Linux

Mã hóa ổ đĩa trên Linux Ubuntu: Bảo mật dữ liệu

Lưu Hồ Phương / 29/09/2025

Trong thời đại số, dữ liệu cá nhân và công ty luôn phải đối mặt với nguy cơ bị đánh mất hoặc lộ lọt khi thiết bị (như laptop) bị thất lạc hoặc đánh cắp. Ubuntu Linux cũng chú trọng vào vấn đề này khi cung cấp tính năng Full Disk Encryption (FDE) – mã hóa toàn bộ thiết bị lưu trữ để “bảo vệ dữ liệu”. Tính năng này giúp dữ liệu trên ổ đĩa không thể đọc được nếu không có khóa giải mã hợp lệ. Một trong những giải pháp mã hóa phổ biến trong Linux là DM-Crypt LUKS (Linux Unified Key Setup), vốn đã được tích hợp trực tiếp trong kernel. DM-Crypt LUKS cho phép mã hóa phân vùng ở cấp khối (block level), cung cấp khả năng bảo vệ toàn diện cho ổ đĩa, phân vùng, hệ thống RAID, ổ logic hay thậm chí là tập tin và thiết bị di động. Tóm lại, mã hóa ổ đĩa trên Ubuntu sẽ giúp khóa dữ liệu của bạn bằng một mật khẩu/khóa mã hóa mạnh, để kẻ xấu dù có lấy được máy tính cũng không thể truy xuất được các thông tin nhạy cảm bên trong ổ đĩa của bạn.

Tại sao nên mã hóa ổ đĩa?

  • Bảo mật dữ liệu khi mất hoặc bị đánh cắp: Nếu laptop bị thất lạc ở ga tàu, xe, máy bay hay quên trên xe buýt, ổ cứng sẽ không thể bị “bẻ khóa” nếu đã được mã hóa. Đây là biện pháp bảo vệ cuối cùng của dữ liệu tại trạng thái nghỉ (data at rest).

  • Giúp tuân thủ quy định: Với các tổ chức đòi hỏi bảo vệ thông tin (như ISO27001, GDPR), mã hóa ổ đĩa là giải pháp cần thiết để đảm bảo dữ liệu nhạy cảm không thể bị truy cập trái phép.

  • Công cụ mã hóa miễn phí và chuẩn Linux: Công cụ cryptsetup chuẩn Linux dựa trên DM-Crypt LUKS cho phép mã hóa theo chuẩn được công nhận, tích hợp sẵn trên Ubuntu chỉ cần cài đặt gói hỗ trợ.

Tuy nhiên, cần lưu ý bạn sẽ mất dữ liệu vĩnh viễn nếu quên mật khẩu: mã hóa chỉ an toàn khi passphrase còn được ghi nhớ. Nếu bạn quên mật khẩu hay header LUKS bị hỏng, dữ liệu sẽ “mất theo” và không thể khôi phục được. Do đó, hãy sao lưu passphrase ở nơi an toàn và kiểm tra thật kỹ trước khi triển khai.

Chuẩn bị môi trường

Trước khi bắt đầu, đảm bảo bạn đang làm việc với quyền root (hoặc dùng sudo) để thực hiện các lệnh sau mà không cần gõ lại sudo nhiều lần:

sudo -i

Tiếp theo, hãy cài đặt gói cryptsetup, công cụ dòng lệnh quản lý mã hóa LUKS. Trên Ubuntu hoặc Debian, lệnh cài đặt là:

apt update
apt install cryptsetup

Sau khi cài đặt, hãy liệt kê các thiết bị và phân vùng bằng lệnh lsblk để xác định ổ đĩa cần mã hóa. Ví dụ:

lsblk

Kết quả hiển thị các ổ đĩa và phân vùng. Giả sử chúng ta có ổ /dev/sdb với phân vùng /dev/sdb1 chưa sử dụng. Hãy rất cẩn thận để tránh chọn nhầm phân vùng chứa dữ liệu quan trọng. Mã hóa sẽ xóa toàn bộ dữ liệu trên phân vùng đích.

Các bước mã hóa phân vùng với LUKS

  1. Khởi tạo mã hóa LUKS: Sử dụng lệnh cryptsetup luksFormat để khởi tạo mã hóa trên phân vùng đã chọn. Ví dụ:

    cryptsetup -v -y luksFormat /dev/sdb1

    • Tùy chọn -v cho biết kết quả chi tiết hơn (verbose),

    • -y yêu cầu xác nhận mật khẩu.

    • Sau khi nhập lệnh, hệ thống sẽ cảnh báo rằng tất cả dữ liệu trên /dev/sdb1 sẽ bị xóa. Để xác nhận, bạn phải gõ chữ YES viết hoa. Đây là bước bảo vệ cuối cùng, nên chỉ tiếp tục khi chắc chắn đúng phân vùng.

    • Hệ thống sẽ nhắc bạn nhập mật khẩu mã hóa (passphrase) hai lần để xác nhận. Mật khẩu này nên mạnh (kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt) và mật khẩu không được giống như trong từ điển (VD: abc123, 12345 …VV…). Nếu dùng mật khẩu quá yếu, cryptsetup sẽ từ chối yêu cầu bạn nhập lại mật khẩu.

    • Quá trình này có thể tốn thời gian tùy vào dung lượng phân vùng và tốc độ ổ đĩa. Ví dụ, một ổ 5 GiB ảo có thể chỉ mất vài giây, nhưng ví dụ như với ổ 2 TB thì cần nhiều thời gian hơn.

  2. Mở khóa thiết bị mã hóa: Sau khi khởi tạo thành công, phân vùng /dev/sdb1 đã được mã hóa nhưng chưa thể sử dụng. Dùng lệnh cryptsetup luksOpen để mở nó và gán tên (tên đệm) dễ nhớ:

    cryptsetup luksOpen /dev/sdb1 secure

    • Ở đây chúng ta đặt tên là secure (bạn có thể thay bằng tên nào bạn thích, lưu ý phân biệt chữ hoa/thường).

    • Hệ thống sẽ yêu cầu nhập passphrase đã tạo ở bước trước. Nếu đúng, cryptsetup sẽ tạo một thiết bị ảo tại /dev/mapper/secure (thực chất là một liên kết tới thiết bị thực /dev/sdb1 đã mở khóa). Hãy dùng lệnh: ls -l /dev/mapper để xem

    • Lưu ý: Không thể khôi phục mật khẩu này nếu bị mất. Hãy bảo mật nó thật kỹ lưỡng. Mỗi lần mở lại ổ (ví dụ sau khởi động lại), bạn sẽ cần nhập lại passphrase này.

  3. Tạo hệ thống file: Bây giờ, thiết bị ảo /dev/mapper/secure giống như một phân vùng trống, chúng ta cần định dạng nó. Ví dụ tạo ext4 file system:

    mkfs.ext4 /dev/mapper/secure

    Bạn có thể chọn file system khác như (ext4, xfs, btrfs,…) tùy thuộc vào nhu cầu của bạn. Lệnh trên sẽ tạo một ổ đĩa ext4 trên thiết bị đã mã hóa.

  4. Tạo điểm gắn kết và mount: Tạo một thư mục để gắn kết ổ mới, ví dụ /secure:

    mkdir /secure

    Sau đó gắn ổ vào thư mục này:

    mount /dev/mapper/secure /secure

    Bây giờ /secure đã trở thành nơi lưu trữ được mã hóa. Mọi tập tin bạn được lưu vào /secure thực chất được mã hóa khi ghi xuống ổ cứng. Ví dụ kiểm thử:

    echo "Hello world" > /secure/file.txt
    cat /secure/file.txt

    File sẽ hiện đúng nội dung trên thư mục đã gắn, nhưng đằng sau là dữ liệu đã được mã hóa an toàn trên ổ cứng.

Cấu hình tự động mở khóa và mount khi khởi động

Nếu muốn tự động hóa khi khởi động server, bạn có thể cấu hình để hệ thống tự động hỏi mật khẩu và gắn ổ mã hóa sau khi khởi động.

  • /etc/crypttab: Đây là file cấu hình để khai báo các thiết bị LUKS. Mở nó với quyền root:

    nano /etc/crypttab

    Thêm một dòng cấu hình, ví dụ:

    secure /dev/sdb1 none

    Trong đó:

    • secure là tên dev-mapper (tên bạn đã dùng trong luksOpen).

    • /dev/sdb1 là thiết bị thực.

    • none cho biết không sử dụng file khóa (tức hệ thống sẽ hỏi passphrase qua prompt).

    Sau đó, mỗi lần khởi động, Linux Ubuntu sẽ tự động chạy lệnh tương đương cryptsetup luksOpen và yêu cầu nhập mật khẩu (hiện trên console) để mở khóa phân vùng.

  • /etc/fstab: Sau khi đã mở khóa, bạn cần mount thiết bị vào thư mục. Mở file fstab:

    nano /etc/fstab

    Thêm dòng tương ứng, ví dụ:

    /dev/mapper/secure /secure ext4 defaults 0 0

    Điều này cho phép phân vùng mã hóa được tự động mount vào/secure sau khi mở khóa. Khi khởi động, hệ thống sẽ yêu cầu bạn nhập mật khẩu (từ crypttab), sau đó tự động tiến hành mount phân vùng đã mã hóa như bình thường.

Sau khi cấu hình, khởi động lại Linux Ubuntu để kiểm tra. Nếu thành công, Ubuntu sẽ nhắc bạn nhập mật khẩu để mở ổ đã mã hóa, sau đó bạn có thể truy cập nội dung trong thư mục mount /secure như một ổ đĩa thông thường. Ví dụ, chạy ls /secure sẽ hiển thị các files trong phân vùng đã mã hóa.

Tổng kết

Việc mã hóa ổ đĩa với LUKS trên Ubuntu 24.04 mang lại lớp bảo mật mạnh mẽ cho dữ liệu khi thiết bị bị thất lạc hoặc truy cập trái phép. Chỉ với một vài lệnh trong Terminal, bạn có thể bảo vệ toàn bộ phân vùng/ổ đĩa bằng một passphrase an toàn. Tuy nhiên, bạn cần phải ghi nhớ mật khẩu mã hóa, bởi nếu quên, dữ liệu sẽ không thể khôi phục. Ngoài ra, hãy cân nhắc hiệu xuất và backup dữ liệu trước khi triển khai, vì mã hóa có thể làm giảm một chút tốc độ ghi/đọc tùy thiết bị. Để tiện lợi hơn, Ubuntu cho phép tự động hỏi mật khẩu qua /etc/crypttab và mount ổ qua /etc/fstab.

Việc mã hóa dữ liệu không chỉ giúp bảo vệ quyền riêng tư cá nhân và công ty mà còn là bước cần thiết để tuân thủ các chuẩn bảo mật cao cấp. Hãy áp dụng ngay mã hóa ổ đĩa trên Ubuntu nếu bạn thường xuyên lưu trữ dữ liệu nhạy cảm để yên tâm hơn mỗi khi rời khỏi máy tính.

#Ubuntu #Linux #LUKS #MãHóaỔĐĩa #BảoMậtDữLiệu #CyberSecurity #OpenSource

Bài viết liên quan

Hướng Dẫn Bảo Mật SSH Trên Linux Bằng PAM: Giới Hạn SSH Login Và Kiểm Soát Truy Cập

31/05/2026

Hướng dẫn sử dụng Putty để truy cập vào Linux EC2 Instance

03/02/2026

Hướng dẫn cách Backup dữ liệu của On-Premise Servers lên AWS S3

29/01/2026

Về Lưu Hồ Phương

Xem tất cả các bài viết của Lưu Hồ Phương →

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *