Nastavte šifrování dat v klidu v PostgreSQL

Přestože PostgreSQL nenabízí vestavěné možnosti šifrování, můžete nastavit šifrování dat v klidu pomocí šifrovacích metod třetích stran. Dnešní výukový program se zaměřuje na využití metody Transparent Data Encryption (TDE) k aktivaci šifrování na úrovni souborového systému.

Jak nastavit šifrování dat v klidu v PostgreSQL

Při nastavování klidového šifrování dat v PostgreSQL je cílem učinit data v souborovém systému nečitelnými tím, že bude vyžadován dešifrovací klíč. Tímto způsobem je eliminován neoprávněný přístup.

Když na vašem serveru běží PostgreSQL, můžete nastavit šifrování na úrovni souborového systému pomocí nástrojů třetích stran, jako je Linux Unified Key Setup (LUKS). Můžete najít vhodné řešení pro váš systém. Zde pracujeme s Ubuntu a nastavujeme šifrování dat pomocí následujících kroků.

Krok 1: Nainstalujte nástroj Filesystem Encryption Tool

Jakmile vyberete metodu šifrování, musíte nainstalovat požadované nástroje. Vybereme metodu šifrování na úrovni souborového systému a nainstalujeme LUKS. Chcete-li nainstalovat LUKS, nainstalujte cryptsetup následovně:

Stisknutím „y“ pokračujte v instalaci a ujistěte se, že se vše nainstaluje podle očekávání.

Krok 2: Nastavte šifrovaný kontejner

Protože nastavujeme šifrování na úrovni souborového systému, musíme na našem disku vytvořit zašifrovaný adresář, který obsahuje data PostgreSQL. Zkontrolujte dostupná zařízení ve vašem operačním systému pomocí následujícího příkazu:

Dále vyberte příslušné zařízení a spusťte následující příkaz. Zde používáme /dev/sdb přístroj. Budete vyzváni k potvrzení akce zadáním „ANO“ a zadáním přístupové fráze.

Poté jej musíte zašifrovat pomocí LUKS spuštěním následujícího příkazu:

Krok 3: Naformátujte kontejner

Pro vytvořený kontejner jej musíme naformátovat. Použijeme možnost „mkfs.ext4“ spuštěním následujícího kódu:

Krok 4: Namontujte kontejner

Dále připojíme šifrovaný kontejner. Začněte vytvořením adresáře v /mnt/ jak následuje:

Jakmile je adresář vytvořen, pokračujte a připojte šifrovaný kontejner pomocí příkazu „mount“ a zadejte cestu.

Krok 5: Přesuňte data PostgreSQL

Doposud jsme vytvořili šifrovaný kontejner pro ukládání našich dat PostgreSQL, ale ještě musíme data přesunout. Před přesunem dat musíme zastavit službu PostgreSQL.

Chcete-li přesunout data PostgreSQL, spusťte následující příkaz „copy“ a ujistěte se, že je zkopírujete do adresáře, který jsme vytvořili dříve:

Dále zálohujte původní data PostgreSQL jejich přesunutím do záložního umístění.

Pro rychlý přístup pak musíte vytvořit symbolický odkaz na adresář.

A je to. Podařilo se nám zkopírovat a přesunout data PostgreSQL do našeho šifrovaného kontejneru na úrovni souborového systému, abychom zajistili zabezpečení dat v klidu.

Krok 6: Upravte soubor PostgreSQL Config File

Data_directory v konfiguračním souboru odráží vzácné umístění dat PostgreSQL. Musíme jej však upravit tak, aby odpovídal umístění dat PostgreSQL v šifrovaném kontejneru, který jsme vytvořili. Otevřete tedy konfigurační soubor PostgreSQL pomocí textového editoru. Vyhledejte sekci data_directory. Než jej upravíme, zobrazí se tak, jak je uvedeno níže. Cesta se může lišit v závislosti na verzi PostgreSQL nainstalované ve vašem systému.

Změňte cestu tak, aby mířila do zašifrovaného kontejneru, který jsme vytvořili v kroku 4. V našem případě je nová cesta následující:

Krok 7: Uložte, ukončete a restartujte

Uložte a ukončete konfigurační soubor PostgreSQL. Dále spusťte nebo restartujte PostgreSQL. Podařilo se vám nastavit šifrování dat v klidu v PostgreSQL.

A je to! Můžete pokračovat v bezpečném používání PostgreSQL a užívat si nové šifrování na úrovni souborového systému.

Závěr

Nastavení šifrování dat v klidu v PostgreSQL zahrnuje určení, jakou metodu šifrování použít, a její následné nastavení. Vybrali jsme šifrování TDE pomocí LUKS, abychom nastavili šifrování na úrovni souborového systému. Kromě toho jsme podrobně popsali každý krok, který je třeba provést při jeho nastavení. A je to! Vyzkoušejte to a postupujte podle uvedených kroků.