Come identificare LVM-over-LUKS o LUKS-over-LVM

14

Di recente ho installato Fedora 20. Non ricordo quali opzioni esatte ho scelto per crittografare il disco / LVM durante l'installazione. Si è installato correttamente e posso accedere ecc. Ecco la situazione che ho:

Ho avviato con LiveCD e provato quanto segue: (Ho installato Fedora20 nella partizione / dev / sda3 ').

  1. Se corro, cryptsetup open /dev/sda3 fedoricevo un errore che dice che non è un dispositivo LUKS.
  2. Durante l'esecuzione cryptsetup luksDump /dev/sda3ricevo un errore che dice che non è un dispositivo LUKS
  3. Se corro cryptsetup open --type plain /dev/sda3 fedo, richiede la password e apre bene il dispositivo.

Quindi, ovviamente, si tratta di una partizione crittografata in testo normale (senza intestazione LUKS).

Ora, quando provo a correre mount /dev/mapper/fedo /mnt/fedora, dice unknown crypto_LUKS filesystem.

Io ho LVM su di esso, quindi, posso correre pvdisplay, vgdisplay, lvdisplaye si vede informazioni. Ho un VG chiamato fedorae due LV, vale a dire 00 per la partizione di swap e 01 per / partition.

Ora, se faccio un cryptsetup luksDump /dev/fedora/01posso vedere le intestazioni LUKS ecc. E, posso montare eseguendo mount /dev/fedora/00 /mnt/fedora, nessuna richiesta di password.

Quindi, ho una partizione crittografata LUKS-over-LVM-over- (solo testo)?

Ecco il mio output di lsblk:

# lsblk
NOME MAJ: TAGLIA MIN. RM TIPO MOUNTPOINT
sda 8: 0 0 37.3G 0 disco
| -sda3 8: 3 0 17.4G 0 part
  | -fedora-00 253: 0 0 2.5G 0 lvm
  | | -luks-XXXXX 253: 3 0 2.5G 0 cripta [SWAP]
  | -fedora-01 253: 1 0 15G 0 lvm
    | -luks-XXXXX 253: 2 0 15G 0 cripta /

Quindi, la domanda è: come capire se ho LVM-over-LUKS o LUKS-over-LVM , o qualche altra combinazione di questi ( LUKS su LVM su LUKS ecc.)? Per chiarire la mia domanda, so di avere LVM e LUKS, voglio capirne l'ordine.

fedora  lvm  encryption  luks 
NotSuperMan
fonte

Risposte:

14

cryptsetup luksDump /dev/fedora/01mostra che il volume logico LVM è un volume crittografato LUKS. L'output di pvso pvdisplaymostrerebbe che la partizione /dev/sda3è un volume fisico. Quindi hai LUKS su LVM. A un livello inferiore, hai la partizione LVM su PC.

L'output di lsblkconferma ciò: sdaè un disco, sda3è una partizione (che contiene un volume fisico LVM) fedora-00e fedora-01sono volumi logici e ogni volume logico contiene un volume crittografato LUKS.

Gilles 'SO- smetti di essere malvagio'
fonte
Risposta perfetta e conferma i miei test. Non posso votare per la tua risposta, dato che sono un principiante qui e non ho una reputazione abbastanza alta :-(
NotSuperMan
8

È molto strano avere un LUKS all'interno di una semplice cripta. Perché crittografare due volte?

Una volta montati i filesystem, lsblkti mostrerà cosa è cosa.

NAME                         MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                            8:0    0  59.6G  0 disk  
└─sda1                         8:1    0  59.6G  0 part  
  └─md0                        9:0    0  59.6G  0 raid1 
    └─luksSSD1               253:9    0  59.6G  0 crypt 
      ├─SSD-home             253:0    0    36G  0 lvm   /home
      └─SSD-root             253:10   0    16G  0 lvm   /

Questo è LVM (/ home e / con tipo lvm) su LUKS (tipo crypt, luksSSD1) su RAID1 (md0, tipo raid1) su una partizione regolare (sda1) sul disco sda.

frostschutz
fonte
Sì, è strano. Ho aggiunto l'output di 'lsblk' alla mia domanda.
NotSuperMan,
@NotSuperMan: beh, sembra a posto. disco, partizione, lvm e ogni LV sono crittografati. È una configurazione comune. La tua descrizione sembrava in qualche modo diversa. Penso che il tuo errore sia stato usare cryptsetup --plain su sda3; sda3 è un dispositivo LVM, non una cripta.
frostschutz,
Grazie per l'aiuto. Ma, senza cryptsetup --type plain, non potrei nemmeno montare la partizione. Quindi, non mi era chiaro. Potrebbe essere invece di montare prima la partizione, dovrei montare LV utilizzando direttamente LUKS-UUID? (Ci proverò) Quando ho corso fdisk -l /dev/sdadice che /dev/sda3Id è 8e e Type lo è Linux LVM.
NotSuperMan,
OK. Invece di provare a "cryptsetup open" prima la partizione, ho appena usato il cryptsetup open /dev/disk/by-uuid/UUID-of-LV SomeNamecomando per aprire direttamente LV e ha richiesto passowrd ecc., E successivamente sono stato in grado di montare bene il dispositivo mappato. Questo mi spiega molto. Penso che la chiave sia l'ordine dei tipi 'crypt e' lvm 'nell'output del lsblkcomando. Quindi, penso che il mio setup sia un LUKS-over-LVM . E, dall'output che hai mostrato, concludo che il tuo è un setup LVM-over-LUKS . Quindi, concludo che non dovrei "cryptsetup open" una partizione "Linux LVM".
NotSuperMan
I tuoi commenti mi hanno aiutato a chiarire le mie comprensioni. Sfortunatamente, non sono in grado di votare la tua risposta perché sono un principiante qui e non ho abbastanza "reputazione" :-( e quindi lo scambio di stack non mi permette di votare per la tua risposta.
NotSuperMan
3

Puoi vedere cosa ti piace così:

$ sudo blkid | grep crypto_LUKS
/dev/mapper/fedora-home: UUID="XXXXXXXXXXXXXXXXX" TYPE="crypto_LUKS"

Questo è un volume logico LVM con crittografia LUKS su di esso. Quando monto quel volume, viene montato così in Fedora 20:

$ mount | grep home
/dev/mapper/luks-XXXXX on /home type ext4 (rw,relatime,seclabel,data=ordered)

Se hai fatto un'installazione standard avrai la stessa cosa.

Decodifica manuale

Credo che tu possa fare quanto segue se vuoi fare le cose manualmente. In primo luogo per vedere se qualcosa è LUKS o no:

$ sudo cryptsetup isLuks /dev/mapper/fedora-home
$ echo $?
0

$ sudo cryptsetup isLuks /dev/mapper/fedora-root 
$ echo $?
1

NOTA: uno zero indica che è LUKS, un 1 significa che non lo è.

Quindi, per decifrarlo:

$ sudo cryptsetup luksOpen /dev/mapper/fedora-home crypthome

NOTA: è necessario inserire la passphrase per decrittografare la partizione. Sentiti libero di cambiare il nome della mappatura crypthomecome preferisci. La partizione mappata è ora disponibile in /dev/mapper/crypthomema non è montata. L'ultimo passaggio è creare un punto di montaggio e montare la partizione mappata:

Montaggio manuale

$ sudo -Es
$ mkdir /mnt/crypthome && mount /dev/mapper/crypthome /mnt/crypthome

Quali partizioni crittografate ho?

Puoi controllare nel file /etc/crypttabper vedere anche quali LUKS hai impostato.

$ more /etc/crypttab  
luks-XXXXXXXX UUID=XXXXXXXX none

Dumping del dispositivo

Puoi anche usare luksDumpcosì:

$ sudo cryptsetup luksDump /dev/mapper/fedora-home
LUKS header information for /dev/mapper/fedora-home

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha1
Payload offset: 4096
MK bits:        512
MK digest:      XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
MK salt:        XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
                XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
MK iterations:  50625
UUID:           XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX

Key Slot 0: ENABLED
    Iterations:             202852
    Salt:                   XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
                            XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
    Key material offset:    8
    AF stripes:             4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

Se non è un dispositivo LUKS, verrà segnalato in questo modo:

$ sudo cryptsetup luksDump /dev/mapper/fedora-root 
Device /dev/mapper/fedora-root is not a valid LUKS device.

Riferimenti

slm
fonte
1

Penso che la chiave per scoprire se si tratta di un LVM-over-LUKS, o viceversa, è l'ordine dei tipi crypt e lvm nell'output del lsblkcomando. Sulla base di tale ragionamento, concludo che la mia installazione è un LUKS-over-LVM . Per l' lsblkoutput per un tipo di installazione LVM-over-LUKS, guarda l'output mostrato da @frostschultz di seguito.

Nel mio caso, poiché / dev / sda3 è una partizione di sistema "Linux LVM" (ID partizione 8e), penso invece di provare cryptsetup open --type plain /dev/sda3 SomeNameprima, avrei dovuto mappare LVM direttamente eseguendo il cryptsetup open /dev/disk/by-uuid/UUID-of-LV SomeNamecomando per aprire direttamente LV. Ho provato questo e funziona come mi aspettavo.

Grazie a tutte le persone che hanno contribuito ad aiutarmi a capire questo.

NotSuperMan
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.