如何识别LVM over LUKS或LUKS over LVM

我最近安装了Fedora20。我不记得我在安装过程中选择了哪些确切的选项来加密磁盘/ LVM。它安装正常，我可以登录等。这是我的情况：

我使用LiveCD启动并尝试了以下操作：（我已将Fedora20安装到/ dev / sda3'分区中）。

1. 如果我运行，cryptsetup open /dev/sda3 fedo我会收到一条错误消息，说它不是LUKS设备。
2. II运行，cryptsetup luksDump /dev/sda3我收到一个错误消息，说它不是LUKS设备
3. 如果我运行cryptsetup open --type plain /dev/sda3 fedo，它将提示您输入密码，并且可以正常打开设备。

因此，显然，这是一个纯文本加密的（没有LUKS头）分区。

现在，当我尝试跑步时mount /dev/mapper/fedo /mnt/fedora，它说unknown crypto_LUKS filesystem。

我有LVM在它的上面，这样，我可以运行pvdisplay，vgdisplay，lvdisplay它显示的信息。我有一个VG fedora和两个LV，即用于交换分区的00和用于/分区的01。

现在，如果执行此操作，则cryptsetup luksDump /dev/fedora/01可以看到LUKS标头等。而且，我可以通过运行挂载mount /dev/fedora/00 /mnt/fedora，而无需输入密码提示。

那么，我是否有一个LUKS-over-LVM-over-（纯文本）加密的分区？

这是我的输出lsblk：

＃lsblk
名称：最低RM尺寸RO型MOUNTPOINT
sda 8：0 0 37.3G 0磁盘
| -sda3 8：3 0 17.4G 0部分
  | -fedora-00 253：0 0 2.5G 0 lvm
  | | -luks-XXXXX 253：3 0 2.5G 0隐窝[SWAP]
  | -fedora-01 253：1 0 15G 0 lvm
    | -luks-XXXXX 253：2 0 15G 0地穴/

因此，问题是，如何确定我是否有LVM-over-LUKS或LUKS-over-LVM或它们的某种其他组合（LUKS，LVM，LUKS等）？为了明确我的问题，我知道我有LVM和LUKS，我想弄清楚它们的顺序。

cryptsetup luksDump /dev/fedora/01将LVM逻辑卷显示为LUKS加密卷。pvs或的输出pvdisplay将显示该分区/dev/sda3为物理卷。因此，您在LVM上拥有LUKS。在较低的级别上，您具有基于PC的LVM分区。

的输出lsblk确认：sda是一个磁盘，sda3是一个分区（包含LVM物理卷），fedora-00并且fedora-01是逻辑卷，并且每个逻辑卷都包含一个LUKS加密卷。

在普通的地下室中有一个LUKS是很奇怪的。为什么要加密两次？

挂载文件系统后，lsblk将显示内容。

NAME                         MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                            8:0    0  59.6G  0 disk  
└─sda1                         8:1    0  59.6G  0 part  
  └─md0                        9:0    0  59.6G  0 raid1 
    └─luksSSD1               253:9    0  59.6G  0 crypt 
      ├─SSD-home             253:0    0    36G  0 lvm   /home
      └─SSD-root             253:10   0    16G  0 lvm   /

这是磁盘sda上常规分区（sda1）上RAID1（md0，类型raid1）上的LUKS（类型crypt，luksSSD1）上的LVM（/ home和/，类型为lvm）。

您可以看到自己的样子：

$ sudo blkid | grep crypto_LUKS
/dev/mapper/fedora-home: UUID="XXXXXXXXXXXXXXXXX" TYPE="crypto_LUKS" 

这是带有加密LUKS的LVM逻辑卷。当我挂载该卷时，它是在Fedora 20下这样挂载的：

$ mount | grep home
/dev/mapper/luks-XXXXX on /home type ext4 (rw,relatime,seclabel,data=ordered)

如果您执行标准安装，您将拥有相同的东西。

手动解密

我相信，如果您想手动执行操作，则可以执行以下操作。首先看一下东西是否是LUKS：

$ sudo cryptsetup isLuks /dev/mapper/fedora-home
$ echo $?
0

$ sudo cryptsetup isLuks /dev/mapper/fedora-root 
$ echo $?
1

注意：零表示它是LUKS，1表示不是。

因此，将其解密：

$ sudo cryptsetup luksOpen /dev/mapper/fedora-home crypthome

注意：您必须输入密码才能解密分区。随意将映射名称更改为所需的名称crypthome。映射的分区现已可用，/dev/mapper/crypthome但尚未挂载。最后一步是创建安装点并安装映射的分区：

手动安装

$ sudo -Es
$ mkdir /mnt/crypthome && mount /dev/mapper/crypthome /mnt/crypthome

我有哪些加密分区？

您可以签入文件/etc/crypttab以查看还设置了哪些LUKS。

$ more /etc/crypttab  
luks-XXXXXXXX UUID=XXXXXXXX none 

倾销设备

您也可以luksDump这样使用：

$ sudo cryptsetup luksDump /dev/mapper/fedora-home
LUKS header information for /dev/mapper/fedora-home

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha1
Payload offset: 4096
MK bits:        512
MK digest:      XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
MK salt:        XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
                XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
MK iterations:  50625
UUID:           XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX

Key Slot 0: ENABLED
    Iterations:             202852
    Salt:                   XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
                            XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
    Key material offset:    8
    AF stripes:             4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

如果不是LUKS设备，则会收到如下报告：

$ sudo cryptsetup luksDump /dev/mapper/fedora-root 
Device /dev/mapper/fedora-root is not a valid LUKS device.

参考文献

• 如何手动挂载LUKS加密分区

我认为找出是LVM-over-LUKS还是相反的关键是命令输出中crypt和lvm TYPE 的顺序lsblk。基于这种推理，我得出结论，我的设置是LUKS-over-LVM。对于lsblkLVM-over-LUKS类型设置的输出，请查看下面@frostschultz显示的输出。

在我的情况下，由于/ dev / sda3是“ Linux LVM”系统分区（分区ID 8e），因此我认为与其尝试cryptsetup open --type plain /dev/sda3 SomeName先不这样做，我应该通过运行命令cryptsetup open /dev/disk/by-uuid/UUID-of-LV SomeName命令直接打开LV来直接映射LVM 。我试过了，它按预期工作。

感谢所有帮助我理解这一点的人们。