Disk Şifreleme: Debian’da LUKS ile Güvenli Depolama

Veri güvenliği söz konusu olduğunda, disk şifreleme artık bir “nice to have” değil, zorunluluk haline geldi. Özellikle fiziksel erişim riski olan sunucularda, dizüstü bilgisayarlarda veya bulut ortamlarında disk çalınması ya da yetkisiz erişim durumunda verilerinizin okunabilir olması ciddi bir güvenlik açığıdır. LUKS (Linux Unified Key Setup), Linux ekosisteminde disk şifreleme için standart haline gelmiş, battle-tested bir çözümdür. Bu yazıda Debian üzerinde LUKS ile nasıl güvenli depolama kurulumu yapacağınızı, günlük yönetim senaryolarını ve dikkat edilmesi gereken noktaları ele alacağız.

LUKS Nedir ve Neden Önemlidir?

LUKS, Linux kernel’inin dm-crypt alt sistemi üzerine inşa edilmiş bir disk şifreleme standardıdır. Temel olarak blok cihazları (block device) şifreler. Bu sayede dosya sistemi seviyesinde değil, doğrudan donanım seviyesinde şifreleme sağlar. Yani şifreli bir LUKS bölümüne yetkisiz erişim sağlansa bile, içindeki veriler anlamsız byte dizileri olarak görünür.

LUKS’un öne çıkan özellikleri şunlardır:

• Çoklu anahtar yuvası: Bir LUKS container’ı 8 adede kadar farklı parola veya anahtar dosyası içerebilir
• Standart format: Farklı araçlarla uyumluluk sağlar
• Güçlü şifreleme algoritmaları: AES-256, Twofish, Serpent gibi algoritmalar desteklenir
• Header yönetimi: Şifreleme metadatası ayrı bir header’da tutulur, yedeklenebilir

Gerçek dünya senaryosu olarak düşünün: Bir müşterinizin kişisel verilerini sakladığınız bir Debian sunucusu veri merkezinde fiziksel olarak çalındı. LUKS olmadan, saldırgan diski başka bir sisteme takıp tüm verilere erişebilir. LUKS ile disk sadece bir şifreli veri yığınına dönüşür.

Kurulum Öncesi Hazırlık

Başlamadan önce sistemimizi hazırlayalım. Debian’da gerekli paketlerin kurulu olduğundan emin olun:

sudo apt update
sudo apt install cryptsetup cryptsetup-bin lvm2 -y

Mevcut disk ve bölüm durumunu kontrol edin:

lsblk -f
fdisk -l

Hangi diski şifreleyeceğinizi belirledikten sonra dikkatli olun. Yanlış diske işlem yapmak veri kaybına neden olur. Bu örneklerde /dev/sdb kullanacağız, siz kendi ortamınıza göre değiştirin.

Önemli uyarı: Aşağıdaki işlemler diskteki tüm veriyi siler. Üretim ortamında çalışmadan önce mutlaka yedek alın.

Yeni Bir Diski LUKS ile Şifreleme

Disk Formatı ve LUKS Container Oluşturma

Önce diski temizleyelim. Güvenlik açısından rastgele veriyle doldurmak önerilir, ancak bu işlem uzun sürer:

# Hızlı yöntem (sıfırlarla doldur)
sudo dd if=/dev/zero of=/dev/sdb bs=1M status=progress

# Güvenli yöntem (rastgele veriyle doldur - önerilir ama yavaş)
sudo dd if=/dev/urandom of=/dev/sdb bs=1M status=progress

Şimdi LUKS container’ı oluşturalım. Bu adımda güçlü bir şifreleme algoritması seçeceğiz:

sudo cryptsetup luksFormat --type luks2 
  --cipher aes-xts-plain64 
  --key-size 512 
  --hash sha256 
  --iter-time 5000 
  /dev/sdb

Parametrelerin açıklaması:

• –type luks2: Daha yeni ve güvenli LUKS2 formatını kullan
• –cipher aes-xts-plain64: AES-XTS modu, disk şifreleme için en uygun mod
• –key-size 512: XTS modunda 512 bit, efektif 256 bit AES
• –hash sha256: Anahtar türetme için SHA-256
• –iter-time 5000: Parola türetme için 5 saniye iterasyon süresi (brute force direnci)

Komut size büyük harflerle bir uyarı verecek ve parolanızı iki kez isteyecektir. Güçlü bir parola seçin.

Container’ı Açma ve Dosya Sistemi Oluşturma

# LUKS container'ı aç
sudo cryptsetup luksOpen /dev/sdb guvenli_depo

# Açılmış container'ı kontrol et
ls -la /dev/mapper/guvenli_depo

/dev/mapper/guvenli_depo artık şifreli diskin sanal “temiz” görünümüdür. Bu cihaz üzerine normal bir dosya sistemi oluşturabilirsiniz:

# ext4 dosya sistemi oluştur
sudo mkfs.ext4 -L "GuvenliDepo" /dev/mapper/guvenli_depo

# Veya production için xfs kullanabilirsiniz
sudo mkfs.xfs -L "GuvenliDepo" /dev/mapper/guvenli_depo

Mount edip kullanmaya başlayalım:

sudo mkdir -p /mnt/guvenli_depo
sudo mount /dev/mapper/guvenli_depo /mnt/guvenli_depo
df -h /mnt/guvenli_depo

Otomatik Mount: /etc/crypttab ve /etc/fstab

Sunucuları yönetirken manuel mount işlemi pratik değildir. Sistem açılışında otomatik mount için iki dosyayı düzenlememiz gerekir.

Önce disk UUID’sini öğrenelim:

sudo cryptsetup luksUUID /dev/sdb
# Veya
blkid /dev/sdb

/etc/crypttab dosyasını düzenleyelim:

sudo nano /etc/crypttab

Şu satırı ekleyin:

guvenli_depo UUID=buraya-uuid-gelecek none luks,timeout=90

Burada none yerine bir anahtar dosyası belirtebilirsiniz. timeout=90 ise boot sırasında parola girilmezse 90 saniye sonra devam edileceği anlamına gelir.

Ardından /etc/fstab dosyasına mount noktasını ekleyin:

echo "/dev/mapper/guvenli_depo /mnt/guvenli_depo ext4 defaults,nofail 0 2" | sudo tee -a /etc/fstab

nofail seçeneği önemlidir. Container açılamazsa sistem boot etmeyi durdurmak yerine devam eder.

Anahtar Dosyası Kullanımı

Sunucularda parola girilmesi her zaman mümkün değildir. Özellikle uzak sunucularda yeniden başlatma sonrası parola girmek zorunda kalmak istemezsiniz. Bu durumda anahtar dosyası kullanılır.

# Güçlü bir anahtar dosyası oluştur
sudo dd if=/dev/urandom of=/root/luks_keyfile bs=4096 count=1
sudo chmod 400 /root/luks_keyfile

# Anahtar dosyasını LUKS'a ekle
sudo cryptsetup luksAddKey /dev/sdb /root/luks_keyfile

Bu komut mevcut parolanızı sorar, ardından anahtar dosyasını ikinci bir anahtar olarak ekler.

/etc/crypttab dosyasını güncelleyin:

guvenli_depo UUID=buraya-uuid-gelecek /root/luks_keyfile luks

Güvenlik notu: Anahtar dosyasını sistemle birlikte saklamak, fiziksel disk hırsızlığına karşı koruma sağlamaz çünkü her iki disk de birlikte çalınabilir. Bu yöntem daha çok hizmet sürekliliği için kullanılır. Gerçek güvenlik için anahtar dosyasını şifreli bir konumda veya HSM’de saklamanız gerekir.

LUKS Anahtar Yönetimi

LUKS’un en güçlü özelliklerinden biri çoklu anahtar yuvalarıdır. Bunu gerçek hayatta şöyle düşünebilirsiniz: Sistem yöneticisi değiştiğinde eski parolayı kaldırıp yenisini ekleyebilirsiniz.

# Mevcut anahtar yuvalarını görüntüle
sudo cryptsetup luksDump /dev/sdb | grep -A 30 "Keyslots"

# Yeni bir parola ekle (yedek parola veya yeni yönetici için)
sudo cryptsetup luksAddKey /dev/sdb

# Belirli bir parolayı kaldır (eski yöneticinin parolası)
sudo cryptsetup luksRemoveKey /dev/sdb

# Belirli bir anahtar yuvasını kaldır
sudo cryptsetup luksKillSlot /dev/sdb 1

LUKS header bilgilerini incelemek için:

sudo cryptsetup luksDump /dev/sdb

Bu komut şifreleme algoritması, anahtar boyutu, UUID ve aktif anahtar yuvaları hakkında detaylı bilgi verir.

LUKS Header Yedekleme

Bu adımı asla atlamamalısınız. LUKS header bozulursa, ne kadar güçlü bilgisayarınız olursa olsun verilerinize bir daha erişemezsiniz. Header yedekleme hayat kurtarır:

# Header'ı yedekle
sudo cryptsetup luksHeaderBackup /dev/sdb 
  --header-backup-file /root/luks_header_backup_sdb.bin

# Yedeği güvenli bir konuma taşı
sudo chmod 400 /root/luks_header_backup_sdb.bin

# Yedeği başka bir güvenli konuma kopyala (USB, NAS, vs.)
sudo cp /root/luks_header_backup_sdb.bin /media/yedek_usb/

Header’ı geri yüklemek için:

sudo cryptsetup luksHeaderRestore /dev/sdb 
  --header-backup-file /root/luks_header_backup_sdb.bin

Header yedeklerinizi en az iki farklı fiziksel konumda saklayın. Güvenli bir bulut depolama da kullanabilirsiniz, ancak header dosyasının kendisini de şifrelemenizi öneririm.

Performans Testi ve Optimizasyon

Şifreleme ek bir işlem yükü getirir. Ancak modern işlemcilerdeki AES-NI donanım hızlandırması ile bu yük oldukça düşüktür. Performansı test edelim:

# LUKS şifreleme performans testi
sudo cryptsetup benchmark

# Sadece AES-256-XTS için
sudo cryptsetup benchmark --cipher aes-xts-plain64 --key-size 512

Sisteminizin AES-NI destekleyip desteklemediğini kontrol edin:

grep -m 1 "aes" /proc/cpuinfo
# veya
cat /proc/cpuinfo | grep -i "aes"

AES-NI desteği olan modern sistemlerde şifreleme hızı birkaç GB/s’yi rahatlıkla geçer ve fark edilebilir bir performans kaybı yaşanmaz.

Gerçek Dünya Senaryosu: Veritabanı Sunucusu

Diyelim ki PostgreSQL veritabanınızın veri dizinini şifreli bir bölümde tutmak istiyorsunuz. Bu çok yaygın bir production senaryosudur:

# Şifreli diski aç (önceki adımlara göre kurulmuş varsayalım)
sudo cryptsetup luksOpen /dev/sdb db_encrypted

# Mount et
sudo mount /dev/mapper/db_encrypted /var/lib/postgresql

# PostgreSQL'in dizin sahipliğini düzelt
sudo chown -R postgres:postgres /var/lib/postgresql

# Servisi başlat
sudo systemctl start postgresql

# Servisin düzgün çalıştığını kontrol et
sudo systemctl status postgresql
sudo -u postgres psql -c "SELECT version();"

Bu yapıda sunucu kapandığında LUKS container da kapanır. Bir sonraki açılışta /etc/crypttab devreye girer ve sistem parola ister veya anahtar dosyasını kullanır.

Bir başka senaryo: Yerel diskler yerine iSCSI veya NVMe üzerinden bağlı blok cihazlarda da LUKS aynı şekilde çalışır. Bulut ortamlarında (AWS EBS, GCP Persistent Disk) ek bir güvenlik katmanı olarak kullanabilirsiniz.

Şifreli Container Durumunu İzleme

Üretim ortamında şifreli containerların durumunu takip etmek önemlidir:

# Açık LUKS containerları listele
sudo dmsetup ls --target crypt

# Detaylı durum bilgisi
sudo cryptsetup status guvenli_depo

# Tüm blok cihazlarını hiyerarşik göster
lsblk -o NAME,SIZE,TYPE,FSTYPE,MOUNTPOINT,UUID

Bir container’ı güvenli şekilde kapatmak için:

# Önce unmount et
sudo umount /mnt/guvenli_depo

# Ardından LUKS container'ı kapat
sudo cryptsetup luksClose guvenli_depo

# Kontrol et
ls /dev/mapper/

Şifreli Swap Alanı

Genellikle göz ardı edilen bir nokta: Swap alanı, RAM’den taşan veriler için kullanılır ve hassas verileri açık metin olarak içerebilir. Debian’da şifreli swap yapılandırması için:

# /etc/crypttab'a ekle
echo "cryptswap /dev/sdX /dev/urandom swap,cipher=aes-xts-plain64,size=256" | sudo tee -a /etc/crypttab

# /etc/fstab'a ekle
echo "/dev/mapper/cryptswap none swap sw 0 0" | sudo tee -a /etc/fstab

Burada /dev/urandom her boot’ta yeni bir anahtar üretir. Bu sayede swap verisi her yeniden başlatmada otomatik olarak şifrelenir ve önceki oturuma ait veriler okunamaz hale gelir.

Güvenlik Hardening Kontrol Listesi

LUKS kurulumunu tamamladıktan sonra güvenliği daha da sağlamlaştırmak için şunları yapın:

• LUKS header’ını yedekleyin: En az iki farklı fiziksel konumda saklayın
• Güçlü parola politikası: En az 20 karakter, büyük/küçük harf, rakam ve sembol içersin
• Anahtar dosyası izinleri: chmod 400 ile sadece root okusun
• Boot bölümünü de şifreleyin: /boot partition şifrelenmezse cold boot saldırılarına karşı savunmasız kalabilirsiniz
• Swap şifrelemesini unutmayın: RAM verileri swap’a yazılabilir
• LUKS2 kullanın: LUKS1 yerine daha güvenli LUKS2 tercih edin
• Argon2id kulllanın: LUKS2’de anahtar türetme için --pbkdf argon2id ekleyin
• Düzenli header yedeği alın: Anahtar yuvası değişikliklerinden sonra header yedeğini güncelleyin

Argon2id ile daha güvenli LUKS2 kurulumu:

sudo cryptsetup luksFormat --type luks2 
  --cipher aes-xts-plain64 
  --key-size 512 
  --hash sha256 
  --pbkdf argon2id 
  --iter-time 5000 
  /dev/sdb

Yaygın Sorunlar ve Çözümleri

Sorun: Boot sırasında “waiting for encryption password” ve sistem açılmıyor.

/etc/crypttab dosyasında nofail veya timeout seçeneği ekleyin:

guvenli_depo UUID=xxxx none luks,nofail,timeout=30

Sorun: cryptsetup: WARNING: target sdb is busy hatası.

Container’ı kapatmadan önce tüm processler unmount ettiğinizden emin olun:

sudo fuser -m /mnt/guvenli_depo
sudo lsof /mnt/guvenli_depo

Sorun: Parola doğru olmasına rağmen container açılmıyor.

Header bozulmuş olabilir. Yedekten geri yükleyin:

sudo cryptsetup luksHeaderRestore /dev/sdb 
  --header-backup-file /root/luks_header_backup_sdb.bin

Sorun: Sistem açılışında çok yavaş oluyor.

--iter-time değerini azaltın (güvenlikten taviz vermek anlamına gelir) veya anahtar dosyası kullanın. Boot sırasındaki gecikme PBKDF iterasyon sayısıyla doğru orantılıdır.

Sonuç

LUKS, Debian sunucularında veri güvenliğinin temel taşlarından biridir. Kurulumu ilk bakışta karmaşık görünebilir, ancak bir kez doğru yapılandırıldığında son derece şeffaf çalışır. Kullanıcılar ve uygulamalar şifreli diskle normal bir disk gibi etkileşim kurar, arka planda ise tüm veri şifreli olarak saklanır.

Özellikle dikkat etmeniz gereken iki nokta var: Header yedeği ve swap şifrelemesi. Bu ikisini atlayan yöneticilerin çoğu sonradan pişmanlık duyuyor. Header olmadan veriyi kurtarma ihtimaliniz sıfıra yakındır, swap şifrelenmezse ise bütün şifreleme çalışmanız boşa gidebilir.

Son olarak, LUKS tek başına yeterli değildir. Güçlü erişim kontrolleri, güncel yamalar ve izleme mekanizmalarıyla birlikte katmanlı bir güvenlik mimarisinin parçası olmalıdır. Disk şifreleme, fiziksel erişim saldırılarına karşı güçlü bir savunma sağlar, ancak ağ üzerinden yapılan saldırılara karşı koruma sağlamaz. Güvenlik her zaman katmanlar halinde düşünülmelidir.