digitalocean是我们熟悉的一家美国云主机服务器商,产品整体性能优越,而且采用ssd硬盘存储,支持按小时计费模式,因而备受国内站长欢迎。digitalocean volumes是可扩展的,基于ssd的块存储设备。卷使您可以创建和扩展基础结构的存储容量,而无需调整droplet的大小。volumes在静止状态下被加密,这意味着卷上的数据在其存储群集之外无法读取。将volumes附加到droplet时,droplet会显示一个解密的块存储设备,并且所有数据都通过隔离的网络传输。
为了提高安全性,您还可以在volume 的luks加密磁盘中创建文件系统。这意味着磁盘将需要由droplet上的操作系统解密才能读取任何数据。下面就给大家简单介绍下如何在digitalocean块存储上创建加密的文件系统,仅供大家参考。
一、创建加密磁盘
cryptsetup是一个实用程序,用于管理其他加密格式之外的luks卷。首先,用于cryptsetup初始化卷上的加密磁盘。
sudo cryptsetup -y -v luksformat /dev/disk/by-id/scsi-0do_volume_volume-lon1-01
确保volume-lon1-01用volume的名称替换。-y当系统提示您创建密码时,该标志将要求您输入两次密码。该-v标志添加了其他人类可读的输出,以验证命令是否成功。
输出将要求您确认覆盖卷上的数据。键入yes全部大写,然后按enter继续。
output
warning!
========
this will overwrite data on /dev/disk/by-id/scsi-0do_volume_volume-lon1-01 irrevocably.
are you sure? (type uppercase yes): yes
接下来,输出将提示您为加密磁盘创建密码。输入一个唯一的强密码短语,然后再次输入以进行验证。此密码无法恢复,因此请将其保存在安全的地方。
output
. . .
enter passphrase:
verify passphrase:
command successful.
如果需要,将来可以使用cryptsetup lukschangekey命令更改此密码。您还可以使用最多为每个设备添加8个其他密码短语cryptsetup luksaddkey。
此时,您的磁盘已创建并加密。接下来,将其解密并将其映射到标签以便于引用。在这里,我们将其标记为secure-volume,但是您可以使用任何喜欢的标记它。
sudo cryptsetup luksopen /dev/disk/by-id/scsi-0do_volume_volume-lon1-01 secure-volume
系统将提示您输入密码。输入后,卷现在将映射到/dev/mapper/secure-volume。
为确保一切正常,请验证加密磁盘的详细信息。
cryptsetup status secure-volume
您将看到这样的输出,指示“卷”标签和类型。
output
/dev/mapper/secure-volume is active.
type: luks1
cipher: aes-xts-plain64
keysize: 256 bits
device: /dev/sda
offset: 4096 sectors
size: 209711104 sectors
mode: read/write
此时,您具有受密码保护的加密磁盘。下一步是在该磁盘上创建文件系统,以便操作系统可以使用它来存储文件。
二、创建和挂载文件系统
首先让我们看一下droplet上的当前可用磁盘空间。
df -h
您将看到类似于此的输出,具体取决于您的droplet配置:
output
filesystem size used avail use% mounted on
udev 2.0g 0 2.0g 0% /dev
tmpfs 396m 5.6m 390m 2% /run
/dev/vda1 78g 877m 77g 2% /
tmpfs 2.0g 0 2.0g 0% /dev/shm
tmpfs 5.0m 0 5.0m 0% /run/lock
tmpfs 2.0g 0 2.0g 0% /sys/fs/cgroup
/dev/vda15 105m 3.4m 101m 4% /boot/efi
tmpfs 396m 0 396m 0% /run/user/1000
目前,由于droplet尚无法访问该卷,因此未显示在此列表上。为了使其可访问,我们需要创建并挂载文件系统。/dev/mapper/secure-volume
使用mkfs.xfs实用程序(中号一个? ? ?f ile 小号 ystem)来创建一个xfs在卷上的文件系统。
sudo mkfs.xfs /dev/mapper/secure-volume
创建文件系统后,您可以挂载它,这意味着可以在droplet上将其提供给操作系统使用。
创建一个挂载点,将文件系统附加到该挂载点。挂载点的一个很好的建议是该目录中有一个空/mnt目录,因此我们将使用。/mnt/secure
sudo mkdir /mnt/secure
然后挂载文件系统。
sudo mount /dev/mapper/secure-volume /mnt/secure
为确保其正常工作,请再次检查droplet上的可用磁盘空间。
df -h
现在,您会看到列出的内容。/dev/mapper/secure-volume
output
filesystem size used avail use% mounted on
udev 2.0g 0 2.0g 0% /dev
tmpfs 396m 5.6m 390m 2% /run
/dev/vda1 78g 877m 77g 2% /
tmpfs 2.0g 0 2.0g 0% /dev/shm
tmpfs 5.0m 0 5.0m 0% /run/lock
tmpfs 2.0g 0 2.0g 0% /sys/fs/cgroup
/dev/vda15 105m 3.4m 101m 4% /boot/efi
tmpfs 396m 0 396m 0% /run/user/1000
/dev/mapper/secure-volume 100g 33m 100g 1% /mnt/secure
这意味着您的加密文件系统已连接并可以使用。
当不再需要访问卷上的数据时,可以卸载文件系统并锁定加密的磁盘。
sudo umount /mnt/secure
sudo cryptsetup luksclose secure-volume
您可以验证df -h文件系统不再可用。为了使卷上的数据再次可访问,您将执行以下步骤来打开磁盘(cryptsetup luksopen …),创建安装点并安装文件系统。
为了避免每次要使用volume时都要执行此手动过程,可以将文件系统配置为在droplet引导时自动挂载。
三、在启动时自动挂载文件系统
加密的磁盘最多可以具有8个密码短语。在最后一步中,我们将创建一个密钥并将其添加为密码短语,然后使用该密钥来配置要在droplet引导时解密和装入的volume。
在创建密钥文件/root/.secure_key。此命令将创建一个具有随机内容的4 kb文件:
sudo dd if=/dev/urandom of=/root/.secure-key bs=1024 count=4
调整此密钥文件的权限,以便只有root用户才能读取。
sudo chmod 0400 /root/.secure-key
然后将密钥添加为加密磁盘的密码。
cryptsetup luksaddkey /dev/disk/by-id/scsi-0do_volume_volume-lon1-01 /root/.secure-key
系统会提示您输入密码。您可以输入首次创建加密磁盘时设置的磁盘。
/etc/crypttab是一个配置文件,用于定义要在系统启动时设置的加密磁盘。使用nano或您喜欢的文本编辑器打开此文件。
sudo nano /etc/crypttab
将以下行添加到文件底部以在启动时映射卷。
/ etc / crypttab
. . .
secure-volume /dev/disk/by-id/scsi-0do_volume_volume-lon1-01 /root/.secure-key luks
中的行格式/etc/crypttab为device_name device_path key_path options。在这里,设备名称为secure-volume(或您选择的名称),路径为,密钥文件是我们刚刚在创建的,而选项指定加密。/dev/dis