DigitalOcean是我们熟悉的美国云主机服务器公司。其整体性能优越,采用SSD硬盘存储,支持按小时计费模式,因此受到国内站长的欢迎。DigitalOcean Volumes是一款基于固态硬盘的可扩展块存储设备。宗卷使您能够创建和扩展基础架构的存储容量,而无需调整Droplet的大小。卷在静态时是加密的,这意味着卷上的数据不能在其存储群集之外读取。当Volumes连接到Droplet时,Droplet会显示一个解密的块存储设备,所有数据都通过隔离网络传输。
为了提高安全性,您还可以在卷的LUKS加密磁盘上创建文件系统。这意味着磁盘将需要被小滴上的操作系统解密以读取任何数据。这里简单介绍一下如何在DigitalOcean block storage上创建加密文件系统,仅供参考。
首先,创建一个加密磁盘
Cryptsetup是一个用于管理LUKS卷而不是其他加密格式的实用程序。首先,它用于cryptsetup初始化卷上的加密磁盘。
sudo cryptsetup-y-v luks format/dev/disk/by-id/SCSI-0DO _ Volume _ Volume-lon 1-01
确保将Volume-lon1-01替换为卷名。-y当提示创建密码时,标牌会要求您输入两次密码。v标志添加了其他人类可读的输出来验证命令是否成功。
输出将要求您确认覆盖卷上的数据。键入YES,全部大写,然后按ENTER键继续。
输出
警告!
========
这将不可撤销地覆盖/dev/disk/by-id/SCSI-0DO _ Volume _ Volume-lon 1-01上的数据。
你确定吗?(键入大写的是):是
接下来,输出将提示您为加密磁盘创建一个密码。输入唯一的强密码,然后再次输入以进行验证。此密码无法恢复,因此请将其保存在安全的地方。
输出。
输入密码:
验证密码:
命令成功。
如果需要,以后可以使用cryptsetup luksChangeKey命令来更改此密码。您还可以使用为每台设备添加最多八个其他密码。
此时,您的磁盘已创建并加密。接下来,对其进行解密,并将其映射到一个标签,以便于引用。在这里,我们将其标记为安全卷,但您可以随意标记。
sudo cryptsetup luksOpen/dev/disk/by-id/SCSI-0DO _ Volume _ Volume-lon 1-01 secure-Volume
系统将提示您输入密码。输入后,卷现在将映射到/dev/mapper/secure-volume。
为了确保一切正常,请验证加密磁盘的详细信息。
加密设置状态安全卷
您将看到指示卷标和类型的输出。
输出
/dev/mapper/secure-volume处于活动状态。
类型:LUKS1
密码:aes-xts-plain64
密钥大小:256位
设备:/dev/sda
偏移量:4096个扇区
尺寸:209711104扇区
模式:读/写
此时,您有一个受密码保护的加密磁盘。下一步是在这个磁盘上创建一个文件系统,以便操作系统可以使用它来存储文件。
其次,创建并挂载文件系统
首先,我们来看看Droplet上当前可用的磁盘空间。
东风-h
根据您的Droplet配置,您将看到与此类似的输出:
输出
已使用的文件系统大小可用百分比装载于
udev 2.0G 0 2.0G 0%/开发
tmpfs 396M米5.6米390米2%/运行
/dev/vda1 78G 877M 77G 2% /
tmpfs 2.0G 0 2.0G 0% /dev/shm
tmpfs 5.0M 0 5.0M 0%/运行/锁定
tmpfs 2.0G 0 2.0G 0% /sys/fs/cgroup
/dev/vda 15 105米3.4米101米4% /boot/efi
tmpfs 396m 0 396m 0%/运行/用户/1000
目前,该Droplet没有出现在此列表中,因为它还不能访问该卷。为了使其可访问,我们需要创建并挂载文件系统。/dev/mapper/安全卷
使用mkfs.xfs实用程序(一个介质?乐飞小号系统)来创建一个F ILE系统与XFS对卷。
sudo mkfs . xfs/dev/mapper/安全卷
创建文件系统后,您可以挂载它,这意味着您可以在Droplet上让操作系统使用它。
创建一个挂载点,并将文件系统连接到该挂载点。对于挂载点,一个好的建议是在这个目录中有一个空的/mnt目录,所以我们将使用。/mnt/secure
sudo mkdir /mnt/secure
然后挂载文件系统。
sudo装载/开发/映射器/安全-卷/管理/安全
为了确保它正常工作,请再次检查Droplet上的可用磁盘空间。
东风-h
现在,您将看到列出的内容。/dev/mapper/安全卷
输出
已使用的文件系统大小可用百分比装载于
udev 2.0G 0 2.0G 0%/开发
tmpfs 396M米5.6米390米2%/运行
/dev/vda1 78G 877M 77G 2% /
tmpfs 2.0G 0 2.0G 0% /dev/shm
tmpfs 5.0M 0 5.0M 0%/运行/锁定
tmpfs 2.0G 0 2.0G 0% /sys/fs/cgroup
/dev/vda 15 105米3.4米101米4% /boot/efi
tmpfs 396m 0 396m 0%/运行/用户/1000
/dev/mapper/secure-卷100G 33M 100G 1% /mnt/secure
这意味着您的加密文件系统已连接并且可以使用。
当您不再需要访问宗卷上的数据时,您可以卸载文件系统并锁定加密的磁盘。
sudo卸载/管理/安全
sudo cryptsetup luksClose安全卷
您可以验证df -h文件系统不再可用。为了使卷上的数据可以再次访问,您将执行以下步骤来打开磁盘(cryptsetup luksOpen …),创建挂载点并挂载文件系统。
为了避免每次想要使用宗卷时都要进行手动操作,您可以将文件系统配置为在Droplet启动时自动装载。
3.启动时自动挂载文件系统。
加密磁盘最多可以有8个密码。在最后一步中,我们将创建一个密钥并将其添加为一个密码短语,然后使用这个密钥来配置在Droplet引导时要解密和装载的卷。
创建密钥文件/root/。输入secure_key。该命令将创建一个包含随机内容的4 KB文件:
sudo dd if=/dev/urandom of=/root/。安全密钥bs=1024计数=4
调整此密钥文件的权限,以便只有根用户可以读取它。
sudo chmod 0400 /root/。安全密钥
然后添加密钥作为加密磁盘的密码。
cryptsetup luksAddKey/dev/disk/by-id/SCSI-0DO _ Volume _ Volume-lo n1-01/root/。安全密钥
系统将提示您输入密码。您可以输入第一次创建加密磁盘时设置的磁盘。
/etc/crypttab是一个配置文件,它定义了系统启动时要设置的加密磁盘。用nano或者你喜欢的文本编辑器打开这个文件。
sudo nano /etc/crypttab
将下面一行添加到文件的底部,以便在启动时映射卷。
/etc/crypttab。
secure-Volume/dev/disk/by-id/SCSI-0DO _ Volume _ Volume-lo n1-01/root/。安全钥匙luk
/etc/crypttab中的行格式是device _ name device _ path key _ path options。这里,设备名是secure-volume(或您选择的名称),路径是,密钥文件是我们刚刚创建的,选项指定加密。/dev/disk/by-id/…/root/。secure_keyluks
保存并关闭文件。
/etc/fstab是用于自动安装的配置文件。打开此文件进行编辑。
sudo nano /etc/fstab
在文件的底部添加下面一行,以便在引导时自动挂载磁盘。
/etc/fstab。
/dev/mapper/secure-volume/mnt/secure xfs默认值,nofail 0 0
/etc/fstab行中的前三个参数始终是设备路径装载点文件系统类型。这里,我们有与步骤2中相同的设备路径和安装点,并指定XFS文件系统。您可以在fstab的手册页中了解其他字段。
保存并关闭文件。现在,将您的加密文件系统设置为在Droplet启动时自动挂载。您可以通过重新启动Droplet来测试它,但请谨慎使用任何正在运行的服务。
默认情况下,DigitalOcean宗卷在未连接到Droplet时会被加密。在本教程中,您通过将文件系统放在卷上的加密磁盘上,添加了额外的安全层。您可以创建加密磁盘,给它添加密码,然后手动或自动装载它,以便在Droplet中使用。
本文由美国主持侦探(www.idcspy.com)原创,转载请注明!
更多关于云服务器,域名注册,虚拟主机的问题,请访问西部数码代理官网:www.chenqinet.cn。