Por que o mkfs sobrescreve o cabeçalho de criptografia do LUKS no LVM em partições RAID no Ubuntu 12.04?

3

Estou tentando configurar algumas partições criptografadas pelo LUKS para serem montadas após a inicialização em um novo servidor Ubuntu que foi instalado com o LVM sobre o RAID de software. Depois de executar cryptsetup luksFormat , o cabeçalho LUKS fica claramente visível no volume. Depois de executar qualquer sabor do mkfs, o cabeçalho é sobrescrito (o que não acontece em outros sistemas que foram configurados sem o LVM), e o cryptsetup não reconhecerá mais o dispositivo como um dispositivo LUKS.

# cryptsetup -y --cipher aes-cbc-essiv:sha256 --key-size 256 luksFormat /dev/dm-1
WARNING!
========
This will overwrite data on /dev/dm-1 irrevocably.

Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase: 
Verify passphrase:
# hexdump -C /dev/dm-1|head -n5
00000000  4c 55 4b 53 ba be 00 01  61 65 73 00 00 00 00 00  |LUKS....aes.....|
00000010  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000020  00 00 00 00 00 00 00 00  63 62 63 2d 65 73 73 69  |........cbc-essi|
00000030  76 3a 73 68 61 32 35 36  00 00 00 00 00 00 00 00  |v:sha256........|
00000040  00 00 00 00 00 00 00 00  73 68 61 31 00 00 00 00  |........sha1....|
# cryptsetup luksOpen /dev/dm-1 web2-var
# mkfs.ext4 /dev/mapper/web2-var
[..snip..]
Creating journal (32768 blocks): done
Writing superblocks and filesystem accounting information: done   
# hexdump -C /dev/dm-1|head -n5
# cryptsetup luksClose /dev/mapper/web2-var
00000000  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
*
00000400  00 40 5d 00 00 88 74 01  66 a0 12 00 17 f2 6d 01  |.@]...t.f.....m.|
00000410  f5 3f 5d 00 00 00 00 00  02 00 00 00 02 00 00 00  |.?].............|
00000420  00 80 00 00 00 80 00 00  00 20 00 00 00 00 00 00  |......... ......|
# cryptsetup luksOpen /dev/dm-1 web2-var
Device /dev/dm-1 is not a valid LUKS device.

Eu também tentei o mkfs.ext2 com o mesmo resultado. Com base em configurações que fiz com sucesso no Debian e no Ubuntu (mas não no LVM ou no Ubuntu 12.04), é difícil entender por que isso está falhando.

    
por Starchy 18.06.2012 / 23:45

1 resposta

3

Se o dispositivo for realmente denominado /dev/web2/var , isso significa para mim que você está usando o LVM e o volume criptografado é o volume var logical dentro do grupo de volumes web2 . Isso significa que existe um dispositivo chamado /dev/mapper/web2-var e o cryptsetup provavelmente não está sobrescrevendo quando você diz para desbloquear o volume. Assim, você está formatando o volume original, não o volume descriptografado.

Não sei por que você não está recebendo um erro do cryptsetup. Você pode querer arquivar um bug nele. Ou, pelo menos, verifique se ele está renomeando automaticamente o dispositivo desbloqueado para /dev/mapper/web2-var2 ou algo semelhante.

Enquanto isso, forneça ao volume descriptografado um novo nome. Experimente

cryptsetup luksOpen /dev/dm-1 web2-var_crypt
    
por 19.06.2012 / 04:10