LUKS üzeri LVM veya LVM üzeri LUKS nasıl tanımlanır

14

Yakın zamanda Fedora 20'yi kurdum. Kurulum sırasında diski / LVM'yi şifrelemek için hangi seçenekleri seçtiğimi hatırlamıyorum. İyi yüklendi ve giriş yapabilirim vb. İşte durumum:

LiveCD ile başlattım ve aşağıdakileri denedim: (/ dev / sda3 'bölümüne Fedora20'yi kurdum).

Çalıştırırsam cryptsetup open /dev/sda3 fedo, bunun bir LUKS cihazı olmadığını söyleyen bir hata alıyorum.
II run cryptsetup luksDump /dev/sda3LUKS cihazı olmadığını söyleyen bir hata alıyorum
Çalıştırırsam cryptsetup open --type plain /dev/sda3 fedo, şifre ister ve cihazı iyi açar.

Açıkçası, bu düz metin şifreli (LUKS üstbilgisi olmadan) bölümdür.

Şimdi koşmaya çalıştığımda mount /dev/mapper/fedo /mnt/fedoradiyor unknown crypto_LUKS filesystem.

Ben bu yüzden, ben çalıştırabilir, bunun üstüne LVM var pvdisplay, vgdisplay, lvdisplayve bilgileri gösterir. Ben denilen bir VG fedorave iki LVs, takas bölümü için viz 00 ve / bölüm için 01 var.

Şimdi, eğer ben yaparsam cryptsetup luksDump /dev/fedora/01LUKS başlıkları vb görebilirsiniz. Ve çalıştırarak monte edebilirsiniz mount /dev/fedora/00 /mnt/fedora, şifre istemi yok.

Peki, LVM-over- (düz metin) şifreli bir bölümüm var mı?

İşte benim çıktı lsblk:

# lsblk
ADI MAJ: MIN RM BOYUTU RO TİPİ DAĞ NOKTASI
sda 8: 0 0 37.3G 0 disk
| -sda3 8: 3 0 17.4G 0 bölüm
  | -fedora-00253: 0 0 2.5G 0 lvm
  | | -luks-XXXXX 253: 3 0 2.5G 0 crypt [SWAP]
  | -fedora-01 253: 1 0 15G 0 lvm
    | -luks-XXXXX 253: 2 0 15G 0 crypt /

Öyleyse, soru şu ki, LUKS üzeri LVM veya LVKS üzeri LUKS veya bunların başka bir kombinasyonuna ( LUKS üzerinden LVM üzerinden LUKS vb.) Sahip olup olmadığımı nasıl anlayabilirim ? Sorumu açıklığa kavuşturmak için LVM ve LUKS'um olduğunu biliyorum, bunların sırasını bulmak istiyorum.

— NotSuperMan
kaynak

14

cryptsetup luksDump /dev/fedora/01LVM mantıksal birimini LUKS şifreli birim olarak gösterir. Çıktısı pvsveya pvdisplaybölümü /dev/sda3fiziksel bir birim olarak gösterecektir . Böylece LVM üzerinde LUKS var. Daha düşük bir seviyede PC bölümü üzerinde LVM var.

Çıktı lsblkbunu onaylar: sdabir disktir, sda3(bir LVM fiziksel birim içeren) bir bölümdür fedora-00ve fedora-01mantıksal birimlerdir ve her mantıksal birim bir LUKS şifreli birim içerir.

— Gilles 'SO- şeytan olmayı bırak'
kaynak

Mükemmel cevap ve testlerimi onaylar. Burada bir acemi olduğum ve yeterince yüksek bir itibara sahip olmadığım için cevabınıza oy

— veremem

8

Sade bir kript içinde LUKS olması çok garip. Neden iki kez şifreleyelim?

Dosya sistemleriniz monte edildiğinde, lsblksize neyin ne olduğunu gösterecektir.

NAME                         MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                            8:0    0  59.6G  0 disk  
└─sda1                         8:1    0  59.6G  0 part  
  └─md0                        9:0    0  59.6G  0 raid1 
    └─luksSSD1               253:9    0  59.6G  0 crypt 
      ├─SSD-home             253:0    0    36G  0 lvm   /home
      └─SSD-root             253:10   0    16G  0 lvm   /

Bu, disk sda üzerinde düzenli bir bölüm (sda1) üzerinde RAID1'deki (md0, tip raid1) LUKS (LV) (/ crypt, luksSSD1) üzerindeki LVM'dir (/ home ve / lvm tipinde).

— frostschutz
kaynak

Evet, garip. Soruma 'lsblk' çıktısı ekledim.

— NotSuperMan

@NotSuperMan: iyi görünüyor. disk, bölüm, lvm ve her LV şifrelenir. Bu ortak bir kurulum. Açıklamanız bir şekilde farklı geldi. Sanırım hatanız sda3 üzerinde cryptsetup --plain kullanıyor; sda3 bir LVM cihazıdır, şifrelenmez.

— frostschutz

Yardımınız için teşekkürler. Ancak, cryptsetup --type plain olmadan, bölümü bile bağlayamadım. Yani benim için net değildi. İlk önce bölme montajı yerine, doğrudan LUKS-UUID kullanarak LV monte etmeliyim? (Ben bir şans vereceğim) Koştuğumda Id 8e ve Type fdisk -l /dev/sdaolduğunu söylüyor . /dev/sda3Linux LVM

— NotSuperMan

TAMAM. Önce bölümü 'kriptsetup açmaya' çalışmak yerine, sadece cryptsetup open /dev/disk/by-uuid/UUID-of-LV SomeNameLV'yi doğrudan açmak için komutu kullandım ve passowrd vb. İstedi ve daha sonra eşlenen cihazı iyi bir şekilde bağlayabildim. Bu bana çok şey anlatıyor. Anahtarın lsblkkomutun çıktısındaki 'crypt ve' lvm 'TÜRlerinin sırası olduğunu düşünüyorum . Bu yüzden kurulumumun bir LVKS üzeri LVM olduğunu düşünüyorum . Ve gösterdiğiniz çıktıdan, sizinki LUKS üzeri bir LVM kurulumu olduğu sonucuna varıyorum . Bu yüzden, bir 'Linux LVM' bölümünü 'kripto kurulumunu açmamam' gerektiğine karar verdim.

— NotSuperMan

Yorumlarınız anlayışlarımı netleştirmeme yardımcı oldu. Ne yazık ki, burada bir acemi olduğum için cevabınız için oy kullanamıyorum ve yeterince yüksek "itibar" a sahip değilim :-( ve böylece

— stackexchange

3

Neye benzediğini görebilirsiniz:

$ sudo blkid | grep crypto_LUKS
/dev/mapper/fedora-home: UUID="XXXXXXXXXXXXXXXXX" TYPE="crypto_LUKS"

Bu, üzerinde kripto LUKS bulunan bir LVM mantıksal birimidir. Bu birimi bağladığımda, Fedora 20'nin altına şu şekilde monte edildi:

$ mount | grep home
/dev/mapper/luks-XXXXX on /home type ext4 (rw,relatime,seclabel,data=ordered)

Standart bir kurulum yaptıysanız, aynı şeye sahip olacaksınız.

Manuel olarak şifre çözme

El ile bir şeyler yapmak istiyorsanız aşağıdakileri yapabileceğinize inanıyorum. Bir şeyin LUKS olup olmadığını ilk önce:

$ sudo cryptsetup isLuks /dev/mapper/fedora-home
$ echo $?
0

$ sudo cryptsetup isLuks /dev/mapper/fedora-root 
$ echo $?
1

NOT: Sıfır, LUKS olduğunu gösterir, 1 ise olmadığı anlamına gelir.

Sonra şifresini çözmek için:

$ sudo cryptsetup luksOpen /dev/mapper/fedora-home crypthome

NOT: Bölümün şifresini çözmek için parolayı girmeniz gerekir. Eşleme adını crypthomeistediğiniz gibi değiştirmekten çekinmeyin . Eşlenen bölüm şu anda kullanılabilir /dev/mapper/crypthomeancak bağlı değil. Son adım bir bağlama noktası oluşturmak ve eşlenen bölümü monte etmektir:

Elle montaj

$ sudo -Es
$ mkdir /mnt/crypthome && mount /dev/mapper/crypthome /mnt/crypthome

Hangi şifreli bölümlerim var?

/etc/crypttabHangi LUKS kurulumunu yaptığınızı görmek için dosyayı kontrol edebilirsiniz .

$ more /etc/crypttab  
luks-XXXXXXXX UUID=XXXXXXXX none

Cihazı boşaltma

Şöyle de kullanabilirsiniz luksDump:

$ sudo cryptsetup luksDump /dev/mapper/fedora-home
LUKS header information for /dev/mapper/fedora-home

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha1
Payload offset: 4096
MK bits:        512
MK digest:      XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
MK salt:        XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
                XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
MK iterations:  50625
UUID:           XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX

Key Slot 0: ENABLED
    Iterations:             202852
    Salt:                   XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
                            XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
    Key material offset:    8
    AF stripes:             4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

Bir LUKS cihazı değilse, şu şekilde raporlanır:

$ sudo cryptsetup luksDump /dev/mapper/fedora-root 
Device /dev/mapper/fedora-root is not a valid LUKS device.

Referanslar

LUKS şifreli bölümleri manuel olarak bağlama

— slm
kaynak

1

Bence bu bir LÜKS üzeri LÜKS olup olmadığını öğrenmek için anahtar ya da tam tersi, komut çıkışında crypt ve lvm TYPEs sırasıdır lsblk. Bu gerekçeye dayanarak, kurulumumun bir LVKS-LVM olduğu sonucuna varıyorum . İçin lsblkkurulum bir LVM-over-LUKS türü için çıkış, çıkışta göz altına @frostschultz tarafından gösterdi.

Benim durumumda, / dev / sda3 bir "Linux LVM" sistem bölümü (bölüm 8e) olduğundan, cryptsetup open --type plain /dev/sda3 SomeNameilk önce denemek yerine , LV'yi doğrudan cryptsetup open /dev/disk/by-uuid/UUID-of-LV SomeNameaçmak için komut komutunu çalıştırarak doğrudan LVM'yi eşlemeliydim . Bunu denedim ve beklediğim gibi çalışıyor.

Bunu anlamama yardımcı olan herkese teşekkürler.

— NotSuperMan
kaynak