Як ідентифікувати LVM-над-LUKS або LUKS-over-LVM

14

Нещодавно я встановив Fedora 20. Я не пам'ятаю, які саме параметри я вибрав для шифрування диска / LVM під час встановлення. Він встановлений нормально, і я можу ввійти тощо. Ось така ситуація у мене:

Я завантажився з LiveCD і спробував таке: (я встановив Fedora20 в / dev / sda3 'розділ).

Якщо я запускаю, cryptsetup open /dev/sda3 fedoя отримую помилку, кажучи, що це не пристрій ЛУКС.
II запуск cryptsetup luksDump /dev/sda3Я отримую помилку, кажучи, що це не пристрій ЛУКС
Якщо я запускаю cryptsetup open --type plain /dev/sda3 fedo, запит на введення пароля, і він добре відкриє пристрій.

Очевидно, що це зашифрований звичайний текст (без заголовка LUKS).

Тепер, коли я намагаюся бігати mount /dev/mapper/fedo /mnt/fedora, це говорить unknown crypto_LUKS filesystem.

У мене є LVM поверх нього, так що , я можу бігти pvdisplay, vgdisplay, lvdisplayі він показує інформацію. У мене є виклик VG fedoraта два LV, а саме 00 для swap-розділу та 01 для / розділу.

Тепер, якщо я це робити, cryptsetup luksDump /dev/fedora/01я бачу заголовки LUKS тощо mount /dev/fedora/00 /mnt/fedora.

Отже, чи є у мене зашифрований розділ LUKS-over-LVM-over- (звичайний текст)?

Ось мій результат lsblk:

# lsblk
ІМЕЙ МАЙ: МІН RM РОЗМІР РОЗВИТОК ТИПУ RO
sda 8: 0 0 37.3G 0 диск
| -sda3 8: 3 0 17.4G 0 частина
  | -fedora-00 253: 0 0 2.5G 0 lvm
  | | -luks-XXXXX 253: 3 0 2,5G 0 склеп [SWAP]
  | -fedora-01 253: 1 0 15G 0 lvm
    | -luks-XXXXX 253: 2 0 15G 0 склеп /

Отже, питання полягає в тому, як зрозуміти, чи є у мене LVM-над-LUKS або LUKS-over-LVM , чи якась інша їх комбінація ( LUKS над LVM над LUKS тощо)? Щоб зрозуміти моє запитання, я знаю, що у мене є LVM та LUKS, я хочу з’ясувати їх порядок.

— NotSuperMan
джерело

14

cryptsetup luksDump /dev/fedora/01показує, що логічний том LVM є зашифрованим томом LUKS. Вихід pvsабо pvdisplayпоказав би, що розділ /dev/sda3є фізичним обсягом. Таким чином, у вас є LUKS над LVM. На нижчому рівні у вас є LVM через розділ ПК.

Вихід lsblkпідтверджує це: sdaце диск, sda3це розділ (який містить фізичний об'єм LVM) fedora-00і fedora-01є логічними томами, і кожен логічний том містить зашифрований том LUKS.

— Жил "ТАК - перестань бути злим"
джерело

Ідеальна відповідь і підтверджує мої тести. Я не можу проголосувати за вашу відповідь, хоча як я новачок тут і не маю достатньо високої репутації :-(

— NotSuperMan

8

Дуже дивно мати ЛУКС у простому склепі. Навіщо шифрувати двічі?

Як тільки ваші файлові системи змонтовані, lsblkпокажуть, що до чого.

NAME                         MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                            8:0    0  59.6G  0 disk  
└─sda1                         8:1    0  59.6G  0 part  
  └─md0                        9:0    0  59.6G  0 raid1 
    └─luksSSD1               253:9    0  59.6G  0 crypt 
      ├─SSD-home             253:0    0    36G  0 lvm   /home
      └─SSD-root             253:10   0    16G  0 lvm   /

Це LVM (/ home та / з типом lvm) на LUKS (тип крипти, luksSSD1) на RAID1 (md0, тип raid1) на звичайному розділі (sda1) на диску sda.

— заморожувати
джерело

Так, це дивно. Я додав висновок 'lsblk' до свого запитання.

— NotSuperMan

@NotSuperMan: ну, це добре виглядає. диск, розділ, lvm та кожен LV зашифровані. Це звичайна установка. Ваш опис якось звучав інакше. Я думаю, що вашою помилкою було використання cryptsetup --plain на sda3; sda3 - пристрій LVM, а не крипта.

— frostschutz

Спасибі за вашу допомогу. Але, без cryptsetup - простого типу, я не зміг навіть змонтувати розділ. Отже, мені це було не ясно. Можливо, замість того, щоб спочатку монтувати розділ, я повинен монтувати LV безпосередньо за допомогою LUKS-UUID? (Я дам цей знімок) Коли я побіг, fdisk -l /dev/sdaвін каже /dev/sda3, що Id - це 8e, а Type - це Linux LVM.

— NotSuperMan

ГАРАЗД. Замість того, щоб спробувати "cryptsetup відкрити" розділ спочатку, я просто використав cryptsetup open /dev/disk/by-uuid/UUID-of-LV SomeNameкоманду, щоб відкрити LV безпосередньо, і він попросив ввести passowrd і т. Д., А згодом я зміг добре встановити відображений пристрій. Це мені багато що пояснює. Я думаю, що ключовим є порядок 'crypt та' lvm 'ТИПів у висновку lsblkкоманди. Отже, я думаю, що моя установка - це LUKS-над-LVM . І з результату, який ви показали, я роблю висновок, що ваше налаштування є надмірним рівнем LVM-LUKS . Отже, я роблю висновок, що я не повинен "cryptsetup open" розділ "Linux LVM".

— NotSuperMan

Ваші коментарі допомогли мені зрозуміти моє розуміння. На жаль, я не можу проголосувати за вашу відповідь, оскільки я тут новачок і не маю достатньо високої "репутації" :-( і тому stackexchange не дозволяє мені голосувати за вашу відповідь.

— NotSuperMan

3

Ви можете побачити, що вам так подобається:

$ sudo blkid | grep crypto_LUKS
/dev/mapper/fedora-home: UUID="XXXXXXXXXXXXXXXXX" TYPE="crypto_LUKS"

Це логічний том LVM з крипто LUKS на ньому. Коли я монтую цей об'єм, він встановлений так у Fedora 20:

$ mount | grep home
/dev/mapper/luks-XXXXX on /home type ext4 (rw,relatime,seclabel,data=ordered)

Якщо ви зробили стандартну установку, у вас буде те саме.

Розшифрування вручну

Я вважаю, що ви можете зробити наступне, якщо хочете робити вручну. Спочатку подивіться, чи щось ЛУКС чи ні:

$ sudo cryptsetup isLuks /dev/mapper/fedora-home
$ echo $?
0

$ sudo cryptsetup isLuks /dev/mapper/fedora-root 
$ echo $?
1

ПРИМІТКА: Нуль означає, що це ЛУКС, а 1 означає, що це не так.

Тоді щоб розшифрувати його:

$ sudo cryptsetup luksOpen /dev/mapper/fedora-home crypthome

ПРИМІТКА. Щоб розшифрувати розділ, потрібно ввести парольну фразу. Не соромтеся змінювати назву карти crypthomeна все, що завгодно. Відображений розділ тепер доступний у, /dev/mapper/crypthomeале він не встановлений. Останній крок - створити точку монтування та змонтувати відображений розділ:

Ручний монтаж

$ sudo -Es
$ mkdir /mnt/crypthome && mount /dev/mapper/crypthome /mnt/crypthome

Які у мене зашифровані розділи?

Ви можете перевірити файл, /etc/crypttabщоб побачити, які LUKS у вас також налаштовані.

$ more /etc/crypttab  
luks-XXXXXXXX UUID=XXXXXXXX none

Скидання пристрою

Ви також можете використовувати luksDumpтак:

$ sudo cryptsetup luksDump /dev/mapper/fedora-home
LUKS header information for /dev/mapper/fedora-home

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha1
Payload offset: 4096
MK bits:        512
MK digest:      XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
MK salt:        XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
                XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
MK iterations:  50625
UUID:           XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX

Key Slot 0: ENABLED
    Iterations:             202852
    Salt:                   XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
                            XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
    Key material offset:    8
    AF stripes:             4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

Якщо це не пристрій ЛУКС, то він повідомлятиметься так:

$ sudo cryptsetup luksDump /dev/mapper/fedora-root 
Device /dev/mapper/fedora-root is not a valid LUKS device.

Список літератури

Як встановити зашифровані розділи LUKS вручну

— slm
джерело

1

Я думаю, що ключовим для того, щоб дізнатися, чи це LVM-над-LUKS, чи навпаки, є порядок криптовалюти та lvm TYPE у висновку lsblkкоманди. Виходячи з цього міркування, я можу зробити висновок, що моя установка - LUKS-over-LVM . Щоб отримати lsblkвисновок для налаштування типу LVM over-LUKS, подивіться нижче, як показав результат @frostschultz.

У моєму випадку, оскільки / dev / sda3 є системним розділом "Linux LVM" (розділ Id 8e), я думаю, замість того, щоб намагатися cryptsetup open --type plain /dev/sda3 SomeNameспочатку, я повинен був би відобразити LVM безпосередньо, виконавши команду cryptsetup open /dev/disk/by-uuid/UUID-of-LV SomeNameкоманд, щоб відкрити LV безпосередньо. Я спробував це, і це працює, як я і очікував.

Дякую всім людям, які сприяли мені зрозуміти це.

— NotSuperMan
джерело