Inicio Explorar Ayuda
Iniciar sesión
bat9go
/
Ycsecurity
espejo de https://github.com/yandex-cloud/yc-solution-library-for-security
Seguir 1
Destacar 0
Fork 0
Archivos Incidencias 0 Wiki
Árbol: 1d60273d3f
Ramas Etiquetas
Ycsecurity
/
encrypt_and_keys
/
encrypt_disk_VM
/
script.sh

script.sh 3.0 KB
Histórico Raw

1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859 
  1. #!/usr/bin/env bash
    2. 

  2. 

  3. #
    4. 

  4. # Клиентское шифрование диска на ключе из YC KMS
    5. 

  5. #
    6. 

  6. 

  7. set -e -x
    8. 

  8. 

  9. DEVICE="/dev/vdb" #заменить имя диска на свое (по умолчанию 2-й диск vdb)
    10. 

  10. MAPPED_DEVICE="encrypted1"
    11. 

  11. KMS_KEY_ID="abjhdahmqnxxxxxxxxxx" #заменить на свой KMS key id
    12. 

  12. ENCRYPTED_DEK_FILE="./encrypted1_dek.enc" # persistent FS
    13. 

  13. PLAINTEXT_DEK_FILE="/tmp/encrypted1.dek" # in-memory FS
    14. 

  14. MOUNT="/mnt/${MAPPED_DEVICE}"
    15. 

  15. BUCKET_NAME="bucket-enc" #заменить на свой
    16. 

  16. 

  17. YC=~/yandex-cloud/bin/yc
    18. 

  18. CMD="$1"
    19. 

  19. 

  20. case "$CMD" in
    21. 

  21.     create)
    22. 

  22.       #Создание ключа с высокой энтропией метод generateDataKey (https://cloud.yandex.ru/docs/kms/api-ref/SymmetricCrypto/generateDataKey)
    23. 

  23.       #Необходимо выполнить 1 раз и хранить ENCRYPTED_DEK_FILE в защищенном удаленном месте
    24. 

  24.       mkdir $MOUNT
    25. 

  25.       $YC kms symmetric-crypto generate-data-key --id ${KMS_KEY_ID} --data-key-spec=aes-256 --data-key-ciphertext-file=${ENCRYPTED_DEK_FILE} --data-key-plaintext-file=${PLAINTEXT_DEK_FILE}
    26. 

  26.       cryptsetup -v --type luks --cipher aes-xts-plain64 --key-size 512 --hash sha256 --iter-time 2000 --use-urandom -q luksFormat "${DEVICE}" "${PLAINTEXT_DEK_FILE}"
    27. 

  27.       cat "${PLAINTEXT_DEK_FILE}" | cryptsetup open "${DEVICE}" "${MAPPED_DEVICE}" -d -
    28. 

  28.       mkfs -t ext4 "/dev/mapper/${MAPPED_DEVICE}"
    29. 

  29.       aws --endpoint-url=https://storage.yandexcloud.net s3 cp ${ENCRYPTED_DEK_FILE} s3://${BUCKET_NAME}/encrypted1_dek.enc #копируем ключ в S3
    30. 

  30.       rm ${PLAINTEXT_DEK_FILE} # удаляем расшифрованный ключ
    31. 

  31.       rm ${ENCRYPTED_DEK_FILE} # удаляем зашифрованный ключ
    32. 

  32.       ;;
    33. 

  33.     #Монтирование зашифрованного диска в расшифрованный объект
    34. 

  34.     #Можно выполнять, например при старте ОС
    35. 

  35.     open)
    36. 

  36.       aws --endpoint-url=https://storage.yandexcloud.net s3 cp s3://${BUCKET_NAME}/encrypted1_dek.enc ${ENCRYPTED_DEK_FILE}
    37. 

  37.       #Вывод plaintext-file для расшифровки 
    38. 

  38.       $YC kms symmetric-crypto decrypt --id ${KMS_KEY_ID} --ciphertext-file=${ENCRYPTED_DEK_FILE} --plaintext-file=${PLAINTEXT_DEK_FILE}
    39. 

  39.       cat "${PLAINTEXT_DEK_FILE}" | cryptsetup open "${DEVICE}" "${MAPPED_DEVICE}" -d -
    40. 

  40.       rm ${PLAINTEXT_DEK_FILE} # удаляем расшифрованный ключ
    41. 

  41.       rm ${ENCRYPTED_DEK_FILE} # удаляем зашифрованный ключ
    42. 

  42.       mount -t ext4 "/dev/mapper/${MAPPED_DEVICE}" $MOUNT
    43. 

  43.       mount /dev/mapper/$MAPPED_DEVICE $MOUNT
    44. 

  44.       ;;
    45. 

  45.     #Размонтирование зашифрованного устройства
    46. 

  46.     close)
    47. 

  47.       umount ${MOUNT}
    48. 

  48.       cryptsetup close ${MAPPED_DEVICE}
    49. 

  49.       rm "${PLAINTEXT_DEK_FILE}"
    50. 

  50.       ;;
    51. 

  51.     #Удаление исходного устройства
    52. 

  52.     erase)
    53. 

  53.       cryptsetup luksErase ${DEVICE}
    54. 

  54.       ;;
    55. 

  55.     *)
    56. 

  56.       echo "Usage: ${NAME} {create|open|close|erase}" >&2
    57. 

  57.       exit 3
    58. 

  58.       ;;
    59. 

  59. esac
    60.