TL; DR : Como posso referenciar um dispositivo de bloco de swap criptografado de maneira segura no CentOS 7?
Estou tentando configurar a troca criptografada em uma VM do CentOS 7.2, que tem um dispositivo de troca apresentado como /dev/vdb . Isto é essencialmente como eu fiz:
echo "cryptswap1 /dev/vdb /dev/urandom swap,cipher=aes-cbc-essiv:sha256" >> /etc/crypttab
sed -i -e '/\bswap\b/d' /etc/fstab
echo "/dev/mapper/cryptswap1 none swap sw 0 0" >> /etc/fstab
reboot
Isso funciona incrivelmente bem: systemd-cryptsetup-generator lê a entrada crypttab e a converte atrás da cena sem mais ajustes (veja esta questão para algum contexto; contexto ligeiramente diferente).
A preocupação é a necessidade de se referir ao dispositivo como /dev/vdb . Vi dispositivos de bloco se movimentarem (isso é uma VM em execução no OpenStack) e, caso isso aconteça, eu entendo que o conteúdo do dispositivo de bloco que foi acidentalmente substituído por /dev/vdb seria irrevogavelmente torrado!
Para se referir ao dispositivo pelo rótulo, eu tentei seguir este excelente artigo do Arch ; infelizmente, isso não funciona porque o CentOS e / ou versões mais recentes do crypttab não parecem suportar a opção --offset para preservar os atributos do dispositivo de bloco. Eu tentei criar uma partição /dev/vdb1 fictícia, o que não ajudou.
Muito obrigado!
Tags swap systemd centos disk-encryption