Untuk menambahkan kata sandi gunakan perintah berikut.

sudo cryptsetup luksAddKey /dev/sdd1

Untuk menghapus penggunaan kata sandi.

sudo cryptsetup luksRemoveKey /dev/sdd1

24. Agar partisi Terenkripsi ini aktif, partisi tersebut harus memiliki entri nama (diinisialisasi) ke direktori /dev/mapper dengan bantuan paket cryptsetup.

Pengaturan ini memerlukan sintaks baris perintah berikut:

sudo cryptsetup luksOpen  /dev/LUKS_partiton  device_name

Dimana “nama_perangkat” dapat berupa nama deskriptif apa pun yang Anda suka! (Saya menamakannya milik saya crypted_volume). Perintah sebenarnya akan terlihat seperti gambar di bawah ini.

sudo cryptsetup luksOpen  /dev/sdd1 crypted_volume

25. Kemudian verifikasi apakah perangkat Anda terdaftar di /dev/mapper, direktori, tautan simbolik, dan status perangkat.

ls /dev/mapper
ls –all /dev/mapper/encrypt_volume

sudo cryptsetup –v status encrypt_volume

26. Sekarang untuk membuat perangkat partisi tersedia secara luas, pasanglah pada sistem Anda di bawah titik pemasangan menggunakan perintah mount.

sudo mount  /dev/mapper/crypted_volume  /mnt

Seperti yang dapat dilihat, partisi sudah terpasang dan dapat diakses untuk menulis data.

27. Untuk membuatnya tidak tersedia, lepaskan saja dari sistem Anda dan tutup perangkat.

sudo umount  /mnt
sudo cryptsetup luksClose crypted_volume

Langkah 3: Pasang Partisi Secara Otomatis

Jika Anda menggunakan hard-disk tetap dan memerlukan kedua partisi untuk dipasang secara otomatis setelah reboot, Anda harus mengikuti dua langkah ini.

28. Pertama edit file /etc/crypttab dan tambahkan data berikut.

sudo nano /etc/crypttab
  1. Nama target: Nama deskriptif untuk perangkat Anda ( lihat poin di atas 22 pada EXT4 LUKS).
  2. Drive sumber: Partisi hard disk yang diformat untuk LUKS ( lihat poin di atas 21 pada EXT4 LUKS).
  3. File kunci: Pilih tidak ada
  4. Opsi: Tentukan luks

Baris terakhir akan terlihat seperti yang ditunjukkan di bawah ini.

encrypt_volume               /dev/sdd1          none       luks

29. Kemudian edit /etc/fstab dan tentukan nama perangkat Anda, titik pemasangan, jenis sistem file dan opsi lainnya.

sudo nano /etc/fstab

Pada baris terakhir gunakan sintaks berikut.

/dev/mapper/device_name (or UUID)	/mount_point     filesystem_type     options    dump   pass

Dan tambahkan konten spesifik Anda.

/dev/mapper/encrypt_volume      /mnt    ext4    defaults,errors=remount-ro     0     0

30. Untuk mendapatkan UUID perangkat gunakan perintah berikut.

sudo blkid

31. Untuk juga menambahkan tipe partisi NTFS yang dibuat sebelumnya, gunakan sintaks yang sama seperti di atas pada baris baru di fstab (Di sini file Linux menambahkan pengalihan digunakan ).

sudo su -
echo "/dev/sdd5	/opt	ntfs		defaults		0              0"  >> /etc/fstab

32. Untuk memverifikasi perubahan reboot mesin Anda, tekan Enter setelah pesan boot “Starting konfigurasi perangkat jaringan” dan ketik frasa sandi perangkat Anda.

Seperti yang Anda lihat, kedua partisi disk secara otomatis dipasang pada hierarki sistem file Ubuntu. Sebagai saran, jangan gunakan volume yang dienkripsi secara otomatis dari file fstab pada server jarak jauh secara fisik jika Anda tidak dapat memiliki akses ke urutan reboot untuk memberikan kata sandi volume terenkripsi Anda.

Pengaturan yang sama dapat diterapkan pada semua jenis media yang dapat dipindahkan seperti stik USB, memori Flash, hard-disk eksternal, dll untuk melindungi data penting, rahasia, atau sensitif jika terjadi penyadapan atau pencurian.