DigitalOcean塊存儲上創(chuàng)建加密的文件系統(tǒng)教程

發(fā)布時間：2024-05-09

digitalocean是我們熟悉的一家美國云主機(jī)服務(wù)器商，產(chǎn)品整體性能優(yōu)越，而且采用ssd硬盤存儲，支持按小時計費模式，因而備受國內(nèi)站長歡迎。digitalocean volumes是可擴(kuò)展的，基于ssd的塊存儲設(shè)備。卷使您可以創(chuàng)建和擴(kuò)展基礎(chǔ)結(jié)構(gòu)的存儲容量，而無需調(diào)整droplet的大小。volumes在靜止?fàn)顟B(tài)下被加密，這意味著卷上的數(shù)據(jù)在其存儲群集之外無法讀取。將volumes附加到droplet時，droplet會顯示一個解密的塊存儲設(shè)備，并且所有數(shù)據(jù)都通過隔離的網(wǎng)絡(luò)傳輸。
為了提高安全性，您還可以在volume 的luks加密磁盤中創(chuàng)建文件系統(tǒng)。這意味著磁盤將需要由droplet上的操作系統(tǒng)解密才能讀取任何數(shù)據(jù)。下面就給大家簡單介紹下如何在digitalocean塊存儲上創(chuàng)建加密的文件系統(tǒng)，僅供大家參考。
一、創(chuàng)建加密磁盤
cryptsetup是一個實用程序，用于管理其他加密格式之外的luks卷。首先，用于cryptsetup初始化卷上的加密磁盤。
sudo cryptsetup -y -v luksformat /dev/disk/by-id/scsi-0do_volume_volume-lon1-01
確保volume-lon1-01用volume的名稱替換。-y當(dāng)系統(tǒng)提示您創(chuàng)建密碼時，該標(biāo)志將要求您輸入兩次密碼。該-v標(biāo)志添加了其他人類可讀的輸出，以驗證命令是否成功。
輸出將要求您確認(rèn)覆蓋卷上的數(shù)據(jù)。鍵入yes全部大寫，然后按enter繼續(xù)。
output
warning!
========
this will overwrite data on /dev/disk/by-id/scsi-0do_volume_volume-lon1-01 irrevocably.
are you sure? (type uppercase yes): yes
接下來，輸出將提示您為加密磁盤創(chuàng)建密碼。輸入一個唯一的強(qiáng)密碼短語，然后再次輸入以進(jìn)行驗證。此密碼無法恢復(fù)，因此請將其保存在安全的地方。
output
. . .
enter passphrase:
verify passphrase:
command successful.
如果需要，將來可以使用cryptsetup lukschangekey命令更改此密碼。您還可以使用最多為每個設(shè)備添加8個其他密碼短語cryptsetup luksaddkey。
此時，您的磁盤已創(chuàng)建并加密。接下來，將其解密并將其映射到標(biāo)簽以便于引用。在這里，我們將其標(biāo)記為secure-volume，但是您可以使用任何喜歡的標(biāo)記它。
sudo cryptsetup luksopen /dev/disk/by-id/scsi-0do_volume_volume-lon1-01 secure-volume
系統(tǒng)將提示您輸入密碼。輸入后，卷現(xiàn)在將映射到/dev/mapper/secure-volume。
為確保一切正常，請驗證加密磁盤的詳細(xì)信息。
cryptsetup status secure-volume
您將看到這樣的輸出，指示“卷”標(biāo)簽和類型。
output
/dev/mapper/secure-volume is active.
type: luks1
cipher: aes-xts-plain64
keysize: 256 bits
device: /dev/sda
offset: 4096 sectors
size: 209711104 sectors
mode: read/write
此時，您具有受密碼保護(hù)的加密磁盤。下一步是在該磁盤上創(chuàng)建文件系統(tǒng)，以便操作系統(tǒng)可以使用它來存儲文件。
二、創(chuàng)建和掛載文件系統(tǒng)
首先讓我們看一下droplet上的當(dāng)前可用磁盤空間。
df -h
您將看到類似于此的輸出，具體取決于您的droplet配置：
output
filesystem size used avail use% mounted on
udev 2.0g 0 2.0g 0% /dev
tmpfs 396m 5.6m 390m 2% /run
/dev/vda1 78g 877m 77g 2% /
tmpfs 2.0g 0 2.0g 0% /dev/shm
tmpfs 5.0m 0 5.0m 0% /run/lock
tmpfs 2.0g 0 2.0g 0% /sys/fs/cgroup
/dev/vda15 105m 3.4m 101m 4% /boot/efi
tmpfs 396m 0 396m 0% /run/user/1000
目前，由于droplet尚無法訪問該卷，因此未顯示在此列表上。為了使其可訪問，我們需要創(chuàng)建并掛載文件系統(tǒng)。/dev/mapper/secure-volume
使用mkfs.xfs實用程序(中號一個? ? ?f ile 小號 ystem)來創(chuàng)建一個xfs在卷上的文件系統(tǒng)。
sudo mkfs.xfs /dev/mapper/secure-volume
創(chuàng)建文件系統(tǒng)后，您可以掛載它，這意味著可以在droplet上將其提供給操作系統(tǒng)使用。
創(chuàng)建一個掛載點，將文件系統(tǒng)附加到該掛載點。掛載點的一個很好的建議是該目錄中有一個空/mnt目錄，因此我們將使用。/mnt/secure
sudo mkdir /mnt/secure
然后掛載文件系統(tǒng)。
sudo mount /dev/mapper/secure-volume /mnt/secure
為確保其正常工作，請再次檢查droplet上的可用磁盤空間。
df -h
現(xiàn)在，您會看到列出的內(nèi)容。/dev/mapper/secure-volume
output
filesystem size used avail use% mounted on
udev 2.0g 0 2.0g 0% /dev
tmpfs 396m 5.6m 390m 2% /run
/dev/vda1 78g 877m 77g 2% /
tmpfs 2.0g 0 2.0g 0% /dev/shm
tmpfs 5.0m 0 5.0m 0% /run/lock
tmpfs 2.0g 0 2.0g 0% /sys/fs/cgroup
/dev/vda15 105m 3.4m 101m 4% /boot/efi
tmpfs 396m 0 396m 0% /run/user/1000
/dev/mapper/secure-volume 100g 33m 100g 1% /mnt/secure
這意味著您的加密文件系統(tǒng)已連接并可以使用。
當(dāng)不再需要訪問卷上的數(shù)據(jù)時，可以卸載文件系統(tǒng)并鎖定加密的磁盤。
sudo umount /mnt/secure
sudo cryptsetup luksclose secure-volume
您可以驗證df -h文件系統(tǒng)不再可用。為了使卷上的數(shù)據(jù)再次可訪問，您將執(zhí)行以下步驟來打開磁盤(cryptsetup luksopen …)，創(chuàng)建安裝點并安裝文件系統(tǒng)。
為了避免每次要使用volume時都要執(zhí)行此手動過程，可以將文件系統(tǒng)配置為在droplet引導(dǎo)時自動掛載。
三、在啟動時自動掛載文件系統(tǒng)
加密的磁盤最多可以具有8個密碼短語。在最后一步中，我們將創(chuàng)建一個密鑰并將其添加為密碼短語，然后使用該密鑰來配置要在droplet引導(dǎo)時解密和裝入的volume。
在創(chuàng)建密鑰文件/root/.secure_key。此命令將創(chuàng)建一個具有隨機(jī)內(nèi)容的4 kb文件：
sudo dd if=/dev/urandom of=/root/.secure-key bs=1024 count=4
調(diào)整此密鑰文件的權(quán)限，以便只有root用戶才能讀取。
sudo chmod 0400 /root/.secure-key
然后將密鑰添加為加密磁盤的密碼。
cryptsetup luksaddkey /dev/disk/by-id/scsi-0do_volume_volume-lon1-01 /root/.secure-key
系統(tǒng)會提示您輸入密碼。您可以輸入首次創(chuàng)建加密磁盤時設(shè)置的磁盤。
/etc/crypttab是一個配置文件，用于定義要在系統(tǒng)啟動時設(shè)置的加密磁盤。使用nano或您喜歡的文本編輯器打開此文件。
sudo nano /etc/crypttab
將以下行添加到文件底部以在啟動時映射卷。
/ etc / crypttab
. . .
secure-volume /dev/disk/by-id/scsi-0do_volume_volume-lon1-01 /root/.secure-key luks
中的行格式/etc/crypttab為device_name device_path key_path options。在這里，設(shè)備名稱為secure-volume(或您選擇的名稱)，路徑為，密鑰文件是我們剛剛在創(chuàng)建的，而選項指定加密。/dev/dis