VPS Sunucuda Disk Encryption Kurulumu

VPS sunucularında disk şifrelemesi, hassas verilerinizi yetkisiz erişimlere karşı korumak için kritik bir önlemdir. Bulut tabanlı sanal sunucularda fiziksel erişim sağlayıcıya ait olsa da, şifreleme ile veri bütünlüğü ve gizliliği sağlanır. Bu makalede, Linux tabanlı bir VPS sunucusunda LUKS (Linux Unified Key Setup) kullanarak disk şifrelemesi kurulumunu adım adım ele alacağız. Bu işlem, özellikle veritabanı sunucuları veya finansal uygulamalar için idealdir ve downtime’ı minimuma indirerek gerçekleştirilebilir. Öncelikle, sunucunuzun yedeklerini almanızı ve root erişimine sahip olmanızı öneririz.

VPS Sunucuda Disk Şifreleme Hazırlıkları

Disk şifrelemesine başlamadan önce, VPS sağlayıcınızın desteklediği depolama türünü kontrol edin. Çoğu sağlayıcı, KVM veya OpenVZ tabanlı VPS’lerde tam disk şifrelemesini destekler. İşleme başlamak için SSH ile sunucuya bağlanın ve mevcut disk yapısını inceleyin. lsblk ve fdisk -l komutlarını kullanarak kullanılabilir diskleri belirleyin. Örneğin, /dev/sda ana diskse, şifreleme için yeni bir bölüm oluşturun veya mevcut bir veri diskini (/dev/sdb gibi) hedefleyin.

Yedekleme zorunludur; rsync veya dd ile verileri güvenli bir konuma kopyalayın. Ardından, cryptsetup paketini yükleyin: Ubuntu/Debian için apt update && apt install cryptsetup, CentOS/RHEL için yum install cryptsetup. Bu paket, LUKS şifreleme katmanını sağlar. Kernel modüllerinin yüklü olduğundan emin olun (modprobe dm-crypt). Bu hazırlıklar, kurulum sırasında kesinti yaşanmamasını sağlar ve toplam işlem süresini 15-30 dakikaya indirir. Unutmayın, şifre anahtarınızı (passphrase) en az 20 karakter uzunluğunda ve karmaşık tutun.

LUKS ile Disk Şifreleme Kurulumu Adımları

Disk Bölümünü Oluşturma ve Hazırlama

Şifreleme yapılacak diski bölümleyin. fdisk /dev/sdb ile yeni bir bölüm oluşturun (örneğin, /dev/sdb1). Primary partition seçin ve boyutu tam disk kapasitesine ayarlayın. Değişiklikleri yazdıktan sonra (w), bölüm tablosunu güncelleyin. Ardından, mkfs.ext4 -L encrypted /dev/sdb1 ile dosya sistemi oluşturmayın; bu LUKS’tan önce yapılır ancak şifreleme için atlanır. Bu adım, diskin sıfırlanmasını sağlar ve olası veri kalıntılarını temizler. İşlem tamamlandıktan sonra, lsblk ile bölümün göründüğünü doğrulayın. Bu hazırlık, şifreleme performansını optimize eder ve uyumluluğu artırır.

LUKS Container Oluşturma ve Açma

LUKS container’ı başlatın: cryptsetup luksFormat /dev/sdb1. Bu komut, passphrase sorar ve şifreleme anahtarlarını diske yazar (AES-XTS-Plain64 varsayılan algoritma). Ardından, cryptsetup luksOpen /dev/sdb1 encrypted_disk ile açın; passphrase girin. Bu, /dev/mapper/encrypted_disk cihazını oluşturur. Dosya sistemi oluşturun: mkfs.ext4 /dev/mapper/encrypted_disk. Mount edin: mkdir /mnt/encrypted && mount /dev/mapper/encrypted_disk /mnt/encrypted. Verileri buraya taşıyın. Bu işlem, verilerin şifrelenmiş halde kalmasını sağlar ve her boot’ta manuel açma gerektirir.

Kalıcı Mount ve Boot Entegrasyonu

/etc/crypttab dosyasına ekleyin: encrypted_disk UUID=uuid=/dev/sdb1 none luks (UUID’yi blkid ile alın). /etc/fstab’a /dev/mapper/encrypted_disk /mnt/encrypted ext4 defaults 0 2 satırını ekleyin. GRUB’u güncelleyin: update-grub. Yeniden başlatın ve passphrase girerek doğrulayın. Initramfs’i yenileyin: update-initramfs -u. Bu entegrasyon, sunucunun her açılışında şifrelemeyi otomatikleştirir, ancak passphrase’i güvenli saklayın. Test için cryptsetup status encrypted_disk kullanın; şifreleme detaylarını gösterir.

Şifreleme Anahtarlarının Yönetimi ve Güvenlik İpuçları

Şifre anahtarlarını yönetmek için birden fazla keyfile oluşturun: dd if=/dev/urandom of=/root/keyfile bs=1024 count=4 ve cryptsetup luksAddKey /dev/sdb1 /root/keyfile. Anahtarı chmod 600 ile koruyun. Keyfile’ı yedekleyin ve VPS sağlayıcısının snapshot’larında saklamayın. Performans etkisi minimaldir (%5-10 CPU overhead); SSD’lerde daha azdır. Düzenli passphrase değiştirin: cryptsetup luksChangeKey /dev/sdb1. Logları izleyin: journalctl -u cryptsetup. Bu yönetim, brute-force saldırılarına karşı direnci artırır.

Güvenlik için firewall kurallarını güçlendirin ve SELinux/AppArmor etkinleştirin. Şifreleme sonrası verileri silmek için cryptsetup erase kullanın. Düzenli yedeklemelerde şifreli snapshot alın. Bu yaklaşımlar, uyumluluğu (GDPR gibi) sağlar ve olası ihlallerde veriyi korur.

Bu kurulumla VPS sunucunuzun diskleri tam koruma altına alınmış olur. Düzenli bakım ve izleme ile şifreleme etkinliğini koruyun; herhangi bir değişiklikte yedekleri test edin. Bu adımlar, kurumsal düzeyde veri güvenliğini sağlar ve operasyonel kesintileri önler.