Bamboo Firewall — Policy as Code cho on-premise

Fri, 29 Aug 2025 00:00:00 +0000

Đặt vấn đề

Trong suốt thời gian làm việc với vai trò là SystemAdmin hoặc DevOps Engineer cho các hệ thống dưới on-premise tôi gặp rất nhiều vấn đề liên quan tới việc làm sao để thiết lập chính sách bảo mật cho các máy chủ Linux mình quản lý. Hầu hết các cách mọi người đang làm là triển khai iptables hoặc 1 giải pháp firewall mềm nào đó để đảm bảo an toàn thông tin.

How to setup data at rest encryption on Ubuntu

Fri, 29 Aug 2025 00:00:00 +0000

Giới thiệu

Một trong các yêu cầu đảm bảo thông tin là dữ liệu lưu trữ phải được mã hoá, bảo vệ để chống khả năng hacker tái sử dụng được các phần dữ liệu lưu trữ phía dưới để đánh cắp dữ liệu. LUKS - Linux Unified Key Setup được Redhat phát triển là 1 trong các giải pháp sẽ giải quyết vấn đề mã hoá dữ liệu mức block.
Ưu điểm của giải pháp là trong suốt với lớp dịch vụ, ứng dụng phía trên nghĩa là nó tương thích hoàn toán với các dịch vụ phía trên. Chính vì thế để đảm bảo tính năng Data at rest encryption cho MySQL, Elasticsearch, Mongodb… hoàn toàn độc lập với solution sẽ sử dụng. Ngoài ra việc vận hành, cài đặt LUKS device là tương đối đơn giản và đặc biệt hiệu năng của LUKS và device ban đầu không bị ảnh hưởng nhiều (tôi đã thử benchmark với percona 5.7 dung lượng db 20TB/40TB SSD - raid0, 256GB RAM, 112 CPU - tốc độ đọc ghi trước và sau khi enable LUKS tăng chỉ 2-5% resource CPU và IOPS).
Nhược điểm: Mã hoá mức block nên việc 1 hacker truy cập được mức OS hoặc dịch vụ vẫn có thể lấy được data trước mã hoá của dịch vụ, db. Tóm lại, chỉ chống được physical attack không giải quyết được logical attack.

Cấu hình

Cấu hình lab:
- Ổ cứng cần mã hoá đặt tại /dev/sdb
- Hệ điều hành: Ubuntu 22.04
- password encryption: plz_change_me_now
- Thực thi các câu lệnh dưới với quyền root
Các câu lệnh thực hiện mã hoá:

wipefs --all --backup /dev/sdb
lsblk
pvcreate /dev/sdb
vgcreate data /dev/sdb
lvcreate -l +100%free -n data01 data
cryptsetup --verbose --verify-passphrase luksFormat /dev/data/data01
cryptsetup luksOpen /dev/data/data01 data
mkdir -p /data
mkfs.xfs -f /dev/mapper/data

Lệnh này chỉ chạy khi ổ cứng sdb của bạn là SSD hoặc NVMe thôi nhé. Mục đích là không cần cơ chế quản lý queue của OS here

echo none > /sys/block/sdb/queue/scheduler

Add vào crypttab để nó tự boot khi server khởi động lại

echo 'data /dev/mapper/data-data01 /etc/data-at-rest/data-data01 luks' >> /etc/crypttab

Tạo file chứa thông tin secret để mã hoá và loại bỏ thông tin nhạy cảm trong history của bash

export HISTSIZE=0
mkdir -p /etc/data-at-rest/
mkdir -p /data
touch /etc/data-at-rest/data-data01
echo "plz_change_me_now" > /etc/data-at-rest/data-data01
chmod 400 /etc/data-at-rest/data-data01
chmod 0400
chmod 0744 /etc/data-at-rest
export HISTSIZE=20000

Add file key cho phép thông tin mount được sử dụng

cryptsetup -v luksAddKey /dev/data/data01 /etc/data-at-rest/data-data01

Add thông tin mount trong fstab, 2 option noatime và nodiratime để tối ưu performance disk thôi bạn có thể tìm hiểu ý nghĩa 2 options này trên google nhé ;)

echo '/dev/mapper/data /data xfs defaults,noatime,nodiratime 0 0' >> /etc/fstab
mount /data

kiểm tra kết quả

lsblk
cryptsetup luksDump /dev/data/data01

Notes: Cơ bản ổ cứng /dev/sdb đã được tạo 1 LVM partition ở /dev/data/data01 và được mount ở folder /data. Tiếp theo bạn chỉ cần cài đặt mysql, es, mongodb, redis, blabla… ở folder /data. Folder được mã hoá ổ cứng. Khi ổ cứng máy chủ bị mất cắp hoặc mount vào 1 máy chủ khác nếu kẻ tấn công không có key giải mã, chúng sẽ không thể giải mã được ổ cứng.

Posts on bienkma's website

Bamboo Firewall — Policy as Code cho on-premise

Đặt vấn đề

How to setup data at rest encryption on Ubuntu

Giới thiệu

Cấu hình