LVM-over-LUKSまたはLUKS-over-LVMを識別する方法
最近Fedora 20をインストールしました。インストール中にディスク/ LVMを暗号化するために選択した正確なオプションを思い出せません。それはうまくインストールされて、ログインできます。ここに私が持っている状況があります:
私はLiveCDで起動し、以下を試しました(Fedora20を/ dev/sda3 'パーティションにインストールしました)。
cryptsetup open /dev/sda3 fedoを実行すると、LUKSデバイスではないというエラーが表示されます。cryptsetup luksDump /dev/sda3を実行しましたが、LUKSデバイスではないというエラーが表示されますcryptsetup open --type plain /dev/sda3 fedoを実行すると、パスワードの入力を求められ、デバイスが正常に開きます。
つまり、これはプレーンテキストで暗号化された(LUKSヘッダーなしの)パーティションです。
mount /dev/mapper/fedo /mnt/Fedoraを実行しようとすると、unknown crypto_LUKS filesystemと表示されます。
その上にLVMがあるので、pvdisplay、vgdisplay、lvdisplayを実行すると、情報が表示されます。私はFedoraというVGと2つのLVを持っています。つまり、スワップパーティション用に00と/パーティション用に01です。
cryptsetup luksDump /dev/Fedora/01を実行すると、LUKSヘッダーなどが表示されます。また、mount /dev/Fedora/00 /mnt/Fedoraを実行して、パスワードプロンプトなしでマウントできます。
それでは、LUKS-over-LVM-overplain-text)-encryptedパーティションはありますか?
これがlsblkの私の出力です。
#lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT sda 8:0 0 37.3G 0 disk | -sda3 8:3 0 17.4G 0 part | -Fedora-00 253:0 0 2.5G 0 lvm | | -luks-XXXXX 253:3 0 2.5G 0 crypt [SWAP] | -Fedora-01 253:1 0 15G 0 lvm | -luks-XXXXX 253:2 0 15G 0 crypt /
だから、問題は、私が---(LVM-over-LUKSまたはLUKS-over-LVMを持っているか、またはそれらの他の組み合わせ(LUKS LVM以上LUKS以上など)?私の質問を明確にするために、私はLVMとLUKSがあることを知っています。それらの順序を理解したいと思います。
cryptsetup luksDump /dev/Fedora/01は、LVM論理ボリュームがLUKS暗号化ボリュームであることを示しています。 pvsまたはpvdisplayの出力は、パーティション/dev/sda3が物理ボリュームであることを示します。したがって、LVM上にLUKSがあります。下位レベルでは、PCパーティション上にLVMがあります。
lsblkの出力はこれを確認します:sdaはディスク、sda3はパーティション(LVM物理ボリュームを含む)、Fedora-00およびFedora-01は論理ボリュームであり、各論理ボリュームにはLUKS暗号化ボリュームが含まれています。
プレーンな地下室にLUKSがあるのは非常に奇妙です。なぜ二度暗号化するのですか?
ファイルシステムがマウントされると、 lsblk は何が何であるかを示します。
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 59.6G 0 disk
└─sda1 8:1 0 59.6G 0 part
└─md0 9:0 0 59.6G 0 raid1
└─luksSSD1 253:9 0 59.6G 0 crypt
├─SSD-home 253:0 0 36G 0 lvm /home
└─SSD-root 253:10 0 16G 0 lvm /
これは、ディスクsda上の通常のパーティション(sda1)上のRAID1(md0、タイプraid1)上のLUKS(タイプcrypt、luksSSD1)上のLVM(/ homeおよびタイプlvmを持つ/)です。
あなたはそうあなたが持っているものを見ることができます:
$ Sudo blkid | grep crypto_LUKS
/dev/mapper/Fedora-home: UUID="XXXXXXXXXXXXXXXXX" TYPE="crypto_LUKS"
これは、暗号LUKSが含まれているLVM論理ボリュームです。そのボリュームをマウントすると、Fedora 20で次のようにマウントされます。
$ mount | grep home
/dev/mapper/luks-XXXXX on /home type ext4 (rw,relatime,seclabel,data=ordered)
標準のインストールを行った場合も同じです。
手動で復号化する
手作業でやりたいなら、次のことができると思います。まず、何かがLUKSかどうかを確認します。
$ Sudo cryptsetup isLuks /dev/mapper/Fedora-home
$ echo $?
0
$ Sudo cryptsetup isLuks /dev/mapper/Fedora-root
$ echo $?
1
注:ゼロはLUKSであることを示し、1はLUKSではないことを示します。
それを解読するには:
$ Sudo cryptsetup luksOpen /dev/mapper/Fedora-home crypthome
注:パーティションを復号化するには、パスフレーズを入力する必要があります。マッピング名crypthomeを自由に変更してください。マップされたパーティションは/dev/mapper/crypthomeで使用できるようになりましたが、マウントされていません。最後のステップは、マウントポイントを作成し、マップされたパーティションをマウントすることです。
手動でマウント
$ Sudo -Es
$ mkdir /mnt/crypthome && mount /dev/mapper/crypthome /mnt/crypthome
どの暗号化パーティションがありますか?
ファイル/etc/crypttabをチェックインして、設定したLUKSも確認できます。
$ more /etc/crypttab
luks-XXXXXXXX UUID=XXXXXXXX none
デバイスをダンプする
luksDumpを次のように使用することもできます。
$ Sudo cryptsetup luksDump /dev/mapper/Fedora-home
LUKS header information for /dev/mapper/Fedora-home
Version: 1
Cipher name: aes
Cipher mode: xts-plain64
Hash spec: sha1
Payload offset: 4096
MK bits: 512
MK digest: XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX
MK salt: XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX
XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX
MK iterations: 50625
UUID: XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX
Key Slot 0: ENABLED
Iterations: 202852
Salt: XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX
XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX
Key material offset: 8
AF stripes: 4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
LUKSデバイスでない場合は、次のように報告されます。
$ Sudo cryptsetup luksDump /dev/mapper/Fedora-root
Device /dev/mapper/Fedora-root is not a valid LUKS device.
参考文献
それがLVM-over-LUKSであるかどうか、またはその逆であるかどうかを確認するための鍵は、lsblkの出力でのcryptおよびlvm TYPEの順序ですコマンド。その理由に基づいて、私のセットアップはLUKS-over-LVMであると結論付けます。 LVM-over-LUKSタイプのセットアップのlsblk出力については、以下の@frostschultzで示されている出力を確認してください。
私の場合、/ dev/sda3は「Linux LVM」システムパーティション(パーティションID 8e)なので、最初にcryptsetup open --type plain /dev/sda3 SomeNameを試す代わりに、コマンドcryptsetup open /dev/disk/by-uuid/UUID-of-LV SomeNameコマンドを実行してLVMを直接マップし、LVを開く必要があったと思います直接。私はこれを試してみましたが、期待通りに動作しました。
これを理解するのを手伝ってくれたすべての人々に感謝します。