안녕하세요. LUKS 암호화에 관해 질문이 있습니다. LUKS를 사용하여 서버의 디스크를 암호화했지만 파일을 만들고 콘텐츠를 추가하고 파일을 분류하면 콘텐츠가 여전히 일반 텍스트입니다. 파일의 백업을 만들어 암호화되지 않은 하드 드라이브에 저장하더라도 데이터는 일반 텍스트로 유지됩니다. 암호화가 진행되고 있는지 어떻게 알 수 있는지 잘 모르겠습니다. 내가 뭐 놓친 거 없니? 이것이 LUKS가 작동하는 방식인가요?
/dev/sdb: UUID="d7f667ed-50a4-4324-8708-6720d390bfd2" TYPE="crypto_LUKS"
[root@host1 ~]# cat /opt/my_encrypted_backup/test12
This is a test
[root@host1 ~]# clear
[root@host1 ~]# lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 8G 0 disk
├─sda1 8:1 0 1G 0 part /boot
└─sda2 8:2 0 7G 0 part
├─centos-root 253:0 0 6.2G 0 lvm /
└─centos-swap 253:1 0 820M 0 lvm [SWAP]
sdb 8:16 0 1G 0 disk
└─mybackup 253:2 0 1022M 0 crypt /opt/my_encrypted_backup
sr0 11:0 1 1024M 0 rom
[root@host1 ~]#
[root@host1 ~]#
[root@host1 ~]# blkid /dev/sdb
/dev/sdb: UUID="d7f667ed-50a4-4324-8708-6720d390bfd2" TYPE="crypto_LUKS"
[root@host1 ~]#
[root@host1 ~]#
[root@host1 ~]# cat /opt/my_encrypted_backup/test12
This is a test
[root@host1 ~]# cp /opt/my_encrypted_backup/test12 /
[root@host1 ~]# cat /test12
This is a test
[root@host1 ~]#
답변1
LUKS/dm-crypt는 파일 시스템 수준이 아닌 블록 장치 수준에서 작동하므로 예, 맞습니다. 그렇게 작동합니다.
암호화된 장치(귀하의 경우)를 열면 /dev/sdb그 위에 새로운 가상 장치 매퍼 장치(귀하의 경우)가 생성됩니다. 일반 텍스트로 데이터에 액세스하기 위해 /dev/mapper/mybackup모든 데이터가 sdb암호화 됩니다. 시스템 관점에서 볼 때 암호화되지 않은 일반 파일 시스템이 포함되고 그 안의 모든 것이 암호화되지 않아 시스템이 암호화된 데이터를 처리할 수 있으며, 디스크에서 데이터를 읽거나 쓰는 모든 애플리케이션을 지원합니다. 추가 암호화.mybackupmybackup
슬레이브에서 데이터를 읽을 때 mybackup장치 매퍼(커널 모듈)는 슬레이브에서 데이터를 읽고 sdb이를 해독한 후 일반 텍스트로 반환합니다. 쓰기와 마찬가지로 일반 텍스트를 작성 하고 mybackup쓰기 전에 sdb암호화할 수 있습니다. 따라서 장치를 켜면 디스크의 모든 내용을 일반 텍스트로 액세스할 수 있습니다.
따라서 귀하의 데이터는 장치가 켜져 있지 않는 한 "안전"합니다. LUKS/dm-crypt(또는 일반적인 디스크 암호화)의 주요 사용 사례는 디스크(또는 전체 컴퓨터)를 도난당한 경우 데이터를 보호하는 것입니다. 마스터 키는 메모리에 저장되어 사용자가 사용할 수 있으므로 시스템이 실행 중이고 장치가 켜져 있는 동안에는 데이터를 보호하지 않습니다 dmsetup table --showkeys.