[RHCE] ISCSI 저장 장치(암호화 luks)

11장. 안전한 중앙 집중식 저장장치

---

*iSCSI 저장장치에 액세스
=====================

iSCSI 는 클라이언트(개시자)에서 IP를 통해 원격 서버의 SCSI 저장 장치(타깃)로 SCSI명령을 보내는 기능을 지원.

iSCSI 개시자 : 클라이언트 iSCSI 타깃 : 원격 하드디스크 iSCSI 타깃 포털 : 네트워크를 통해 개시자에게 타깃을 제공하는 서버(관리서버) IQN :"iSCSI Qualified Name" (각 개시자와 타깃을 식별하려면 고유 이름이 필요)

설치 패키지 : iscsi-initiator-utils

개시자의 IQN 내용 파일 : /etc/iscsi/initiatorname.iscsi 에 내용추가

InitiatorName=iqn.1994-05.com.redhat:c9b0ed4c143

*iSCSI를 연결하는 Steps)

=====================

1. iSCSI장비 찾기
# iscsiadm -m discovery -t st -p 192.168.0.254

2. iSCSI장비 연결
# iscsiadm -m node -T iqn.2010-09.com.example:rdisks.server1 -p 192.168.0.254 -l

3. iSCSI장비 연결 확인(4가지 방법)
#dmesg

# tail /var/log/messgaes
#ls -l /dev/disk/by-path/*iscsi*
#service iscsi status

4. 파일 시스템 포멧 (iSCSI안의 하드디스크를 포멧)
#fdisk -cul /dev/sda (확인)
#fdisk -cu /dev/sda  (파티션 생성)
  n  (new partition)
  p  (primary)
  1   (first)
  enter  (total)
  
   p  (print what i did)
   w  (write==>exeute)

#mkfs -t ext4 /dev/sda1 (포멧)
#fdisk -cul /dev/sda  (확인)

5. 마운트하기
#mkdir /disk1
#mount /dev/sda1 /disk1
#df -h (확인)

6. 영구적으로 마운트하기

#blkid /dev/sda1  (UUID 확인)

/dev/sda1: UUID="b0dd1f69-0295-4716-bc6b-5287aba8d28c" TYPE="ext4"

#/etc/fstab

UUID="b0dd1f69-0295-4716-bc6b-5287aba8d28c"  /disk1   ext4  _netdev 1 2추가

_netdev : 네트워크 장비(iSCSI)를 의미함.. 따라서 네트워크 장치가 먼저 init된 후 불림.

7. 테스트 하기
#umount /disk1 (테스트를 위해)
#mount /disk1  (테스트를 위해)

(Note)iSCSI가 연결되면 default 파일이 생성된다.
#vi /var/lib/iscsi/nodes/iqn.2010-09.com.example\:rdisks.server1/192.168.0.254\,3260\,1/default 

node.startup = automatic  ==> 컴퓨터가 시작시 자동 접속됨을 의미.

* iSCSI를 제거하는 Steps)

=======================

1. unmount /disk1
2. vi /etc/fstab  에서 해당 부분 삭제
3. 일시적으로 제거하기
# iscsiadm -m node -T iqn.2010-09.com.example:rdisks.server1 -p 192.168.0.254 -u
4. 영구적으로 제거하기
# iscsiadm -m node -T iqn.2010-09.com.example:rdisks.server1 -p 192.168.0.254 -o delete


*중앙 집중식 저장장치 암호화(luks)
==========================

테스트를 위해 iSCSI 연결
#iscsiadm -m discovery -t st -p 192.168.0.254
#iscsiadm -m node -T iqn.2010-09.com.example:rdisks.server1 -p 192.168.0.254 -l
#fdisk -cu /dev/sda

*암호 걸고 마운트하기
==================
1. 디스크 내용 날리기(되살리기 불가능)
# dd if=/dev/urandom of=/dev/sda1

2. 암호 걸기
# cryptsetup luksFormat /dev/sda1

WARNING! ======== This will overwrite data on /dev/sda1 irrevocably. Are you sure? (Type uppercase yes): YES Enter LUKS passphrase: testing Verify passphrase:    testing

 

3.맵퍼 드라이버와 iSCSI 디스크 드라이버와 연결
#cryptsetup luksOpen /dev/sda1 secret

Enter passphrase for /dev/sda1 : testing

4. 맵퍼가 생성 되었는지 확인
#ls /dev/mapper/

control  secret  vgsrv-home  vgsrv-root  vgsrv-swap

5. 해당 파티션을 포멧하기
# mkfs.ext4 /dev/mapper/secret(포멧)

6. 마운트 하기
# mount /dev/mapper/secret /disk1
#  df -h

Filesystem            Size  Used Avail Use% Mounted on /dev/mapper/vgsrv-root                       3.3G  2.4G  757M  77% / tmpfs                 499M  260K  499M   1% /dev/shm /dev/vda1             248M   33M  203M  14% /boot /dev/mapper/vgsrv-home                       248M   11M  226M   5% /home /dev/mapper/secret     29M  1.4M   26M   6% /disk1

7. 영구히 마운트 하기
#vi /etc/crypttab 

secret     /dev/sda1

#blkid /dev/sda1
/dev/sda1: UUID="4cf3c80a-1a27-43e8-bf8e-248bca1fc4a9" TYPE="crypto_LUKS

#vi /etc/fstab

/dev/mapper/secret     /disk1                 ext4 _netdev 1 2

8.테스트 하기
# umount /disk1 (for testing)
#  mount /disk1 (for testing)

# init 6 (재부팅)


*연결제거하기
============
1.crypttab,fstab 에서 제거

2. unmount 

3. cryptsetup luksClose mapper
4. #ls /dev/mapper에서 secret가 사라졌는 지 확인

사실 이부분은 mapper 드라이버와 sd 사이의 연결하는 맵퍼를 삭제하는 것이므로 암호거는 부분이 사라지는 것은 아니다.

다시 말해서, 다음에 이 iSCSI 에 연결을 할때는 또다시 맵퍼를 생성하는 과정이 필요하다는 것이다.