18.13. LUKS를 사용하여 블록 장치 암호화

절차

1. 암호화하려는 장치에서 모든 파일 시스템을 마운트 해제합니다. 예를 들면 다음과 같습니다.

   # umount /dev/mapper/vg00-lv00

   Copy to Clipboard Toggle word wrap

2. LUKS 헤더 저장에 사용 가능한 공간을 만듭니다. 시나리오에 맞는 다음 옵션 중 하나를 사용합니다.

   • 논리 볼륨을 암호화하는 경우 파일 시스템의 크기를 조정하지 않고 논리 볼륨을 확장할 수 있습니다. 예를 들면 다음과 같습니다.

     # lvextend -L+32M /dev/mapper/vg00-lv00

     Copy to Clipboard Toggle word wrap
   • parted 와 같은 파티션 관리 도구를 사용하여 파티션을 확장합니다.
   • 장치의 파일 시스템을 축소합니다. ext 2, ext3 또는 ext4 파일 시스템에 resize2fs 유틸리티를 사용할 수 있습니다. XFS 파일 시스템을 축소할 수 없습니다.

3. 암호화를 초기화합니다.

   # cryptsetup reencrypt --encrypt --init-only --reduce-device-size 32M /dev/mapper/vg00-lv00 lv00_encrypted
   
   /dev/mapper/lv00_encrypted is now active and ready for online encryption.

   Copy to Clipboard Toggle word wrap

4. 장치를 마운트합니다.

   # mount /dev/mapper/lv00_encrypted /mnt/lv00_encrypted

   Copy to Clipboard Toggle word wrap

5. 영구 매핑 항목을 /etc/crypttab 파일에 추가합니다.

   1. luksUUID 찾기:

      # cryptsetup luksUUID /dev/mapper/vg00-lv00
      
      a52e2cc9-a5be-47b8-a95d-6bdf4f2d9325

      Copy to Clipboard Toggle word wrap

   2. 선택한 텍스트 편집기에서 /etc/crypttab 을 열고 이 파일에 장치를 추가합니다.

      $ vi /etc/crypttab
      
      lv00_encrypted UUID=a52e2cc9-a5be-47b8-a95d-6bdf4f2d9325 none

      Copy to Clipboard Toggle word wrap

      a52e2cc9-a5be-47b8-a95d-6bdf4f2d9325 를 장치의 luksUUID 로 교체합니다.

   3. dracut 을 사용하여 initramfs 새로 고침 :

      $ dracut -f --regenerate-all

      Copy to Clipboard Toggle word wrap

6. /etc/fstab 파일에 영구 마운트 항목을 추가합니다.

   1. 활성 LUKS 블록 장치의 파일 시스템의 UUID를 찾습니다.

      $ blkid -p /dev/mapper/lv00_encrypted
      
      /dev/mapper/lv00-encrypted: UUID="37bc2492-d8fa-4969-9d9b-bb64d3685aa9" BLOCK_SIZE="4096" TYPE="xfs" USAGE="filesystem"

      Copy to Clipboard Toggle word wrap

   2. 선택한 텍스트 편집기에서 /etc/fstab 를 열고 이 파일에 장치를 추가합니다. 예를 들면 다음과 같습니다.

      $ vi /etc/fstab
      
      UUID=37bc2492-d8fa-4969-9d9b-bb64d3685aa9 /home auto rw,user,auto 0

      Copy to Clipboard Toggle word wrap

      37bc2492-d8fa-4969-9d9b-bb64d3685aa9 를 파일 시스템의 UUID로 교체합니다.

7. 온라인 암호화를 다시 시작합니다.

   # cryptsetup reencrypt --resume-only /dev/mapper/vg00-lv00
   
   Enter passphrase for /dev/mapper/vg00-lv00:
   Auto-detected active dm device 'lv00_encrypted' for data device /dev/mapper/vg00-lv00.
   Finished, time 00:31.130, 10272 MiB written, speed 330.0 MiB/s

   Copy to Clipboard Toggle word wrap

검증

1. 기존 데이터가 암호화되었는지 확인합니다.

   # cryptsetup luksDump /dev/mapper/vg00-lv00
   
   LUKS header information
   Version: 2
   Epoch: 4
   Metadata area: 16384 [bytes]
   Keyslots area: 16744448 [bytes]
   UUID: a52e2cc9-a5be-47b8-a95d-6bdf4f2d9325
   Label: (no label)
   Subsystem: (no subsystem)
   Flags: (no flags)
   
   Data segments:
     0: crypt
   	offset: 33554432 [bytes]
   	length: (whole device)
   	cipher: aes-xts-plain64
   [...]

   Copy to Clipboard Toggle word wrap

2. 암호화된 빈 블록 장치의 상태를 확인합니다.

   # cryptsetup status lv00_encrypted
   
   /dev/mapper/lv00_encrypted is active and is in use.
     type:    LUKS2
     cipher:  aes-xts-plain64
     keysize: 512 bits
     key location: keyring
     device:  /dev/mapper/vg00-lv00

   Copy to Clipboard Toggle word wrap

프로세스

1. 장치의 모든 파일 시스템을 마운트 해제합니다. 예를 들면 다음과 같습니다.

   # umount /dev/<nvme0n1p1>

   Copy to Clipboard Toggle word wrap

   & lt;nvme0n1p1 >을 마운트 해제하려는 파티션에 해당하는 장치 식별자로 바꿉니다.

2. 암호화를 초기화합니다.

   # cryptsetup reencrypt --encrypt --init-only --header </home/header> /dev/<nvme0n1p1> <nvme_encrypted>
   
   WARNING!
   ========
   Header file does not exist, do you want to create it?
   
   Are you sure? (Type 'yes' in capital letters): YES
   Enter passphrase for </home/header>:
   Verify passphrase:
   /dev/mapper/<nvme_encrypted> is now active and ready for online encryption.

   Copy to Clipboard Toggle word wrap

   교체:

   • LUKS 헤더가 분리된 파일 경로가 있는 </home/ header>입니다. LUKS 분리 헤더는 나중에 암호화된 장치의 잠금을 해제하려면 액세스할 수 있어야 합니다.
   • 암호화 후 생성된 장치 매퍼의 이름이 < nvme_encrypted >입니다.

3. 장치를 마운트합니다.

   # mount /dev/mapper/<nvme_encrypted> /mnt/<nvme_encrypted>

   Copy to Clipboard Toggle word wrap

4. 영구 매핑 항목을 /etc/crypttab 파일에 추가합니다.

   # <nvme_encrypted> /dev/disk/by-id/<nvme-partition-id> none header=</home/header>

   Copy to Clipboard Toggle word wrap

   & lt;nvme-partition-id&gt;를 NVMe 파티션의 식별자로 바꿉니다.

5. dracut 을 사용하여 initramfs를 다시 생성 :

   # dracut -f --regenerate-all -v

   Copy to Clipboard Toggle word wrap

6. /etc/fstab 파일에 영구 마운트 항목을 추가합니다.

   1. 활성 LUKS 블록 장치의 파일 시스템의 UUID를 찾습니다.

      $ blkid -p /dev/mapper/<nvme_encrypted>
      
      /dev/mapper/<nvme_encrypted>: UUID="37bc2492-d8fa-4969-9d9b-bb64d3685aa9" BLOCK_SIZE="4096" TYPE="xfs" USAGE="filesystem"

      Copy to Clipboard Toggle word wrap

   2. 텍스트 편집기에서 /etc/fstab 를 열고 이 파일에 장치를 추가합니다. 예를 들면 다음과 같습니다.

      UUID=<file_system_UUID> /home auto rw,user,auto 0

      Copy to Clipboard Toggle word wrap

      & lt;file_system_UUID >를 이전 단계에서 찾은 파일 시스템의 UUID로 바꿉니다.

7. 온라인 암호화를 다시 시작합니다.

   # cryptsetup reencrypt --resume-only --header </home/header> /dev/<nvme0n1p1>
   
   Enter passphrase for /dev/<nvme0n1p1>:
   Auto-detected active dm device '<nvme_encrypted>' for data device /dev/<nvme0n1p1>.
   Finished, time 00m51s,   10 GiB written, speed 198.2 MiB/s

   Copy to Clipboard Toggle word wrap

검증

1. 분리된 헤더와 함께 LUKS2를 사용하여 블록 장치의 기존 데이터가 암호화되었는지 확인합니다.

   # cryptsetup luksDump </home/header>
   
   LUKS header information
   Version:       	2
   Epoch:         	88
   Metadata area: 	16384 [bytes]
   Keyslots area: 	16744448 [bytes]
   UUID:          	c4f5d274-f4c0-41e3-ac36-22a917ab0386
   Label:         	(no label)
   Subsystem:     	(no subsystem)
   Flags:       	(no flags)
   
   Data segments:
     0: crypt
   	offset: 0 [bytes]
   	length: (whole device)
   	cipher: aes-xts-plain64
   	sector: 512 [bytes]
   [...]

   Copy to Clipboard Toggle word wrap

2. 암호화된 빈 블록 장치의 상태를 확인합니다.

   # cryptsetup status <nvme_encrypted>
   
   /dev/mapper/<nvme_encrypted> is active and is in use.
     type:    LUKS2
     cipher:  aes-xts-plain64
     keysize: 512 bits
     key location: keyring
     device:  /dev/<nvme0n1p1>

   Copy to Clipboard Toggle word wrap

프로세스

1. 파티션을 암호화된 LUKS 파티션으로 설정합니다.

   # cryptsetup luksFormat /dev/nvme0n1p1
   
   WARNING!
   ========
   This will overwrite data on /dev/nvme0n1p1 irrevocably.
   Are you sure? (Type 'yes' in capital letters): YES
   Enter passphrase for /dev/nvme0n1p1:
   Verify passphrase:

   Copy to Clipboard Toggle word wrap

2. 암호화된 LUKS 파티션을 엽니다.

   # cryptsetup open /dev/nvme0n1p1 nvme0n1p1_encrypted
   
   Enter passphrase for /dev/nvme0n1p1:

   Copy to Clipboard Toggle word wrap

   이렇게 하면 파티션 잠금을 해제하고 장치 매퍼를 사용하여 새 장치에 매핑됩니다. 암호화된 데이터를 덮어쓰지 않으려면 이 명령은 /dev/mapper/device_mapped_name 경로를 사용하여 장치가 암호화된 장치이고 LUKS를 통해 처리됨을 커널에 알립니다.

3. 암호화된 데이터를 파티션에 쓸 파일 시스템을 생성합니다. 이 파티션은 장치 매핑된 이름을 통해 액세스해야 합니다.

   # mkfs -t ext4 /dev/mapper/nvme0n1p1_encrypted

   Copy to Clipboard Toggle word wrap

4. 장치를 마운트합니다.

   # mount /dev/mapper/nvme0n1p1_encrypted mount-point

   Copy to Clipboard Toggle word wrap

검증

1. 빈 블록 장치가 암호화되었는지 확인합니다.

   # cryptsetup luksDump /dev/nvme0n1p1
   
   LUKS header information
   Version:       	2
   Epoch:         	3
   Metadata area: 	16384 [bytes]
   Keyslots area: 	16744448 [bytes]
   UUID:          	34ce4870-ffdf-467c-9a9e-345a53ed8a25
   Label:         	(no label)
   Subsystem:     	(no subsystem)
   Flags:       	(no flags)
   
   Data segments:
     0: crypt
   	offset: 16777216 [bytes]
   	length: (whole device)
   	cipher: aes-xts-plain64
   	sector: 512 [bytes]
   [...]

   Copy to Clipboard Toggle word wrap

2. 암호화된 빈 블록 장치의 상태를 확인합니다.

   # cryptsetup status nvme0n1p1_encrypted
   
   /dev/mapper/nvme0n1p1_encrypted is active and is in use.
     type:    LUKS2
     cipher:  aes-xts-plain64
     keysize: 512 bits
     key location: keyring
     device:  /dev/nvme0n1p1
     sector size:  512
     offset:  32768 sectors
     size:    20938752 sectors
     mode:    read/write

   Copy to Clipboard Toggle word wrap

프로세스

1. RHEL 8 웹 콘솔에 로그인합니다.

   자세한 내용은 웹 콘솔에 로그인 을 참조하십시오.

2. 패널에서 스토리지를 클릭합니다.
3. 스토리지 테이블에서 암호화할 스토리지 장치에 대한 메뉴 버튼을 클릭하고 포맷 을 클릭합니다.
4. 암호화 필드에서 암호화 사양, LUKS1 또는 LUKS2 를 선택합니다.
5. 새 암호를 설정하고 확인합니다.
6. 선택 사항: 추가 암호화 옵션을 수정합니다.
7. 형식 설정 완료.
8. 형식 을 클릭합니다.

프로세스

1. RHEL 8 웹 콘솔에 로그인합니다.

   자세한 내용은 웹 콘솔에 로그인 을 참조하십시오.

2. 패널에서 스토리지를 클릭합니다.
3. 스토리지 테이블에서 암호화된 데이터가 있는 디스크를 선택합니다.
4. 디스크 페이지에서 Keys 섹션으로 스크롤하여 편집 버튼을 클릭합니다.

5. 암호 변경 대화 상자 창에서 다음을 수행합니다.

   1. 현재 암호를 입력합니다.
   2. 새 암호를 입력합니다.
   3. 새 암호를 확인합니다.
6. 저장을 클릭합니다.

프로세스

1. LUKS 암호화된 장치에서 기존 암호를 변경합니다.

   # cryptsetup luksChangeKey /dev/<device_ID>

   Copy to Clipboard Toggle word wrap

   & lt;device_ID& gt;를 장치 지정자로 바꿉니다(예: sda ).

   여러 개의 키 슬롯이 구성된 경우 작업할 슬롯을 지정할 수 있습니다.

   # cryptsetup luksChangeKey /dev/<device_ID> --key-slot <slot_number>

   Copy to Clipboard Toggle word wrap

   & lt;slot_number >를 수정할 키 슬롯 수로 바꿉니다.

2. 현재 암호와 새 암호를 삽입합니다.

   Enter passphrase to be changed:
   Enter new passphrase:
   Verify passphrase:

   Copy to Clipboard Toggle word wrap

3. 새 암호를 확인합니다.

   # cryptsetup --verbose open --test-passphrase /dev/<device_ID>

   Copy to Clipboard Toggle word wrap

검증

1. 새 암호가 장치의 잠금을 해제할 수 있는지 확인합니다.

   Enter passphrase for /dev/<device_ID>:
   Key slot <slot_number> unlocked.
   Command successful.

   Copy to Clipboard Toggle word wrap

프로세스

1. 중요한 변수를 암호화된 파일에 저장합니다.

   1. 자격 증명 모음을 생성합니다.

      $ ansible-vault create ~/vault.yml
      New Vault password: <vault_password>
      Confirm New Vault password: <vault_password>

      Copy to Clipboard Toggle word wrap

   2. ansible-vault create 명령이 편집기를 열고 < key > : < value > 형식으로 중요한 데이터를 입력합니다.

      luks_password: <password>

      Copy to Clipboard Toggle word wrap
   3. 변경 사항을 저장하고 편집기를 종료합니다. Ansible은 자격 증명 모음의 데이터를 암호화합니다.

2. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다.

   ---
   - name: Manage local storage
     hosts: managed-node-01.example.com
     vars_files:
       - ~/vault.yml
     tasks:
       - name: Create and configure a volume encrypted with LUKS
         ansible.builtin.include_role:
           name: redhat.rhel_system_roles.storage
         vars:
           storage_volumes:
             - name: barefs
               type: disk
               disks:
                 - sdb
               fs_type: xfs
               fs_label: <label>
               mount_point: /mnt/data
               encryption: true
               encryption_password: "{{ luks_password }}"

   Copy to Clipboard Toggle word wrap

   플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/roles/rhel-system-roles.storage/README.md 파일을 참조하십시오.

3. 플레이북 구문을 확인합니다.

   $ ansible-playbook --ask-vault-pass --syntax-check ~/playbook.yml

   Copy to Clipboard Toggle word wrap

   이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

4. Playbook을 실행합니다.

   $ ansible-playbook --ask-vault-pass ~/playbook.yml

   Copy to Clipboard Toggle word wrap

검증

1. LUKS 암호화된 볼륨의 luksUUID 값을 찾습니다.

   # ansible managed-node-01.example.com -m command -a 'cryptsetup luksUUID /dev/sdb'
   
   4e4e7970-1822-470e-b55a-e91efe5d0f5c

   Copy to Clipboard Toggle word wrap

2. 볼륨의 암호화 상태를 확인합니다.

   # ansible managed-node-01.example.com -m command -a 'cryptsetup status luks-4e4e7970-1822-470e-b55a-e91efe5d0f5c'
   
   /dev/mapper/luks-4e4e7970-1822-470e-b55a-e91efe5d0f5c is active and is in use.
     type:    LUKS2
     cipher:  aes-xts-plain64
     keysize: 512 bits
     key location: keyring
     device:  /dev/sdb
   ...

   Copy to Clipboard Toggle word wrap

3. 생성된 LUKS 암호화된 볼륨을 확인합니다.

   # ansible managed-node-01.example.com -m command -a 'cryptsetup luksDump /dev/sdb'
   
   LUKS header information
   Version:        2
   Epoch:          3
   Metadata area:  16384 [bytes]
   Keyslots area:  16744448 [bytes]
   UUID:           4e4e7970-1822-470e-b55a-e91efe5d0f5c
   Label:          (no label)
   Subsystem:      (no subsystem)
   Flags:          (no flags)
   
   Data segments:
     0: crypt
           offset: 16777216 [bytes]
           length: (whole device)
           cipher: aes-xts-plain64
           sector: 512 [bytes]
   ...

   Copy to Clipboard Toggle word wrap