Cara mengidentifikasi LVM-over-LUKS atau LUKS-over-LVM

14

Saya baru-baru ini menginstal Fedora 20. Saya tidak ingat opsi tepat apa yang saya pilih untuk mengenkripsi disk / LVM selama instalasi. Ini terinstal dengan baik dan saya dapat login dll. Inilah situasi yang saya miliki:

Saya boot dengan LiveCD dan mencoba yang berikut: (Saya telah menginstal Fedora20 ke partisi / dev / sda3 ').

  1. Jika saya menjalankan cryptsetup open /dev/sda3 fedosaya mendapatkan kesalahan mengatakan itu bukan perangkat LUKS.
  2. cryptsetup luksDump /dev/sda3Saya menjalankan II saya mendapatkan kesalahan mengatakan itu bukan perangkat LUKS
  3. Jika saya menjalankan cryptsetup open --type plain /dev/sda3 fedo, itu meminta kata sandi dan itu membuka perangkat baik-baik saja.

Jadi, jelas, itu adalah partisi terenkripsi teks biasa (tanpa header LUKS).

Sekarang, ketika saya mencoba lari mount /dev/mapper/fedo /mnt/fedora, katanya unknown crypto_LUKS filesystem.

Saya punya LVM di atasnya, sehingga, saya dapat menjalankan pvdisplay, vgdisplay, lvdisplaydan itu menunjukkan informasi. Saya memiliki VG yang disebut fedoradan dua LV, yaitu 00 untuk partisi swap dan 01 untuk / partisi.

Sekarang, jika saya melakukan, cryptsetup luksDump /dev/fedora/01saya bisa melihat header LUKS dll. Dan, saya dapat me-mount dengan menjalankan mount /dev/fedora/00 /mnt/fedora, tidak ada password prompt.

Jadi, apakah saya memiliki partisi terenkripsi LUKS-over-LVM-over- (plain-text)?

Ini adalah output saya lsblk:

# lsblk
NAMA MAJ: MIN RM UKURAN RO TYPE MOUNTPOINT
sda 8: 0 0 37.3G 0 disk
| -sda3 8: 3 0 17.4G 0 bagian
  | -fedora-00 253: 0 0 2.5G 0 lvm
  | | -luks-XXXXX 253: 3 0 2.5G 0 crypt [SWAP]
  | -fedora-01 253: 1 0 15G 0 lvm
    | -luks-XXXXX 253: 2 0 15G 0 crypt /

Jadi, pertanyaannya adalah, bagaimana mencari tahu apakah saya memiliki LVM-over-LUKS atau LUKS-over-LVM , atau kombinasi lainnya ( LUKS over LVM over LUKS dll)? Untuk memperjelas pertanyaan saya, saya tahu saya memiliki LVM dan LUKS, saya ingin mencari tahu urutannya.

fedora lvm encryption luks NotSuperMan
sumber

Jawaban:

14

cryptsetup luksDump /dev/fedora/01menunjukkan volume logis LVM menjadi volume terenkripsi LUKS. Output pvsatau pvdisplayakan menunjukkan partisi /dev/sda3menjadi volume fisik. Dengan demikian Anda memiliki LUKS lebih dari LVM. Pada level yang lebih rendah, Anda memiliki LVM over PC partition.

Output lsblkmengkonfirmasi ini: sdaadalah disk, sda3adalah partisi (yang berisi volume fisik LVM), fedora-00dan fedora-01volume logis, dan setiap volume logis berisi volume terenkripsi LUKS.

Gilles 'SANGAT berhenti menjadi jahat'
sumber
Jawaban sempurna dan mengonfirmasi tes saya. Saya tidak dapat memilih jawaban Anda karena saya seorang pemula di sini dan tidak memiliki reputasi yang cukup tinggi :-(
NotSuperMan
8

Sangat aneh memiliki LUKS di dalam crypt biasa. Mengapa mengenkripsi dua kali?

Setelah sistem file Anda di-mount, lsblkakan menunjukkan kepada Anda apa itu.

NAME                         MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                            8:0    0  59.6G  0 disk  
└─sda1                         8:1    0  59.6G  0 part  
  └─md0                        9:0    0  59.6G  0 raid1 
    └─luksSSD1               253:9    0  59.6G  0 crypt 
      ├─SSD-home             253:0    0    36G  0 lvm   /home
      └─SSD-root             253:10   0    16G  0 lvm   /

Ini adalah LVM (/ home dan / dengan tipe lvm) pada LUKS (tipe crypt, luksSSD1) pada RAID1 (md0, ketik raid1) pada partisi reguler (sda1) pada disk sda.

frostschutz
sumber
Ya, ini aneh. Saya menambahkan output 'lsblk' ke pertanyaan saya.
NotSuperMan
@NotSuperMan: yah, itu terlihat bagus. disk, partisi, lvm, dan setiap LV dienkripsi. Ini pengaturan umum. Deskripsi Anda terdengar berbeda. Saya pikir kesalahan Anda menggunakan cryptsetup - dataran di sda3; sda3 adalah perangkat LVM, bukan crypt.
frostschutz
Terima kasih atas bantuan Anda. Tapi, tanpa cryptsetup --type plain, saya bahkan tidak bisa me-mount partisi. Jadi, tidak jelas bagi saya. Mungkin bukannya me-mount partisi dulu, saya harus me-mount LV menggunakan LUKS-UUID secara langsung? (Saya akan mencobanya) Ketika saya berlari fdisk -l /dev/sdadikatakan /dev/sda3is Id is 8e dan Type is Linux LVM.
NotSuperMan
BAIK. Alih-alih mencoba untuk 'membuka cryptsetup' partisi terlebih dahulu, saya hanya menggunakan cryptsetup open /dev/disk/by-uuid/UUID-of-LV SomeNameperintah untuk membuka LV secara langsung dan meminta passowrd dll., Dan kemudian, saya dapat memasang perangkat yang dipetakan dengan baik. Ini menjelaskan banyak hal kepada saya. Saya pikir kuncinya adalah urutan JENIS 'crypt dan' lvm 'dalam output lsblkperintah. Jadi, saya pikir pengaturan saya adalah LUKS-over-LVM . Dan, dari output yang Anda tunjukkan, saya menyimpulkan bahwa Anda adalah setup LVM-over-LUKS . Jadi, saya menyimpulkan bahwa saya seharusnya tidak 'membuka cryptsetup' partisi 'Linux LVM'.
NotSuperMan
Komentar Anda membantu saya menjernihkan pemahaman saya. Sayangnya, saya tidak dapat memberikan suara untuk jawaban Anda karena saya seorang pemula di sini dan tidak memiliki "reputasi" yang cukup tinggi :-( dan karenanya stackexchange tidak membiarkan saya memberikan suara untuk jawaban Anda.
NotSuperMan
3

Anda dapat melihat seperti apa yang Anda suka:

$ sudo blkid | grep crypto_LUKS
/dev/mapper/fedora-home: UUID="XXXXXXXXXXXXXXXXX" TYPE="crypto_LUKS"

Itu volume logis LVM dengan LUKS crypto di atasnya. Ketika saya memasang volume itu dipasang seperti ini di bawah Fedora 20:

$ mount | grep home
/dev/mapper/luks-XXXXX on /home type ext4 (rw,relatime,seclabel,data=ordered)

Jika Anda melakukan instalasi standar Anda akan memiliki hal yang sama.

Dekripsi manual

Saya yakin Anda dapat melakukan hal berikut jika Anda ingin melakukan hal-hal secara manual. Pertama-tama untuk melihat apakah ada LUKS atau tidak:

$ sudo cryptsetup isLuks /dev/mapper/fedora-home
$ echo $?
0

$ sudo cryptsetup isLuks /dev/mapper/fedora-root 
$ echo $?
1

CATATAN: Angka nol menunjukkan bahwa itu adalah LUKS, 1 artinya bukan.

Jadi dekripsi itu:

$ sudo cryptsetup luksOpen /dev/mapper/fedora-home crypthome

CATATAN: Anda harus memasukkan frasa sandi untuk mendekripsi partisi. Jangan ragu untuk mengubah nama pemetaan crypthomemenjadi apa pun yang Anda inginkan. Partisi yang dipetakan sekarang tersedia di /dev/mapper/crypthometetapi tidak dipasang. Langkah terakhir adalah membuat titik mount dan untuk me-mount partisi yang dipetakan:

Pemasangan secara manual

$ sudo -Es
$ mkdir /mnt/crypthome && mount /dev/mapper/crypthome /mnt/crypthome

Apa partisi crypted yang saya miliki?

Anda dapat memeriksa dalam file /etc/crypttab untuk melihat LUKS apa yang telah Anda atur juga.

$ more /etc/crypttab  
luks-XXXXXXXX UUID=XXXXXXXX none

Membuang perangkat

Anda juga bisa menggunakan luksDump seperti ini:

$ sudo cryptsetup luksDump /dev/mapper/fedora-home
LUKS header information for /dev/mapper/fedora-home

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha1
Payload offset: 4096
MK bits:        512
MK digest:      XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
MK salt:        XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
                XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
MK iterations:  50625
UUID:           XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX

Key Slot 0: ENABLED
    Iterations:             202852
    Salt:                   XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
                            XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
    Key material offset:    8
    AF stripes:             4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

Jika itu bukan perangkat LUKS maka itu akan dilaporkan seperti:

$ sudo cryptsetup luksDump /dev/mapper/fedora-root 
Device /dev/mapper/fedora-root is not a valid LUKS device.

Referensi

slm
sumber
1

Saya pikir kunci untuk mengetahui apakah itu adalah LVM-over-LUKS, atau sebaliknya, adalah urutan crypt dan LVM TIPE dalam output dari lsblkperintah. Berdasarkan alasan itu, saya menyimpulkan bahwa pengaturan saya adalah LUKS-over-LVM . Untuklsblk output untuk tipe setup LVM-over-LUKS, lihat output yang ditunjukkan oleh @frostschultz di bawah ini.

Dalam kasus saya, karena / dev / sda3 adalah partisi sistem "Linux LVM" (partisi Id 8e), saya pikir daripada mencoba untuk cryptsetup open --type plain /dev/sda3 SomeName terlebih dahulu, saya seharusnya memetakan LVM secara langsung dengan menjalankan perintah cryptsetup open /dev/disk/by-uuid/UUID-of-LV SomeNameperintah untuk membuka LV secara langsung. Saya mencoba ini dan berfungsi seperti yang saya harapkan.

Terima kasih kepada semua orang yang berkontribusi membantu saya memahami ini.

NotSuperMan
sumber