人们往往认为，因为服务器被锁在数据中心，数据被持续使用，所以不需要加密服务器驱动器，因为数据永远不会处于静止状态。

    在考虑it安全性时，一个可能被忽略的方面是企业服务器的物理安全性。人们往往认为，因为服务器被锁在数据中心，数据被持续使用，所以不需要加密服务器驱动器，因为数据永远不会处于静止状态。

    然而，这种想法带来了一个很大的潜在问题。最终，所有的驱动器都需要维修或处理，它们将不可避免地离开数据中心。对它们进行加密是保护其数据不被无意或有意泄露的最佳方式。除此之外，鉴于报纸上看似没完没了的泄密事件，以及需要遵守gdpR、HipAA和所有50个州的规定，明智的建议是随时随地加密一切。

    如果你有一个Linux服务器，你可能会认为你受到了保护，因为Linux内置加密技术已经好几年了。但事实上未必如此。原因何在？

    以下是Linux内置的磁盘加密功能:

    或是

    Dm-crypt是Linux内核中一个透明的磁盘加密子系统。它是一种基于块设备的抽象机制，可以嵌入到其他块设备中(比如磁盘)。因此，它是全磁盘加密(Fde)的理想技术。的实际加密技术不是内置在dm-crypt中，而是从内核充分利用crypto Api的加密例程(比如Aes)。

    加密磁碟

    LUKS (Unified Key Scheme for Linux)是一个磁盘加密规范，它为各种工具(如标准加密头)指定了标准的磁盘格式，并且是平台无关的，为实现密码管理机制提供了基础。LUKs运行在Linux上，是基于cryptsetup的增强版本，它使用dm-crypt作为磁盘加密后端。

    Dm-crypt和LUKs共同构建了一个简单的“独立”密码验证Fde应用软件的基础。然而，这不是一个企业解决方案。

    问题是Linux原生Fde在数据保护方面留下了空白，包括:

    没有集中式密码、密钥管理和加密服务器的备份。困难的根卷加密为错误留下了空间。没有简单的方法来加密被擦除的驱动器。缺乏统一的加密设备合规性视图来证明所有服务器的加密状态。

    Linux服务器缺乏内置的管理和合规功能，使得企业很难做加密和数据保护。

    那么，使用Linux服务器的企业如何最好地解决这个问题呢？他们应该寻求具有以下功能特征的解决方案:

    独立于加密密钥管理。

    为了达到最大的效果，加密产品应该分为两个部分:加密和密钥管理，因为这两个部分的专业知识有很大的不同。对于额外的保护，请考虑基于dm-crypt的解决方案，而不是取代dm-crypt，以更好地管理加密。

    强验证

    如今，随着身份和访问控制受到越来越多的关注，拥有一个能够提供更强大的服务器身份验证机制并确保数据不受损害的加密解决方案变得非常重要。基于网络的预引导验证可以提供该功能，以在操作系统引导之前加强安全性。

    确保根和数据卷加密以及驱动器加密擦除的简单方法

    根卷加密、数据卷加密和加密的exchange分区都是安全性和法规遵从性所必需的。寻找能以简单方式做到这一点的解决方案。此外，该解决方案应该有一个简单的机制，可以加密和擦除驱动器中的所有数据，或者当它用于其他目的时。出于合规原因，还必须记录该操作。

    加密、密钥和恢复信息的集中法规遵从性视图和管理

    有了这种可见性，您可以检查企业中的Linux服务器是否被加密，是否符合加密策略。服务器会将其加密状态(针对所有磁盘)传达给中央控制台。因此，如果服务器丢失，it部门将向审计员提供其加密状态的证明。此外，从中央控制台执行加密的Linux服务器的整体密码恢复、操作和管理也是必不可少的。控制台还应提供加密密钥的集中备份和信息恢复功能。

    为服务器(包括Linux服务器)提供无缝集成的加密解决方案非常重要。有了上面列出的功能，在数据泄露的情况下，企业完全有能力保护其拥有的机密信息，并满足越来越多的合规性法规的要求。

    原标题:你的Linux服务器真的被保护了吗？作者加里·麦克拉肯