Início / unix / Perguntas / 788465
Accepted
Kantium
Asked: 2024-12-20 19:43:35 +0800 CST

Minha partição LUKS estendida está criptografada?

  • 772

Adicionei um segundo NVMEno meu computador e estendi meu volume LVM criptografado. Usei os seguintes comandos para estendê-lo:

sudo pvcreate /dev/nvme0n1            << New disk
sudo vgextend castel-vg /dev/nvme0n1
sudo lvm lvextend -l +100%FREE /dev/castel-vg/root
sudo resize2fs -p /dev/mapper/castel--vg-root

A partição está bem estendida e tudo funciona bem, mas agora se eu olhar o lsblkresultado:

lsblk
NAME                      MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINTS
nvme1n1                   259:0    0  3.6T  0 disk  
├─nvme1n1p1               259:1    0  512M  0 part  /boot/efi
├─nvme1n1p2               259:2    0  488M  0 part  /boot
└─nvme1n1p3               259:3    0  3.6T  0 part  
  └─nvme0n1p3_crypt       254:0    0  3.6T  0 crypt 
    ├─castel--vg-root     254:1    0  7.3T  0 lvm   /
    └─castel--vg-swap_1   254:2    0  976M  0 lvm   [SWAP]
nvme0n1                   259:4    0  3.6T  0 disk  
└─castel--vg-root         254:1    0  7.3T  0 lvm   /

As duas últimas linhas estão me dando uma dúvida de que a partição castel--vg-rootna unidade nvme0n1não está usando a camada de criptografia LUKS. Existe alguma maneira de confirmar ou não se a partição estendida está bem criptografada?

Atualizar:

Descrição da situação

Enquanto eu tentava desenhar isso, para ajudar a esclarecer minha pergunta (a ??parte), notei que também não está claro para mim onde está o crypt/LUKS. É nvme0n1p3_cryptuma partição ou um VolumeGroup?

lvm

1 respostas

  1. Best Answer

    Não, não é. Seu grupo de volume está atualmente construído em cima de dois volumes físicos (PVs) e apenas um deles está atualmente usando LUKS para criptografia ( nvme0n1p3_crypt) e o segundo é apenas um disco simples sem nenhuma criptografia configurada ( nvme0n1). Isso significa que os dados em seu rootvolume lógico estão apenas parcialmente criptografados -- os dados que o LVM gravará em seu primeiro PV serão criptografados, os dados gravados no segundo PV não (porque você redimensionou seu LV raiz, ele agora está usando espaço em ambos os PVs).

    Para corrigir isso, recomendo começar do zero (supondo que você ainda não preencheu o novo espaço no seu LV raiz) — reduza o rootvolume lógico (felizmente, ele é um sistema de arquivos ext, então pode ser reduzido), remova o segundo PV do seu VG e, desta vez, antes de adicioná-lo novamente, crie LUKS nele primeiro (é possível adicionar LUKS a um dispositivo existente, mas a recriptografia de LUKS pode ser um pouco complicada e, neste caso, provavelmente é mais fácil começar do zero).

    E depois repita os passos anteriores mas antes de executar pvcreateexecute:

    1. cryptsetup luksFormat /dev/nvme0n1
    2. cryptsetup luksOpen /dev/nvme0n1 nvme0n1_crypt
    3. pvcreate /dev/mapper/nvme0n1_crypt

    então use cryptsetup luksDump /dev/nvme0n1para obter o UUID do dispositivo LUKS e adicione-o ao seu /etc/crypttabpara garantir que ele seja desbloqueado durante a inicialização. Certifique-se de regenerar seu initramfs usando dracut -fv(em sistemas RHEL/Fedora, é diferente em distribuições diferentes).

    • 1

relate perguntas