É seguro re-criptografar a matriz mdadm não criptografada com o LUKS?

Question

É seguro re-criptografar a matriz mdadm não criptografada com o LUKS?

#1 resposta do (1 votos)

1

Eu gostaria de converter meu raid6 mdadm em LUKS criptografados. No momento, o raid6 consiste em "/ dev / sdX1", que são partições raid. / dev / md0 não tem uma partição - é puro ext4 FS.

É seguro reencrypt (cryptsetup-reencrypt / dev / md0)? Irá LUKS adicionar algum cabeçalho específico que poderia causar perda de dados / FS corrompido? Ou é seguro apenas quando você tem uma partição na parte superior do mdadm (por exemplo, / dev / md0p1)?

ext4 luks software-raid

por kay 17.01.2016 / 15:33

1 resposta

Tags ext4 luks software-raid

Procurando e substituindo um caminho de estilo do windows usando sed Derrota o autostart do dpkg do rabbitmq-server

score 1 · Accepted Answer

Um volume é chamado de "volume LUKS" porque possui um cabeçalho LUKS. Portanto, se você converter um volume não-LUKS em um volume LUKS, obterá um cabeçalho adicional e perderá espaço de dados.

O cabeçalho LUKS pode estar em um dispositivo diferente ( --header ), mas não sei se cryptsetup-reencrypt suporta isso. Mas provavelmente você quer ter o cabeçalho LUKS dentro do RAID mesmo assim.

Assim você tem que

reduza o tamanho do sistema de arquivos em pelo menos 4 MiB
execute cryptsetup-reencrypt com --new e --reduce-device-size

Sugiro que você diminua o tamanho do sistema de arquivos um pouco mais do que o valor de --reduce-device-size (que eu acho que deve ser de 4 MiB ou mais).

Você pode sobrescrever a lacuna entre os dados LUKS criptografados e o final do dispositivo com dados aleatórios posteriormente. Mas tenha muito cuidado com isso. Você deve primeiro fazer um backup (para um volume diferente, é claro) dos blocos que você irá sobrescrever.