Добро пожаловать в это руководство по использованию зашифрованного пула Stratis с Network Bound Disk Encryption (NBDE).
Stratis – это служба управления локальным хранилищем, которая позволяет легко управлять пулами с физических устройств хранения.
Здесь задействовано несколько концепций:
- Pool: это главный компонент Stratis. Он состоит из одного или нескольких блочных устройств, а его общий размер равен сумме размеров блочных устройств.
- blockdev: это блочные устройства на Stratis. Здесь поддерживаются следующие блочные устройства:
- жесткие диски и твердотельные накопители
- логические тома LVM
- MD RAID
- iSCSI
- DM Multipath
- LUKS
- Файловая система: Пул может содержать одну или несколько файловых систем, отформатированных в XFS и используемых для хранения файлов. Обычно файловые системы имеют тонкое обеспечение. Другими словами, они не имеют фиксированного общего размера, и их размер растет по мере сохранения на них данных.
Существует множество функций, связанных с пулом Stratis, среди которых:
- Управление на основе пула
- Снепшоты файловой системы
- Мониторинг
- Thin provisioning
- Tiering
Stratis позволяет создавать как зашифрованные, так и незашифрованные пулы.
Зашифрованные пулы создаются на Stratis для повышения безопасности. При создании пула такого типа в качестве основного механизма шифрования используется связка ключей ядра. После перезагрузки системы для доступа к пулу необходимо предоставить созданный брелок ядра.
В этом руководстве вы получите необходимые знания о том, как использовать зашифрованный пул Stratis с Network Bound Disk Encryption (NBDE).
Stratis позволяет создавать как зашифрованные, так и незашифрованные пулы. Зашифрованные пулы создаются на Stratis для повышения безопасности.
При создании пула такого типа в качестве основного механизма шифрования используется связка ключей ядра.
После перезагрузки системы для доступа к пулу необходимо предоставить созданный брелок ядра.
В этом руководстве вы получите необходимые знания о том, как использовать зашифрованный пул Stratis с Network Bound Disk Encryption (NBDE).
🔐 Шифрование дисков с помощью Network Based Key Services (NBDE)
- Необходимые условия
- Шаг 1 – Установите Stratis на вашу систему
- Шаг 2 – Создание зашифрованного пула Stratis
- Шаг 3 – Создание файловой системы на пуле
- Шаг 4 – Разблокировка зашифрованного пула Stratis с помощью связки ключей ядра
- Шаг 5 – Привязка пула Stratis к NBDE
- Шаг 6 – Разблокировка пула Stratis с помощью NBDE
- Шаг 7 – Отвязка дополнительных алгоритмов шифрования
- Шаг 8 – Монтирование файловой системы Stratis
Необходимые условия
Это руководство требует, чтобы у вас были:
- Блочные устройства, которые не используются/монтируются.В этом руководстве мы будем использовать несколько дисков, подключенных к системе.
Определите блочные устройства с помощью команды:
К моей системе подключены 3 диска по 10 ГБ каждый, которые будут использоваться для создания зашифрованного пула Stratis.
Шаг 1 – Установите Stratis на вашу систему
Stratis находится в стандартных репозиториях RHEL/CentOS/Rocky Linux/Alma Linux и может быть установлен с помощью команды:
После установки запустите службу Stratis с помощью команды:
Проверьте, запущена ли служба:
Шаг 2 – Создание зашифрованного пула Stratis
Пул Stratis может быть создан с помощью одного или нескольких блочных устройств.
В данном руководстве мы используем 3 вторичных диска, подключенных к системе.
Начните с удаления всех таблиц разделов, файловых систем и любых подписей RAID на устройстве.
Замените block-device1 и block-device2 на имена устройств.
Например:
После очистки диска(ов) перейдите к получению набора ключей для шифрования.
Теперь у вас должна быть создана связка ключей ядра.
Она будет использоваться для доступа к пулу после последующих перезагрузок.
Проверьте с помощью команды:
Создайте зашифрованный пул с помощью команды с приведенным ниже синтаксисом:
После создания проверьте его с помощью команды:
У нас есть пул с именем pool1, емкость которого составляет 30 ГБ.
Это сумма емкости 3 дисков.
Шаг 3 – Создание файловой системы на пуле
После создания пула необходимо создать на нем файловую систему, чтобы иметь возможность записывать данные на пул.
Это можно сделать с помощью команды с приведенным ниже синтаксисом:
Например:
Проверьте создание с помощью команды:
Чтобы получить подробный вывод, используйте приведенную ниже команду:
Шаг 4 – Разблокировка зашифрованного пула Stratis с помощью связки ключей ядра
После перезагрузки системы вы не сможете получить доступ к пулу:
Чтобы получить к нему доступ, необходимо предоставить созданный ключ ядра.
Сначала воссоздайте ключ, используя то же описание ключа.
Например:
Теперь разблокируйте пул с помощью ключа:
Получите доступ к пулу:
Это довольно удобно, но требует запоминания связки ключей.
Это можно упростить с помощью NBDE, как показано ниже.
Шаг 5 – Привязка пула Stratis к NBDE
NBDE – это аббревиатура от Network Bound Disk Encryption.
Чтобы иметь возможность привязать зашифрованный пул Stratis к NBDE, вам необходим сервер Tang.
Этот сервер Tang поможет разблокировать зашифрованный пул без необходимости предоставлять описание связки ключей ядра, как описано выше.
Сначала установите сервер Tang:
Выберите любой неиспользуемый порт и привяжите к нему службу.
Например, порт 7500, как показано ниже:
Разрешите заданный порт на брандмауэре:
Включите службу tangd:
Создайте файл конфигурации переопределения в /etc/systemd/system/tangd.socket.d/ с помощью команды:
Измените порт по умолчанию 80 на новый порт, как показано ниже:
[Socket]
ListenStream=
ListenStream=7500
Перезагрузите демон и перезапустите службу:
Проверьте, привязан ли сервис к новому порту:
Получите thumbprint сервера tang:
Теперь привяжите зашифрованный пул Stratis к NBDE с помощью команды с приведенным ниже синтаксисом:
Замените poll_name и tang-server соответствующим образом.
Например:
Шаг 6 – Разблокировка пула Stratis с помощью NBDE
Чтобы проверить, можем ли мы разблокировать пул Stratis с помощью NBDE, перезагрузите систему.
После успешной перезагрузки системы переключитесь на пользователя root.
Попробуйте зайти в бассейн:
Помимо разблокировки пула помощью ключа, вы можете разблокировать его, используя NBDE (шип), как показано далее:
Вы можете согласиться с тем, что вам больше не нужно предоставлять связку ключей для доступа к пулу.
Шаг 7 – Отвязка дополнительных алгоритмов шифрования
Отвязка пула Stratis от дополнительных шифров оставляет в силе только основной шифр связки ключей ядра.
Дополнительное шифрование может быть связано с NBDE или TPM.
Чтобы снять эту привязку, используйте команду с приведенным ниже синтаксисом:
Например
После этого доступ к пулу можно получить только с помощью первичного ключа шифрования ядра, как в шаге 4.
Шаг 8 – Монтирование файловой системы Stratis
Чтобы использовать файловую систему Stratis, ее необходимо смонтировать.
Сначала создайте точку монтирования:
Вы можете выполнить временное монтирование файловой системы с помощью команды:
Чтобы cмонтировать файловую систему на постоянной основе, начните с определения UUID файловых систем:
Теперь отредактируйте файл /etc/fstab и добавьте файловую систему.
Не забудьте заменить UUID и точку монтирования.
Перезагрузите системный демон:
После этого файловая система сможет пережить перезагрузку системы.