14 使用 cryptctl 对托管应用程序的储存区加密 #

以 root 身份运行：

# cryptctl init-server

回答随后出现的每个提示问题，并在每回答一个问题后按 Enter。如果有默认的答案，提示末尾的方括号中会显示此答案。

1. 创建一个极强的口令并妥善保护它。此口令可用于解锁服务器上注册的所有分区。

2. 指定 PEM 编码的 TLS 证书或证书链文件的路径，或者将该字段留空以创建自我签名证书。如果指定了路径，请使用绝对路径。

3. 如果您不想使用所显示的默认主机名来标识服务器，请指定主机名。cryptctl 随后将生成包含该主机名的证书。

4. 指定 IP 地址，该地址属于您要在其上监听来自客户端的解密请求的网络接口；然后设置端口号（默认端口为 3737）。

   默认 IP 地址设置 0.0.0.0 表示 cryptctl 将使用 IPv4 在所有网络接口上监听客户端请求。

5. 指定服务器上用于保存客户端解密密钥的目录。

6. 指定客户端是否需要使用 TLS 证书向服务器进行身份验证。如果您选择否，则表示客户端仅使用磁盘 UUID 进行身份验证。（不过，在所有情况下，都将使用服务器证书加密通讯。）

   如果您选择是，请选取一个用于对客户端证书进行签名的 PEM 编码的证书颁发机构。

7. 指定是否使用一台与 KMIP 1.3 兼容的服务器（或多台此类服务器）来储存客户端的加密密钥。如果您选择此选项，请提供一台或多台与 KMIP 兼容的服务器的主机名和端口。

   此外，请提供 KMIP 服务器的用户名、口令、CA 证书，以及 cryptctl 服务器的客户端身份证书。

   

   重要：无法轻松重新配置 KMIP 设置

   以后将无法轻松更改有关使用 KMIP 服务器的设置。要更改此设置，需要从头开始配置 cryptctl 服务器及其客户端。

8. 最后，配置一台 SMTP 服务器用于发送加密和解密请求的电子邮件通知，或者将提示留空以跳过电子邮件通知的设置。

   

   注意：受口令保护的服务器

   cryptctl 目前无法使用受身份验证保护的 SMTP 服务器发送电子邮件。如果必须发送电子邮件，请设置本地 SMTP 代理。

9. 当系统询问是否要启动 cryptctl 服务器时，请输入 y。

要检查服务 cryptctl-server 的状态，请使用：

# systemctl status cryptctl-server

以 root 身份运行：

# cryptctl encrypt

回答随后出现的每个提示问题，并在每回答一个问题后按 Enter。如果有默认的答案，提示末尾的方括号中会显示此答案。

1. 指定要在 cryptctl 服务器上连接到的主机名和端口。

2. 如果您已将服务器配置为要求客户端使用 TLS 证书进行身份验证，请指定客户端的证书和密钥文件。客户端证书必须由设置服务器时选择的证书颁发机构签名。

3. 指定服务器证书（*.crt 文件）的绝对路径。

4. 输入设置服务器时指定的加密口令。

5. 指定要加密的目录的路径。指定用于包含目录加密内容的空分区的路径。

6. 指定允许同时解密该分区的计算机数目。

   然后指定在从一个或多个客户端收到最后一个活跃信号之后到允许其他计算机解密分区之前必须经过的超时（以秒为单位）。

   当计算机意外停止工作然后再重引导时，它需要能够再次解锁其分区。这意味着，此超时应设置为比客户端重引导时长略短的时间。

   

   重要：超时时长

   如果设置的时间太长，计算机首次尝试解密加密分区时将会失败。虽然 cryptctl 之后会继续定期检查加密密钥是否可用，但这会造成一定的延迟。

   如果超时设置得太短，包含加密分区副本的计算机首先解锁该分区的可能性将会提高。

要开始加密，请输入 yes。

cryptctl 现在会将指定目录加密到先前为空的分区中，然后挂载这个新加密的分区。文件系统类型将与原始的未加密文件系统的类型相同。

在创建加密分区之前，cryptctl 会将原始目录的未加密内容移至带有 cryptctl-moved- 前缀的位置。

要检查是否确实正确挂载了该目录，请使用：

> lsblk -o NAME,MOUNTPOINT,UUID
NAME                        MOUNTPOINT          UUID
[...]
sdc
└─sdc1                                          PARTITION_UUID
  └─cryptctl-unlocked-sdc1  /secret-partition   UNLOCKED_UUID

cryptctl 通过加密分区的 UUID 来识别该分区。在上一示例中，其为 sdc1 旁边显示的 UUID。

在服务器上，您可以使用 cryptctl 来检查目录是否已解密。

# cryptctl list-keys

如果分区已成功解密，您将看到如下所示的输出：

2019/06/06 15:50:00 ReloadDB: successfully loaded database of 1 records
Total: 1 records (date and time are in zone EDT)
Used By     When                 UUID  Max.Users  Num.Users  Mount Point
IP_ADDRESS  2019-06-06 15:00:50  UUID  1          1          /secret-partition

如果分区未成功解密，您将看到如下所示的输出：

2019/06/06 15:50:00 ReloadDB: successfully loaded database of 1 records
Total: 1 records (date and time are in zone EDT)
Used By      When                 UUID  Max.Users  Num.Users  Mount Point
             2019-06-06 15:00:50  UUID  1          1          /secret-partition

在空的 Used by 列中可以看到差异。

校验显示的 UUID 是否属于先前加密的分区。

确认加密分区可正常工作后，从客户端中删除未加密内容。例如，使用 rm。为了提高安全性，请在删除文件内容之前将其重写（例如，使用 shred -u）。

重要：shred 不保证完全擦除该数据

使用 shred 不能保证完全去除所有数据，具体取决于储存媒体的类型。具体而言，SSD 通常采用耗损均衡策略，这使得 shred 的效率不高。