Diagon's questions

我在 Ubuntu 22.04 上，并且为用户 拥有以下 sodoers 文件btrbk，位于/etc/sudoers.d/btrbk，运行良好：

Cmnd_Alias BTRFS_FILESYSTEM_USAGE = /usr/bin/btrfs filesystem usage *
Cmnd_Alias BTRFS_SUBVOLUME_SHOW = /usr/bin/btrfs subvolume show *
Cmnd_Alias BTRFS_SUBVOLUME_LIST = /usr/bin/btrfs subvolume list *
Cmnd_Alias BTRFS_SUBVOLUME_SNAP = /usr/bin/btrfs subvolume snapshot *
Cmnd_Alias BTRFS_SUBVOLUME_DELETE = /usr/bin/btrfs subvolume delete *
Cmnd_Alias BTRFS_SEND = /usr/bin/btrfs send *
Cmnd_Alias BTRFS_RECEIVE = /usr/bin/btrfs receive *
Cmnd_Alias READLINK = /usr/bin/readlink *
Cmnd_Alias TEST = /usr/bin/test *

btrbk ALL= NOPASSWD: BTRFS_FILESYSTEM_USAGE, BTRFS_SUBVOLUME_SHOW, BTRFS_SUBVOLUME_LIST, BTRFS_SUBVOLUME_SNAP, BTRFS_SUBVOLUME_DELETE, BTRFS_SEND, BTRFS_RECEIVE, READLINK, TEST

另一方面，我有dev位于 的用户的以下内容/etc/sudoers.d/dev，其中大部分是 的子集btrbk，但全部失败：

Cmnd_Alias BTRFS_FILESYSTEM_SHOW_DEV = /usr/bin/btrfs filesystem show *
Cmnd_Alias BTRFS_FILESYSTEM_USAGE_DEV = /usr/bin/btrfs filesystem usage *
Cmnd_Alias BTRFS_SUBVOLUME_SHOW_DEV = /usr/bin/btrfs subvolume show *
Cmnd_Alias BTRFS_SUBVOLUME_LIST_DEV = /usr/bin/btrfs subvolume list *

Cmnd_Alias TRANSMISSION_RESTART_DEV = /usr/bin/systemctl restart transmission-daemon.service

dev ALL= NOPASSWD: BTRFS_FILESYSTEM_SHOW_DEV, BTRFS_FILESYSTEM_USAGE_DEV, BTRFS_SUBVOLUME_SHOW_DEV, BTRFS_SUBVOLUME_LIST_DEV
dev ALL= NOPASSWD: TRANSMISSION_RESTART_DEV

该文件/etc/soders确实有正确的

@includedir /etc/sudoers.d

并且，sudoers和 的权限为sudoers.d/*440，所有者为root。 sudo -lU btrbk与 的输出相比， 的输出dev似乎是正确的：

$ sudo -l -U btrbk
Matching Defaults entries for btrbk on ThinkPad:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin, use_pty

User btrbk may run the following commands on ThinkPad:
    (root) NOPASSWD: /usr/bin/btrfs filesystem usage *, /usr/bin/btrfs subvolume show *, /usr/bin/btrfs subvolume list *, /usr/bin/btrfs
        subvolume snapshot *, /usr/bin/btrfs subvolume delete *, /usr/bin/btrfs send *, /usr/bin/btrfs receive *, /usr/bin/readlink *,
        /usr/bin/test *

$ sudo -l -U dev
Matching Defaults entries for dev on ThinkPad:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin, use_pty

User dev may run the following commands on ThinkPad:
    (ALL : ALL) ALL
    (root) NOPASSWD: /usr/bin/btrfs filesystem show *, /usr/bin/btrfs filesystem usage *, /usr/bin/btrfs subvolume show *, /usr/bin/btrfs subvolume
        list *
    (root) NOPASSWD: /usr/bin/systemctl restart transmission-daemon.service

对于用户dev，btrfs 给出权限失败：

$ btrfs filesystem show
ERROR: cannot open /dev/mapper/luks.root: Permission denied
ERROR: cannot open /dev/mapper/ub.luks.root: Permission denied
ERROR: cannot open /dev/mapper/luks.data: Permission denied
ERROR: cannot open /dev/mapper/sd.luks.backup: Permission denied

对于传输也类似，会弹出一个身份验证窗口，当取消时...

$ systemctl restart transmission-daemon.service 
Failed to restart transmission-daemon.service: Access denied
See system logs and 'systemctl status transmission-daemon.service' for details.

$ journalctl -x -b0 | grep transmission | tail -n1
Apr 03 15:38:53 ThinkPad polkitd(authority=local)[2612]: Operator of unix-session:3 FAILED to authenticate to gain authorization for action org.freedesktop.systemd1.manage-units for system-bus-name::1.1042 [systemctl restart transmission-daemon.service] (owned by unix-user:dev)

有人可以就为什么会出现这种情况提出建议吗？

在 Debian 中，我可以在启动时解锁多个磁盘，只需一个提示，使用 decrypt_keyctl 和 /etc/crypttab 中的 initramfs 开关。我想知道如何在 CentOS-7 中做到这一点？

带有两个 luks 设备的普通网络服务器安装有一个 crypttab 类似于：

luks_root   UUID=<uuid1>   none
luks_swap   UUID=<uuid2>   none

我想添加另一个磁盘。（而且，当有两台设备时，目前的启动是如何发生的，只有一个密码提示？）

我在安装在同一台机器上的不同驱动器上的两个 lzo 压缩 BtrFS 文件系统之间复制大量文件。似乎正在对文件进行解压缩/重新压缩。有没有办法避免这种情况？

我有一个包含（仅）LUKS 加密卷的磁盘。这是使用 cryptsetup v.1.6.1 在没有分区表的裸驱动器上创建的。解锁后，我可以查看解密卷的大小，将其与整个磁盘进行比较，发现差异正好是 2MB。另一方面，当我备份标题时，使用：

cryptsetup luksHeaderBackup /dev/sda --header-backup-file <filename>

我得到一个小于 2MB 的 30kB 文件。使用 dd 转储磁盘的前 2MB 并将其与备份的标头进行比较，我看到最后缺少 30KB 并且包含所有 0。奇怪的是，我使用 cryptsetup 1.4.1 和 1.4.3 备份了各种（其他）LUKS 标头，它们都是 2MB。这与cryptsetup FAQ 的第 6.2 节一致，即标头大小应为 2MB。

有人可以帮我理解这 30KB 是什么吗？（我想用随机数据覆盖标题，因为我已经把它放在一个单独的设备上，并想确保我知道我在做什么。）

同样作为一个更普遍的问题，是否有一种更简单/自动化的方法，也许使用 luksDump 的输出来准确判断标头在磁盘上的位置？（包括偏移量和大小。）我已经阅读了 cryptsetup 常见问题解答，但结果肯定不仅仅是退出。

而且，有没有比使用 dd 更好的方法来覆盖标题？

cryptsetup luksHeaderRestore <file_with_random_data>

不起作用，因为 cryptsetup 会进行一些白痴检查，以查看是否有任何已经存在的标头与主密钥大小和偏移量匹配。