Как сделать шифрованный раздел на файле

Шифрованный раздел на файле

Итак, на одном сервере мне понадобилось побыстрому сделать отдельный шифрованный раздел, возникла вдруг такая потребность. Переразбивать диски и как-то править разделы совсем не хотелось, поэтому решил сделать шифрованный раздел на файле.

Преимуществом такого подхода является возможность все сделать налету, без изменения партиций и установки и настройки дополнительного ПО. Главное впоследствии не забыть, что сделано именно так.

Итак как сделать шифрованный раздел на файле?

Все процедуры я описываю для системы Ubuntu Server LTS 16.04.

Для этой операции нам понадобиться установить несколько пакетов

apt update && apt install cryptsetup

Смотрим на каком разделе есть достаточно места под наши цели и создаем там файл нужного размера

cd /home && fallocate -l 8G data.img

Форматируем его как шифрованный раздел, при этом программа предупредит о том что все данные будут утеряны и попросит ввести ‘YES’. А также попросит ввести вас пароль. Вводим пароль 2 раза и сохраняем его в какое-нибудь безопасное место, например в keepass.

cryptsetup -y luksFormat /home/data.img

Теперь выделенный файл отформатирован под шифрованный раздел, но в системе еще не виден. Для этого его надо промапить как устройство. При этом будет запрошен пароль, который использовался шагом выше.

cryptsetup luksOpen /home/data.img data_decrypt

Диск станет доступным для проведения с ним операций как с блочным устройством, так что теперь его вполне можно отформатировать.

mkfs.ext4 -j /dev/mapper/data_decrypt

Файловая система есть теперь диск можно подмонтировать

mkdir /data && mount /dev/mapper/data_decrypt /data

 

Вот и все диск доступен для записи туда можно складывать данные. В случае необходимости, его можно отмонтировать, закрыть и скопировать на другой сервер или переносной диск. Или вообще держать как временное хранилище для важных данных, которые не хочется таскать с собой. При этом LUKS поддерживает до 8 слотов для хранения паролей на один раздел, что позволяет организовать доступ разным людям с возможностью разграничения доступа данным на шифрованном диске.

Главное не забывать что при ребуте или закрытии диска, процедуру по открытию нужно повторять снова, также как и монтирование.

Вот в общем и все что я хотел рассказать по данному вопросу.