Linux 보안강화를 위한 데이터 암호화.

리눅스를 서버로 사용하다 보면 외부의 엄청난 침입 시도를 종종 발견하게 된다. 그래서 혹시나 내가 관리하지 못해서 서버가 뚫리고 내가 개인적으로 저장해놓거나 중요한 문서들을 침입자들이 강제로 가져가는 상황이 무섭다. 그래서 파일의 암호화를 찾던 도중 나름 쓰기도 좋고 보안도 우수한 방법을 찾게 되었다.

"cryptsetup"이라는 툴이다.

cryptsetup 은 LUKS 로 디스크를 암호화 해준다. LUKS 는 리눅스디스크 암호화 시키는 표준이며 DM-Crypt 를 기반으로 암호화를 시켜준다. DM-Crypt 는 DM (Device Mapper) 을 기반으로 커널의 Crypto-API 를 사용해 디스크를 암호화 시킨다.

내가 이 방식을 좋아하게 된 가장 큰 이유는 커널수준의 암호화 방식이기 때문에 마운트가 된 후로 별다른 작업이 필요하지 않고 바로 사용이 가능하며 마운트를 해제하면 깔끔하게 내용이 사라지기 때문이다.

암호화 대상은 보통 파티션을 암호화 시키는데 내가 사용한 방법은 파일을 마운트하여 사용했다. 리눅스에 전반적인 지식이 많이 부족한 나는 디스크 관리의 방법을 잘 알지 못하고 이후에 내용을 지우고 싶을때는 파일만 삭제하면 작업한 모든것들이 깔끔하게 지워진다고 생각되기 때문이다.

# cryptsetup 의 설치 # 우분투 14.04 $ apt-get install cryptsetup # Centos $ yum install cryptsetup

암호화 대상 파일을 만들고 마운트하여 일반 장치 처럼 사용할수 있도록 한다.

# 암호화 시킬 빈 파일 생성 (50M) $ dd if=/dev/urandom of=/tmp/testVolumn" bs=1M count=50 # DM-Crypt LUKS 컨테이너 생성 $ cryptsetup -y luksFormat /tmp/testVolumn WARNING! // 만들어지는 파일이 덮어씌인다는 경고. ======== This will overwrite data on /tmp/testVolumn irrevocably. Are you sure? (Type uppercase yes): // 꼭 대문자로 YES 를 입력해야 한다. Enter passphrase: // 암호화에 사용할 키를 입력한다. Verify passphrase: // 키 확인

암호화 디스크의 마운트

$ cryptsetup luksOpen /tmp/testVolumn testVolumn Enter passphrase for /tmp/testVolumn : // 최초 생성한 키를 입력한다. # 새로 생성된 파티션의 파일시스템을 ext4 로 만들어준다. $ mkfs.ext4 -j /dev/mapper/testVolumn # 마운트될 폴더를 만들고 마운트를 시켜준다. $ mkdir /data $ mount /dev/mapper/testVolumn /data

다 만들어졌다. 이제 사용하는 일만 남았다.

/data 폴더를 들어가 보면 lost+fount 라는 폴더가 보일것이다. 그곳에 일반 리눅스를 사용하듯이 데이터를 넣고 사용하면 된다.

사용후 마운트 종료의 방법

# 마운트 해제 후 LUKS 파일의 사용 종료 $ umount /data $ cryptsetup luksClose testVolumn

이제 /data 폴더를 들어가도 아무 내용도 볼수 없다.

이상 내가 사용한 중요한 정보의 암호화 방법이다.