问题[luks](server)

我最近克隆了我的 250GB 磁盘，安装了 Fedora37，用 LUKS 加密。目前约。使用 20 GB 磁盘空间，其余免费。

我继续从 fedora-live-usb 启动并使用 dd 将磁盘克隆到外部驱动器，另外，我添加了 gzip，所以我不会得到一个不必要的大图像。例子：

dd if=/dev/sda | gzip -c  > /mnt/<external-disk>/image.img.gz

克隆+压缩以 12GB 的图像大小结束。看起来非常接近实际磁盘使用情况（有点小）。

问题来了：如果磁盘是用 LUKS 加密的，当磁盘在锁定状态下被克隆时，它是否应该更大，所以可用磁盘空间不应显示为“零”，因为即使是空磁​​盘空间也应该被加密？

或者更准确地说：让我们假设 250GB 减去大约。20GB（=230GB）并非全为零，而是一页一页地完全相同。

这不是一个大问题吗，因为人们可以假设这么多相等的页面可能表示未使用的空间（零？），因此能够轻松破解加密，因为攻击者知道空白空间的原始数据是什么，然后使用相同的密钥对于实际数据？

即使使用 gzip，我也期待一个更大的磁盘映像，因为“一个空白页”不应该看起来等于 gzip“作为下一个”等等！？

我使用 dropbear-initramfs（像这样）来解密我的 Ubuntu 20.04.3 无头服务器上的根驱动器。最近服务器突然断电（我想是断电了？），现在 dropbear SSH 服务器拒绝了我的公钥。

我可以成功连接键盘和显示器并输入我的解密密钥，之后我可以访问完整的 SSH 服务器，但是我仍然遇到与公钥相同的问题。我已经检查过了/etc/dropbear-initramfs/{authorized_keys,config}，但一切似乎都应该如此。

我想看看 dropbear SSH 端发生了什么，但我不知道如何查看日志。有任何想法吗？

更新：

我跑sudo lsinitramfs /boot/initrd.img-5.4.0-90-generic了，这给了我一些有趣的东西：

...
etc/dropbear  # no etc/dropbear/authorized_keys!
etc/dropbear/config
etc/dropbear/dropbear_dss_host_key
etc/dropbear/dropbear_ecdsa_host_key
etc/dropbear/dropbear_rsa_host_key
...
root-IEiu10  # what is this folder and why is authorized_keys here?
root-IEiu10/.ssh
root-IEiu10/.ssh/authorized_keys

UPDATE2：我认为我的问题与此有关。

创建加密存储卷相对简单（例如：https ://www.digitalocean.com/community/tutorials/how-to-create-an-encrypted-file-system-on-a-digitalocean- block-storage-volume。）但是，由于文件系统在启动时被解密，并且服务器始终处于开启状态，所以数据不会以纯文本形式保存在我们的 VPS 上吗？

在永远在线的 VPS 上使用全盘加密有什么价值吗？

- 编辑 - -

我的目标是让主机在财务上无法访问我的数据和源代码。磁盘加密在这方面有用吗？

设置：使用 luks aes-xts 512 位（256 位 AES 密钥）加密的 SSD，ext4 文件系统

dd 写入性能138 MB/s，CPU 使用率 97-100 %

dd if=/dev/zero of=testfile status=progress bs=32M count=128
4294967296 bytes (4,3 GB, 4,0 GiB) copied, 31 s, 138 MB/s
128+0 Datensätze ein
128+0 Datensätze aus
4294967296 bytes (4,3 GB, 4,0 GiB) copied, 31,0463 s, 138 MB/s

dd 读取性能110 MB/s，CPU 使用率从 > 90 % 开始，然后下降到大约 50-60 %，然后在文件读取结束时再次上升到 > 90 %。

#crop cache before
sudo sh -c "echo 1 > /proc/sys/vm/drop_caches"

现在进行测试：

dd if=testfile of=/dev/null status=progress bs=32M
4261412864 bytes (4,3 GB, 4,0 GiB) copied, 39 s, 109 MB/s
128+0 Datensätze ein
128+0 Datensätze aus
4294967296 bytes (4,3 GB, 4,0 GiB) copied, 39,1345 s, 110 MB/s

现在让我们仔细看看 samba：

在上面基准测试的磁盘上将1 GB 文件写入samba共享大约73 MB/s，CPU 使用率仅为 70% 左右。

从samba共享中读取1 GB 文件的速度仅为64 MB/s左右，CPU 使用率约为 55%。还要看这张图：它开始缓慢，然后速度上升和下降，产生某种波形。

立即再次复制此文件，当它在缓存中时，它会以112 MB/s 的速度复制，因此应有全 GigabitEthernet 速度。

与未加密的驱动器相比：

dd 写入速度133 MB/s

dd 读取速度207 MB/s

Samba 写入：112 MB/s

Samba 读取速度：112 MB/s

所以单独使用LUKS加密就可以提供足够的速度，单独使用Samba也有足够的速度。结合起来，性能会大幅下降，而仅使用 dd 时仍有大量可用的 CPU 资源可用。

这里有什么问题？为什么在使用 dd 对 samba 进行操作时，CPU 没有完全使用？可以做些什么来使用 smb 和 luks 加密来获得完整的性能/CPU 使用率？

如果在 dm-crypt 映射器设备顶部有 2x LUKS 加密的 HDD 和 ZFS 镜像池：如果我的一个 HDD 遇到错误并且操作系统将扇区识别为坏扇区会发生什么？

这个坏扇区信息是否会被传递给加密层，因此也会出现在标记为“坏”的映射器设备上？（当然是相应的受影响的块）。

（以便加密设备顶部的 ZFS 层可以看到这一点，并在访问期间或清理期间通过内部机制纠正错误。没有 ZFS 加密 - 有意。然而）。

Debian/Ubuntu。

我有几个非启动 NVMe 磁盘，其数据必须加密。

我一直cryptsetup在磁盘本身上运行而不对它们进行分区，然后在devicemapper设备上创建一个文件系统。

有什么理由我应该首先对这些磁盘进行分区（在整个磁盘上有一个大分区）并cryptsetup在分区上运行？这些磁盘严格来说是 a 的一部分zpool，所以我认为没有理由对它们进行分区。

但我听说这可能会导致磁盘经历更多的写入和更短的寿命。

这种说法有什么依据吗？

该错误发生在 LVM/LUKS Debian VPS 上。

我删除了swap卷并root使用以下方法增加了卷：

swapoff /dev/group/swap
lvremove group/swap
lvresize -rl +100%FREE /dev/group/root

现在，当我启动时，我收到以下错误消息：

Failed to find logical volume "group/swap"

一切正常，但我想修复导致此错误的任何原因。

我目前正在 Proxmox VE 上设置服务器。我希望对所有驱动器进行加密，因此我选择在所有磁盘上设置 luks，并在 luks 之上设置 LVM。

现在，当我使用 dd 将数据从快速驱动器 (SSD) 传输到较慢驱动器 (HDD) 时，它以一些 GB/s 的速度启动得非常快。然后减速。然后我注意到 IO 等待高达 10%，系统负载上升到 36。一些虚拟机受此影响并冻结。

进一步的监测显示，在高 IO 等待期间dmcrypt_write使用了 99% 的 IO。所以我安装了 Netdata 来获取一些图表，并显示 HDD 正在以大约 120 到 150 MB/s 的速度写入。

一段时间后，kworkers 因耗时过长而被杀死。经过一些研究，我将dirty_ratioand调整dirty_background_ratio为较低的值，这有助于但大大降低了速度。大约 25 MB/s。这防止了巨大的冻结，但仍然导致一些滞后。这也减慢了 HDD 本身的写入速度。HDD 不再以 150 MB/s 的速度写入，而现在只能以 50 MB/s 的速度写入。

老实说，我不知道更多。有没有我还没有找到的缓存？或者是否有办法将 Linux 中的写入速度限制为应有的驱动器写入速度？

我唯一的目标是将数据从 A 复制到 B，而不必手动限制速度，也不必担心虚拟机冻结。

系统信息：

CPU： 2x Intel Xeon E5-2650 v2
RAM： 128 GB DDR3 ECC
操作系统：手动安装 Proxmox VE
内核的 D​​ebian 10： Linux 5.3.18-3-pve #1 SMP PVE 5.3.18-3 (Tue, 17 Mar 2020 16:33:19 +0100) x86_64 GNU/Linux

我让 dd 读取的 SSD 是 RAID 1 中的两个东芝企业 SAS-SSD。HDD 是一些 5400rpm 的 SATA HDD（所以......不是最快的）。它们也在 RAID 1 中。

RAID 由 DELL PERC H710 mini（嵌入式）管理。所有 RAID 都具有Adaptive Read Ahead读取策略和Write Through写入策略。

我还注意到一个看起来很奇怪的 Dirty/ Writeback 图：点击查看图像（新手保护）

是否可以将特定插槽的 LUKS 密钥设置为用户密码？因此，如果用户bob的密码是12345我想将 slot#2 设置为12345.

我知道我可以使用 设置特定插槽的密钥cryptsetup luksAddKey /dev/sda5 -S 2，但是如何获取用户的密码？

当驱动器采用文本密码时，通过 SSH 解锁 LUKS 驱动器很容易：

cryptsetup luksOpen /dev/sdb1 mylockeddrive

然后在提示时输入密码。

有没有办法在使用密钥文件时解锁这些驱动器，而不是在远程系统上复制密钥文件？