Přestože PostgreSQL nenabízí vestavěné možnosti šifrování, můžete nastavit šifrování dat v klidu pomocí šifrovacích metod třetích stran. Dnešní výukový program se zaměřuje na využití metody Transparent Data Encryption (TDE) k aktivaci šifrování na úrovni souborového systému.
Jak nastavit šifrování dat v klidu v PostgreSQL
Při nastavování klidového šifrování dat v PostgreSQL je cílem učinit data v souborovém systému nečitelnými tím, že bude vyžadován dešifrovací klíč. Tímto způsobem je eliminován neoprávněný přístup.
Když na vašem serveru běží PostgreSQL, můžete nastavit šifrování na úrovni souborového systému pomocí nástrojů třetích stran, jako je Linux Unified Key Setup (LUKS). Můžete najít vhodné řešení pro váš systém. Zde pracujeme s Ubuntu a nastavujeme šifrování dat pomocí následujících kroků.
Krok 1: Nainstalujte nástroj Filesystem Encryption Tool
Jakmile vyberete metodu šifrování, musíte nainstalovat požadované nástroje. Vybereme metodu šifrování na úrovni souborového systému a nainstalujeme LUKS. Chcete-li nainstalovat LUKS, nainstalujte cryptsetup následovně:
sudo instalace apt-get nastavení kryptování
Stisknutím „y“ pokračujte v instalaci a ujistěte se, že se vše nainstaluje podle očekávání.
Krok 2: Nastavte šifrovaný kontejner
Protože nastavujeme šifrování na úrovni souborového systému, musíme na našem disku vytvořit zašifrovaný adresář, který obsahuje data PostgreSQL. Zkontrolujte dostupná zařízení ve vašem operačním systému pomocí následujícího příkazu:
sudo fdisk -l
Dále vyberte příslušné zařízení a spusťte následující příkaz. Zde používáme /dev/sdb přístroj. Budete vyzváni k potvrzení akce zadáním „ANO“ a zadáním přístupové fráze.
Poté jej musíte zašifrovat pomocí LUKS spuštěním následujícího příkazu:
Krok 3: Naformátujte kontejner
Pro vytvořený kontejner jej musíme naformátovat. Použijeme možnost „mkfs.ext4“ spuštěním následujícího kódu:
sudo mkfs.ext4 / dev / mapovač / postgres_encrypted
Krok 4: Namontujte kontejner
Dále připojíme šifrovaný kontejner. Začněte vytvořením adresáře v /mnt/ jak následuje:
sudo mkdir / mnt / postgresJakmile je adresář vytvořen, pokračujte a připojte šifrovaný kontejner pomocí příkazu „mount“ a zadejte cestu.
sudo namontovat / dev / mapovač / postgres_encrypted / mnt / postgres /Krok 5: Přesuňte data PostgreSQL
Doposud jsme vytvořili šifrovaný kontejner pro ukládání našich dat PostgreSQL, ale ještě musíme data přesunout. Před přesunem dat musíme zastavit službu PostgreSQL.
sudo systemctl stop postgresqlChcete-li přesunout data PostgreSQL, spusťte následující příkaz „copy“ a ujistěte se, že je zkopírujete do adresáře, který jsme vytvořili dříve:
sudo rsync -z / byl / lib / postgresql / mnt / postgresDále zálohujte původní data PostgreSQL jejich přesunutím do záložního umístění.
sudo mv / byl / lib / postgresql / byl / lib / postgresql_backup
Pro rychlý přístup pak musíte vytvořit symbolický odkaz na adresář.
A je to. Podařilo se nám zkopírovat a přesunout data PostgreSQL do našeho šifrovaného kontejneru na úrovni souborového systému, abychom zajistili zabezpečení dat v klidu.
Krok 6: Upravte soubor PostgreSQL Config File
Data_directory v konfiguračním souboru odráží vzácné umístění dat PostgreSQL. Musíme jej však upravit tak, aby odpovídal umístění dat PostgreSQL v šifrovaném kontejneru, který jsme vytvořili. Otevřete tedy konfigurační soubor PostgreSQL pomocí textového editoru. Vyhledejte sekci data_directory. Než jej upravíme, zobrazí se tak, jak je uvedeno níže. Cesta se může lišit v závislosti na verzi PostgreSQL nainstalované ve vašem systému.
Změňte cestu tak, aby mířila do zašifrovaného kontejneru, který jsme vytvořili v kroku 4. V našem případě je nová cesta následující:
Krok 7: Uložte, ukončete a restartujte
Uložte a ukončete konfigurační soubor PostgreSQL. Dále spusťte nebo restartujte PostgreSQL. Podařilo se vám nastavit šifrování dat v klidu v PostgreSQL.
A je to! Můžete pokračovat v bezpečném používání PostgreSQL a užívat si nové šifrování na úrovni souborového systému.
Závěr
Nastavení šifrování dat v klidu v PostgreSQL zahrnuje určení, jakou metodu šifrování použít, a její následné nastavení. Vybrali jsme šifrování TDE pomocí LUKS, abychom nastavili šifrování na úrovni souborového systému. Kromě toho jsme podrobně popsali každý krok, který je třeba provést při jeho nastavení. A je to! Vyzkoušejte to a postupujte podle uvedených kroků.