Adicionando criptografia ao volume espelhado de software RAID existente

Question

Adicionando criptografia ao volume espelhado de software RAID existente

#1 resposta do (0 votos)

1

Atualmente, tenho um servidor que possui vários volumes de LVM usando o software RAID para espelhamento. Algo parecido com isto:

sdd                        8:48   0 894.3G  0 disk  
└─sdd1                     8:49   0 465.8G  0 part  
  └─md4                    9:4    0 465.8G  0 raid1 /myfiles
sdc                        8:32   0 894.3G  0 disk  
└─sdc1                     8:33   0 894.3G  0 part  
  └─md4                    9:4    0 465.8G  0 raid1 /myfiles

Na verdade, agora que vejo isso, acho que o LVM não está na imagem, pois não vejo nenhum dispositivo (dm-X) mencionado. :( Estou usando o LVM para /home mas não / e /boot

Existe uma maneira de inserir uma camada de criptografia (por exemplo, dm-crypt ) entre as camadas que compõem meu sistema de arquivos /myfiles ? Ou eu teria que criar um novo conjunto de partições / dispositivos usando o LVM e copiar tudo?

No passado, migrei discos físicos com tempo de inatividade zero quebrando o RAID, trocando, e. sdc com um novo disco, permitindo que o sistema RAID seja sincronizado novamente e, em seguida, repita o processo com sdd . É possível preparar um volume criptografado abaixo do RAID e usar a mesma técnica? Ou eu tenho que mudar para um volume gerenciado pelo LVM para usar, e. dm-crypt para esse tipo de coisa?

Estou executando um kernel Linux 3.2 e um sistema de arquivos ext4 neste caso específico, então não posso apenas ativar ext4 crypto.

lvm software-raid disk-encryption

por Christopher Schultz 19.12.2016 / 16:14

1 resposta

Tags lvm software-raid disk-encryption

Como usar o cache no proxy e filtrar por conteúdo no Centos 7.3 e no Freebsd Execute o script de backup quando o disco USB estiver montado

score 0 · Answer 1

A criptografia de disco com o dm-crypt usa um dispositivo de bloco e gera um dispositivo de bloco. Não depende do LVM; você configura com cryptsetup (normalmente) ou dmsetup .

O único problema que você pode enfrentar ao inserir uma camada de criptografia é que a maneira normal de fazer isso usa um cabeçalho LUKS, que consome uma pequena quantidade de espaço em disco. Isso significa que seu dispositivo de bloqueio criptografado será um pouco menor que o original. Isso pode fazer com que a nova adição à matriz RAID falhe (dependendo de quanto espaço não utilizado o layout RAID tem).

É claro que, se você criar um novo array um pouco menor e um novo sistema de arquivos ligeiramente menor, poderá copiar os dados, embora isso provavelmente exija tempo de inatividade.