ما هو LUKS، وكيف يقوم بتأمين نظام الملفات Linux الخاص بك؟

ما هو LUKS، وكيف يقوم بتأمين نظام الملفات Linux الخاص بك؟

بقلم

النقاط الرئيسية

  • Linux Unified Key Setup (LUKS) عبارة عن مواصفات تشفير القرص لنظام Linux.
  • يستخدم LUKS مفتاحًا رئيسيًا لتشفير البيانات، مع عبارات مرور لفتح المفتاح.
  • تحمي LUKS بيانات المستخدم على الأجهزة المحظورة، بما في ذلك أجهزة الكمبيوتر المحمولة ومحركات الأقراص الخارجية، من السرقة.



هل صادفت مصطلح “LUKS” ولكنك لا تعرف ما يفعله أو ما علاقته بنظام Linux؟ إذا كنت مهتمًا بحماية بياناتك، فإن إعداد LUKS أمر ضروري بالنسبة لك. في هذا الدليل، سأشرح لك كيفية عمل LUKS وكيف يساعدك في تأمين بياناتك المهمة.


ما هو LUKS على Linux؟

Linux Unified Key Setup (أو LUKS باختصار) هو مواصفات تشفير القرص المستخدمة على نطاق واسع في أنظمة Linux. تم إنشاؤه بواسطة Clemens Fruhwirth في عام 2004، وهو مصمم لتوفير آلية تشفير موحدة آمنة وسهلة الاستخدام. إنه يحمي البيانات عن طريق تشفيرها داخل أقسام القرص المادية والمنطقية بحيث يمكن للمستخدمين المصرح لهم فقط الوصول إلى محتوى هذا القسم المشفر. يمكنك التفكير فيه على أنه مشابه لـ Windows BitLocker.


يعمل LUKS على مستوى الكتلة. فهو يشفر أقسامًا أو أقراصًا كاملة بدلاً من الملفات الفردية. ويستخدم خوارزميات تشفير قوية مثل AES (معيار التشفير المتقدم). ويستخدم رأس القسم لتخزين معلومات الإعداد الضرورية مثل خوارزمية التشفير وحجم المفتاح. وهذا الرأس هو ما يميز LUKS عن dm-crypt. وإذا تعرض الرأس للتلف، فلن تتمكن من فك تشفير الجهاز.

كيف يعمل LUKS

يقوم تشفير LUKS بإنشاء حاوية مشفرة تسمى وحدة تخزين LUKS على قسم القرص. ويستخدم خوارزميات متماثلة مثل AES لتشفير وحدة التخزين التي لا يمكن الوصول إليها إلا باستخدام عبارة مرور. وعند إلغاء قفل وحدة تخزين LUKS، تصبح قابلة للوصول مثل جهاز كتلة عادي. وبالتالي يمكنك القراءة منها والكتابة إليها.


يخزن LUKS بيانات التشفير الخاصة به في قسم خاص في بداية القسم المشفر يسمى رأس LUKS. يحتوي هذا الرأس على بعض المعلومات المهمة مثل التشفير والوضع ووظيفة التجزئة وفتحات المفاتيح. يتم التشفير الفعلي للقسم باستخدام مفتاح رئيسي. يتم إنشاء هذا المفتاح الرئيسي بشكل عشوائي عند تهيئة إعداد LUKS. هذا المفتاح الرئيسي هو ما يقوم بتشفير وفك تشفير البيانات الموجودة على القسم بشكل مباشر. لا تقوم عبارة المرور بتشفير البيانات. بدلاً من ذلك، تقوم بتشفير المفتاح الرئيسي المخزن في فتحات المفاتيح.

إذا كنت تريد الوصول إلى البيانات المشفرة، فإن برنامج LUKS يتطلب منك إدخال عبارة مرور. ثم تُستخدم عبارة المرور هذه لفك تشفير المفتاح الرئيسي المخزن في إحدى فتحات المفاتيح. بعد فك تشفير المفتاح الرئيسي، يُستخدم هذا المفتاح بدوره لفك تشفير البيانات الموجودة على القسم.

لماذا يجب عليك استخدام LUKS

تميمة لينكس تخرج من جهاز كمبيوتر محمول، تحمل درعًا، وبجانبه قفل.
لوكاس جوفيا / مهووس بالكيفية | التصميم المتوافق / شاترستوك


السبب الرئيسي لاستخدام LUKS هو حماية بيانات المستخدم. يمكن لـ LUKS تشفير أجهزة الكتلة بالكامل، مما يجعلها مناسبة لحماية البيانات في الأجهزة المحمولة مثل محركات أقراص الكمبيوتر المحمول والوسائط القابلة للإزالة. نظرًا لأن محتوى أجهزة الكتلة المشفرة عشوائي، فهي جيدة أيضًا لتشفير أجهزة المبادلة.

يُستخدم LUKS عادةً لتشفير القرص بالكامل. يمكنك تشفير القسم الجذري لنظام Linux الخاص بك أثناء التثبيت حتى لا يتمكن أي شخص بدون إذن من الوصول إلى ملفات النظام. يمكنك أيضًا تشفير قسم التمهيد في نظام Linux للحماية من العبث بنواة Linux. إذا كنت تستخدم systemd، فيمكنك أيضًا تشفير الدلائل الرئيسية الفردية.

يدعم LUKS فتحات مفاتيح متعددة، مما يتيح لك الفرصة لتعيين عبارات مرور مختلفة لنفس القسم المشفر. لذا، إذا كان لديك إعداد متعدد المستخدمين، فيمكن لكل مستخدم الحصول على مفتاح فك تشفير فردي دون الحاجة إلى مشاركة عبارة مرور مشتركة. وعلاوة على ذلك، إذا تم نسيان عبارة مرور واحدة، فيمكن استخدام عبارات أخرى للوصول إلى البيانات.


إنه يحمي جهازك من السرقة المادية. حتى إذا تمت سرقة الكمبيوتر المحمول أو القرص الصلب الخارجي أو أجهزة التخزين الأخرى، فإن البيانات الموجودة بداخله تظل غير قابلة للوصول بدون مفتاح فك التشفير الصحيح.

إنه يحتوي على بعض المصيد

تتمثل إحدى أكبر عيوب استخدام تشفير القرص الكامل في مشكلات الأداء. يتطلب فك تشفير البيانات أثناء التشغيل قوة معالجة، مما يؤدي إلى سرعات قراءة وكتابة أبطأ. إذا كان لديك أجهزة حديثة، فقد يكون الفارق ضئيلًا في بعض الأحيان، لكنه ليس مستحيلًا تمامًا. ستواجه أيضًا زيادة في وقت التمهيد لأن النظام يحتاج إلى فك تشفير محرك الأقراص بالكامل قبل تحميل نظام التشغيل بالكامل. يمكنك قراءة المزيد حول هذا الموضوع في هذا الموضوع على موقع Reddit و هذا اختبار معياري.

ملاحظة مهمة أخرى هي أن تشفير القرص LUKS سيحمي بياناتك فقط عندما يكون نظامك مغلقًا. إذا سُرق الكمبيوتر المحمول الخاص بك أثناء تشغيله وكان القرص مُشفَّرًا بالفعل، فقد يتمكن اللص من الوصول إلى بياناتك دون الحاجة إلى تجاوز التشفير. بمجرد فك التشفير، يصبح لدى أي شخص حق الوصول إلى الملفات الموجودة على هذا القرص.


إن إعداد تشفير LUKS ليس عملية سهلة على أنظمة Linux المثبتة مسبقًا. فهو يتطلب نسخة احتياطية كاملة حتى تتمكن من استعادة البيانات المهمة في حالة فقدها. وعند الحديث عن النسخ الاحتياطية، فإن النسخ الاحتياطية المشفرة تحتاج إلى معالجة دقيقة. فإذا فقدت مفتاح فك التشفير، فقد لا تتمكن أبدًا من استعادة بياناتك.

كيفية إعداد تشفير LUKS

الطريقة الأسهل لإعداد تشفير القرص الكامل باستخدام LUKS هي عند تثبيت Linux لأول مرة. دعني أوضح لك كيفية القيام بذلك على Ubuntu 24.04.

أثناء التثبيت، يجب أن ترى مطالبة بإعداد القرص. اضغط على “الميزات المتقدمة”.

مثال على مطالبة إعداد القرص أثناء تثبيت Ubuntu.


من القائمة، حدد “استخدام LVM والتشفير”. اضغط على “موافق”.

يتم عرض خيارات إعداد القرص المختلفة أثناء تثبيت Ubuntu.

اضغط على زر “التالي” للمتابعة. في الشاشة التالية، سيُطلب منك إنشاء عبارة مرور. أدخل عبارة مرور آمنة في كلا الحقلين واضغط على “التالي”.

مطالبة تطلب منك إنشاء عبارة مرور لتشفير بياناتك أثناء تثبيت Ubuntu.

ثم واصل بقية التثبيت.


إذا كنت لا تريد إعادة تثبيت Linux، فهناك أداة مساعدة تسمى إعداد التشفير لإعداد أنظمة الملفات المشفرة. قد تحتاج إلى امتيازات الجذر لتشغيل بعض الأوامر. أولاً، ستحتاج إلى تثبيته. على Debian/Ubuntu، قم بتشغيل:

sudo apt install cryptsetup

قم بإدراج الأقسام المتوفرة لديك باستخدام الأوامر التالية:

sudo fdisk -l 


 blkid

اكتشف القسم الذي تريد تشفيره من القائمة.

بعد ذلك، استخدم أداة cryptsetup لتشفير القسم الذي اخترته بالطريقة التالية:

cryptsetup -y -v luksFormat /path/to/partition 


 cryptsetup -y -v luksFormat /dev/xvdc # For example

سيُطلب منك تأكيد رغبتك في استبدال القسم ثم إدخال عبارة مرور. يجب عليك حفظ عبارة المرور وتذكرها لأنها غير قابلة للاسترداد.


سيؤدي الأمر أعلاه إلى مسح جميع البيانات الموجودة على القسم. تأكد من عمل نسخة احتياطية لأي بيانات مهمة.

بعد ذلك، قم بإنشاء تعيين منطقي عن طريق تشغيل:

cryptsetup luksOpen /path/to/partition partition_name 


 cryptsetup luksOpen /dev/xvdc backup_partition # For example

أدخل عبارة المرور عند مطالبتك بذلك. سيؤدي هذا إلى تهيئة وحدة التخزين. للاطلاع على تفاصيل التعيين، قم بتشغيل:

ls -l /dev/mapper/backup_partition

لرؤية حالة الخريطة، استخدم:

cryptsetup -v status backup_partition

بعد ذلك، استخدم cryptsetup لمعرفة ما إذا كان الجهاز قد تم تهيئة الجهاز بشكل صحيح للتشفير.

cryptsetup luksDump /path/to/partition 


 cryptsetup luksDump /dev/xvdc # For example

استخدم الأمر dd لتخصيص بيانات الكتلة ذات الأصفار إلى القسم المشفر باستخدام LUKS:


dd if=/dev/zero of=/dev/mapper/backup_partition

بمجرد الانتهاء، قم بتهيئة القسم الجديد باستخدام هذا الأمر:

mkfs.ext4 /dev/mapper/backup_partition

لقد استخدمت نظام الملفات ext4 هنا. يمكنك استخدام نظام الملفات المفضل لديك. وأخيرًا، قم بتثبيت نظام الملفات الجديد.

mkdir /backup2
mount /dev/mapper/backup_partition /backup_partition
df -H
cd /backup_partition
ls -l

إذا كنت تريد تغيير عبارة المرور للقسم المشفر، فقم بتشغيل الأوامر أدناه:

cryptsetup luksDump /dev/xvdc # Using /dev/xvdc as an example 


 ​​​​​​​cryptsetup luksAddKey /dev/xvdc # Using /dev/xvdc as an example

سيُطلب منك إدخال عبارة مرور جديدة ثم تأكيدها.

من خلال تنفيذ LUKS، يمكنك ضمان أمان أفضل لبياناتك السرية. كما أنه مناسب للأجهزة التي يستخدمها مستخدمون متعددون. يمكنك اتخاذ العديد من التدابير الأخرى لجعل جهاز Linux الخاص بك أكثر أمانًا.

أضف تعليق