É seguro usar a invasão criptografada LUKS 1 durante a reconstrução?

0

Se eu estiver reconstruindo um RAID 1 criptografado com toda a matriz criptografada com o LUKS, se eu descriptografar o array para usá-lo, os dados ainda serão criptografados ou a reconstrução do array será descriptografada?

    
por NerdOfLinux 18.07.2017 / 01:38

2 respostas

2

Isso parece um mal-entendido ou possivelmente uma terminologia incorreta.

Estou assumindo que "RAID 1 criptografado com toda a matriz criptografada com LUKS" significa que você construiu primeiro uma matriz RAID a partir de dispositivos /dev/sd* físicos, criando um dispositivo de matriz e, em seguida, configurou uma Criptografia LUKS na parte superior do dispositivo de matriz. É possível fazê-lo de outra maneira também (por exemplo, primeiro criptografe vários dispositivos e, em seguida, RAID na parte superior dos dispositivos criptografados).

Você não precisa decifrar o array para usá-lo: você precisa abri-lo .

cryptsetup luksOpen não irá descriptografar os dados no disco. Ele adiciona uma camada device-mapper dm-crypt sobre o disco / array criptografado que descriptografa tudo o que você lê no disco em tempo real e também criptografa tudo o que você escreve através dele. Como resultado, você pode usar o dispositivo mapeado resultante como um disco ou matriz regular e não criptografada. Os dados no disco ainda estão criptografados.

Se o disco subjacente for uma matriz RAID, você só precisa tomar cuidado para não misturar nenhum dispositivo mapeado "acima" da camada de criptografia com os "abaixo". Isso não deve ser muito difícil, já que o software RAID 1 funciona com um princípio semelhante: existe uma camada raid1 device-mapper com os dispositivos de componentes "abaixo" e o dispositivo representando toda a matriz "acima". O objetivo é que o dispositivo de matriz possa ser usado da mesma forma, independentemente de os dispositivos "abaixo" estarem completamente intactos ou passando por uma reconstrução.

O comando dmsetup ls --tree -o blkdevname pode ser útil para entender a configuração de armazenamento se você estiver usando RAID, criptografia de disco, LVM e / ou vários caminhos em uma combinação.

Se você tiver feito isso de outra maneira (ou seja, RAID "em cima da" camada de criptografia), primeiro será necessário restabelecer a camada de criptografia no disco de substituição antes de permitir a reconstrução da matriz. Nesse caso, seria possível omitir acidentalmente a camada de criptografia no dispositivo do componente RAID de substituição e permitir que a matriz fosse recodificada sem criptografia em um dispositivo /dev/sd* .

    
por 24.01.2018 / 10:01
0

Dependo de ... Se você usar o RAID de software em cima de dispositivos de bloco dm-crypt e a nova unidade não for criptografada por dm, então você tem um problema. Em qualquer outro caso, é seguro reconstruir até onde eu sei.

    
por 24.01.2018 / 03:47