如何识别LVM over LUKS或LUKS over LVM


14

我最近安装了Fedora20。我不记得我在安装过程中选择了哪些确切的选项来加密磁盘/ LVM。它安装正常,我可以登录等。这是我的情况:

我使用LiveCD启动并尝试了以下操作:(我已将Fedora20安装到/ dev / sda3'分区中)。

  1. 如果我运行,cryptsetup open /dev/sda3 fedo我会收到一条错误消息,说它不是LUKS设备。
  2. II运行,cryptsetup luksDump /dev/sda3我收到一个错误消息,说它不是LUKS设备
  3. 如果我运行cryptsetup open --type plain /dev/sda3 fedo,它将提示您输入密码,并且可以正常打开设备。

因此,显然,这是一个纯文本加密的(没有LUKS头)分区。

现在,当我尝试跑步时mount /dev/mapper/fedo /mnt/fedora,它说unknown crypto_LUKS filesystem

我有LVM在它的上面,这样,我可以运行pvdisplayvgdisplaylvdisplay它显示的信息。我有一个VG fedora和两个LV,即用于交换分区的00和用于/分区的01。

现在,如果执行此操作,则cryptsetup luksDump /dev/fedora/01可以看到LUKS标头等。而且,我可以通过运行挂载mount /dev/fedora/00 /mnt/fedora,而无需输入密码提示。

那么,我是否有一个LUKS-over-LVM-over-(纯文本)加密的分区?

这是我的输出lsblk

#lsblk
名称:最低RM尺寸RO型MOUNTPOINT
sda 8:0 0 37.3G 0磁盘
| -sda3 8:3 0 17.4G 0部分
  | -fedora-00 253:0 0 2.5G 0 lvm
  | | -luks-XXXXX 253:3 0 2.5G 0隐窝[SWAP]
  | -fedora-01 253:1 0 15G 0 lvm
    | -luks-XXXXX 253:2 0 15G 0地穴/

因此,问题是,如何确定我是否有LVM-over-LUKSLUKS-over-LVM或它们的某种其他组合(LUKS,LVM,LUKS等)?为了明确我的问题,我知道我有LVM和LUKS,我想弄清楚它们的顺序。

Answers:


14

cryptsetup luksDump /dev/fedora/01将LVM逻辑卷显示为LUKS加密卷。pvs或的输出pvdisplay将显示该分区/dev/sda3为物理卷。因此,您在LVM上拥有LUKS。在较低的级别上,您具有基于PC的LVM分区。

的输出lsblk确认:sda是一个磁盘,sda3是一个分区(包含LVM物理卷),fedora-00并且fedora-01是逻辑卷,并且每个逻辑卷都包含一个LUKS加密卷。


完美的答案,并确认我的测试。我无法投票给您答案,因为我是这里的新手,并且信誉不够高:-(
NotSuperMan 2014年

8

在普通的地下室中有一个LUKS是很奇怪的。为什么要加密两次?

挂载文件系统后,lsblk将显示内容。

NAME                         MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                            8:0    0  59.6G  0 disk  
└─sda1                         8:1    0  59.6G  0 part  
  └─md0                        9:0    0  59.6G  0 raid1 
    └─luksSSD1               253:9    0  59.6G  0 crypt 
      ├─SSD-home             253:0    0    36G  0 lvm   /home
      └─SSD-root             253:10   0    16G  0 lvm   /

这是磁盘sda上常规分区(sda1)上RAID1(md0,类型raid1)上的LUKS(类型crypt,luksSSD1)上的LVM(/ home和/,类型为lvm)。


是的,这很奇怪。我在问题中添加了“ lsblk”的输出。
NotSuperMan 2014年

@NotSuperMan:很好,看起来不错。磁盘,分区,lvm和每个LV均已加密。这是一个常见的设置。您的描述听起来有些不同。我认为您的错误是在sda3上使用cryptsetup --plain; sda3是LVM设备,而不是crypt。
弗罗斯特斯2014年

谢谢你的帮助。但是,如果没有cryptsetup --type plain,我什至无法挂载该分区。因此,我不清楚。可能不是先挂载分区,而是应该直接使用LUKS-UUID挂载LV?(我会试一试)我跑的fdisk -l /dev/sda时候说/dev/sda3Id是8e,Type是Linux LVM
NotSuperMan 2014年

好。我没有尝试先“打开cryptsetup打开”分区,而是直接使用cryptsetup open /dev/disk/by-uuid/UUID-of-LV SomeName命令直接打开LV,并要求输入passowrd等,随后,我就可以很好地安装映射的设备了。这对我解释了很多。我认为关键是命令输出中“ crypt”和“ lvm” TYPE的顺序lsblk。所以,我认为我的设置是LUKS-over-LVM。并且,从您显示的输出中,我得出结论,您的输出是LVM-over-LUKS设置。因此,我得出结论,我不应该“ cryptsetup打开”“ Linux LVM”分区。
NotSuperMan 2014年

您的评论帮助我清除了理解。不幸的是,我不能投你的答案,因为我是一个新手在这里并没有足够高的“信誉” :-(等等stackexchange不让我投票给你的答案。
NotSuperMan

3

您可以看到自己的样子:

$ sudo blkid | grep crypto_LUKS
/dev/mapper/fedora-home: UUID="XXXXXXXXXXXXXXXXX" TYPE="crypto_LUKS" 

这是带有加密LUKS的LVM逻辑卷。当我挂载该卷时,它是在Fedora 20下这样挂载的:

$ mount | grep home
/dev/mapper/luks-XXXXX on /home type ext4 (rw,relatime,seclabel,data=ordered)

如果您执行标准安装,您将拥有相同的东西。

手动解密

我相信,如果您想手动执行操作,则可以执行以下操作。首先看一下东西是否是LUKS:

$ sudo cryptsetup isLuks /dev/mapper/fedora-home
$ echo $?
0

$ sudo cryptsetup isLuks /dev/mapper/fedora-root 
$ echo $?
1

注意:零表示它是LUKS,1表示不是。

因此,将其解密:

$ sudo cryptsetup luksOpen /dev/mapper/fedora-home crypthome

注意:您必须输入密码才能解密分区。随意将映射名称更改为所需的名称crypthome。映射的分区现已可用,/dev/mapper/crypthome但尚未挂载。最后一步是创建安装点并安装映射的分区:

手动安装

$ sudo -Es
$ mkdir /mnt/crypthome && mount /dev/mapper/crypthome /mnt/crypthome

我有哪些加密分区?

您可以签入文件/etc/crypttab以查看还设置了哪些LUKS。

$ more /etc/crypttab  
luks-XXXXXXXX UUID=XXXXXXXX none 

倾销设备

您也可以luksDump这样使用:

$ sudo cryptsetup luksDump /dev/mapper/fedora-home
LUKS header information for /dev/mapper/fedora-home

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha1
Payload offset: 4096
MK bits:        512
MK digest:      XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
MK salt:        XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
                XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
MK iterations:  50625
UUID:           XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX

Key Slot 0: ENABLED
    Iterations:             202852
    Salt:                   XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
                            XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
    Key material offset:    8
    AF stripes:             4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

如果不是LUKS设备,则会收到如下报告:

$ sudo cryptsetup luksDump /dev/mapper/fedora-root 
Device /dev/mapper/fedora-root is not a valid LUKS device.

参考文献


1

我认为找出是LVM-over-LUKS还是相反的关键是命令输出中cryptlvm TYPE 的顺序lsblk。基于这种推理,我得出结论,我的设置是LUKS-over-LVM。对于lsblkLVM-over-LUKS类型设置的输出,请查看下面@frostschultz显示的输出。

在我的情况下,由于/ dev / sda3是“ Linux LVM”系统分区(分区ID 8e),因此我认为与其尝试cryptsetup open --type plain /dev/sda3 SomeName先不这样做,我应该通过运行命令cryptsetup open /dev/disk/by-uuid/UUID-of-LV SomeName命令直接打开LV来直接映射LVM 。我试过了,它按预期工作。

感谢所有帮助我理解这一点的人们。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.