Existe algum utilitário ou procedimento disponível para criptografar meus dados ativos existentes para fazer uma criptografia de disco completa?

4

Uma vez eu já tenho um sistema Linux em execução instalado com dados não criptografados ao vivo no meu disco rígido. Existe alguma maneira razoável de dm-crypt que todo HDD direito no lugar? (Sem fazer o backup, em seguida, restaurando ou transferindo para um novo FS.)

Se houver alguma maneira de fazer isso online? Ou seja ser capaz de operar meu sistema Linux em uma hora ou mais que é necessário para criptografar todos os dados?

    
por Joe C 02.04.2013 / 21:47

3 respostas

6

Se você (a) tiver espaço em disco suficiente e (b) estiver usando o LVM, poderá:

  1. Faça um backup.
  2. Releia a etapa 1, não a ignorando desta vez.
  3. Releia a etapa 1, tendo em mente que não testei isso. Deve funcionar, no entanto!
  4. Diminuir seu volume físico atual ( pvresize )
  5. Redimensione a partição subjacente. Infelizmente, para reler a tabela de partições, você provavelmente terá que reinicializar (ela está em uso).
  6. Crie uma nova partição, configure dm-crypt nela. Coloque um volume físico em cima disso.
  7. Agora você pode usar pvmove para realmente mover os dados on-line.
  8. Enquanto a movimentação está em andamento, atualize seu initramfs para inicializar volumes criptografados. Especialmente se você estiver criptografando tudo.
  9. Tenha um disco de recuperação (por exemplo, live cd) pronto. Reinicie, certifique-se que surge
  10. Remova o antigo pv do grupo de volumes e faça uma substituição segura nele.
  11. Agora você também pode configurar o dm-crypt e adicioná-lo como um segundo pv ao mesmo vg.

Se você não estiver usando o LVM, provavelmente é inútil. Você poderia certamente usar, por exemplo, o rsync para copiar os dados de um sistema de arquivos para outro, mas você precisará fazer a sincronização final com a máquina ociosa (caso contrário, você terá arquivos mudando ao tentar copiá-los). p>     

por 02.04.2013 / 23:38
5

Criptografia local LUKS existe. Mas você precisa configurar seu ambiente um pouco de acordo com as imagens:

    
por 18.09.2015 / 12:35
2

As ferramentas devem existir, mas não posso oferecer um nome ou URL. Mas se você não tem medo :-) então nem é difícil. Tudo o que você precisa fazer é ler o dispositivo não criptografado e gravar no dispositivo criptografado. E você não pode usar o LUKS a menos que redimensione o sistema de arquivos antes de torná-lo um pouco menor. E, claro, isso não funciona com o dispositivo sendo montado (provavelmente nem mesmo se estiver montado ro). A função principal (sem qualquer proteção contra falhas) é esta (e sim, eu tentei com sucesso):

for((i=0;i<100;i++)); do
  echo "Copying block with offset ${i} to tmpfs"
  dd if=/dev/storage2/test of=/mnt/tmpfs/cryptoblock skip=$i bs=10M count=1 &>/dev/null
  echo "Copying block with offset ${i} from tmpfs"
  dd if=/mnt/tmpfs/cryptoblock of=/dev/mapper/crypt_test seek=$i bs=10M count=1
done

A demanda óbvia por melhorias é: copie os blocos para um meio não-volátil e registre seu deslocamento. Em caso de falha, copie manualmente o bloco da transação interrompida e inicie o loop com o deslocamento do próximo bloco como valor inicial.

    
por 03.04.2013 / 02:38