Comment identifier LVM-over-LUKS ou LUKS-over-LVM

14

J'ai récemment installé Fedora 20. Je ne me souviens pas quelles options exactes j'ai choisies pour chiffrer le disque / LVM lors de l'installation. Il s'est bien installé et je peux me connecter, etc. Voici la situation que j'ai:

J'ai démarré avec LiveCD et j'ai essayé ce qui suit: (J'ai installé Fedora20 sur la partition / dev / sda3 ').

  1. Si je lance, cryptsetup open /dev/sda3 fedoj'obtiens une erreur indiquant que ce n'est pas un périphérique LUKS.
  2. II run cryptsetup luksDump /dev/sda3je reçois une erreur disant que ce n'est pas un périphérique LUKS
  3. Si je cours cryptsetup open --type plain /dev/sda3 fedo, il demande un mot de passe et ouvre bien l'appareil.

Donc, évidemment, c'est une partition chiffrée en texte brut (sans en-tête LUKS).

Maintenant, quand j'essaie de courir mount /dev/mapper/fedo /mnt/fedora, ça dit unknown crypto_LUKS filesystem.

Je n'ai LVM sur le dessus de celui - ci, donc, je peux courir pvdisplay, vgdisplay, lvdisplayet il affiche des informations. J'ai un VG appelé fedoraet deux LV, à savoir 00 pour la partition de swap et 01 pour / partition.

Maintenant, si je fais un, cryptsetup luksDump /dev/fedora/01je peux voir les en-têtes LUKS, etc. Et, je peux monter en exécutant mount /dev/fedora/00 /mnt/fedora, pas d'invite de mot de passe.

Alors, ai-je une partition cryptée LUKS-over-LVM-over- (texte brut)?

Voici ma sortie de lsblk:

# lsblk
NOM MAJ: MIN RM SIZE RO TYPE MOUNTPOINT
disque sda ​​8: 0 0 37.3G 0
| -sda3 8: 3 0 17.4G 0 partie
  | -fedora-00 253: 0 0 2.5G 0 lvm
  | | -luks-XXXXX 253: 3 0 2,5G 0 crypt [SWAP]
  | -fedora-01 253: 1 0 15G 0 lvm
    | -luks-XXXXX 253: 2 0 15G 0 crypte /

Donc, la question est, comment savoir si j'ai LVM-over-LUKS ou LUKS-over-LVM , ou une autre combinaison de ceux-ci ( LUKS sur LVM sur LUKS, etc.)? Pour clarifier ma question, je sais que j'ai LVM et LUKS, je veux en comprendre l'ordre.

fedora lvm encryption luks NotSuperMan
la source

Réponses:

14

cryptsetup luksDump /dev/fedora/01indique que le volume logique LVM est un volume chiffré LUKS. La sortie de pvsou pvdisplaymontrerait que la partition /dev/sda3est un volume physique. Ainsi, vous avez LUKS sur LVM. À un niveau inférieur, vous avez LVM sur une partition PC.

La sortie de lsblkconfirme ceci: sdaest un disque, sda3est une partition (qui contient un volume physique LVM), fedora-00et fedora-01sont des volumes logiques, et chaque volume logique contient un volume chiffré LUKS.

Gilles 'SO- arrête d'être méchant'
la source
Réponse parfaite et confirme mes tests. Je ne peux pas voter pour votre réponse car je suis un débutant ici et je n'ai pas une réputation assez élevée :-(
NotSuperMan
8

C'est très étrange d'avoir un LUKS dans une simple crypte. Pourquoi chiffrer deux fois?

Une fois vos systèmes de fichiers montés, lsblkvous montrera quoi.

NAME                         MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                            8:0    0  59.6G  0 disk  
└─sda1                         8:1    0  59.6G  0 part  
  └─md0                        9:0    0  59.6G  0 raid1 
    └─luksSSD1               253:9    0  59.6G  0 crypt 
      ├─SSD-home             253:0    0    36G  0 lvm   /home
      └─SSD-root             253:10   0    16G  0 lvm   /

Il s'agit de LVM (/ home et / avec type lvm) sur LUKS (type crypt, luksSSD1) sur RAID1 (md0, type raid1) sur une partition normale (sda1) sur le disque sda.

frostschutz
la source
Oui, c'est bizarre. J'ai ajouté la sortie de «lsblk» à ma question.
NotSuperMan
@NotSuperMan: eh bien, ça a l'air bien. disque, partition, lvm et chaque LV est chiffré. C'est une configuration courante. Votre description sonnait différemment en quelque sorte. Je pense que votre erreur était d'utiliser cryptsetup --plain sur sda3; sda3 est un périphérique LVM, pas crypté.
frostschutz
Merci de votre aide. Mais, sans cryptsetup --type plain, je ne pouvais même pas monter la partition. Donc, ce n'était pas clair pour moi. Peut-être au lieu de monter la partition en premier, dois-je monter le LV en utilisant directement LUKS-UUID? (Je vais donner un coup de feu) Quand j'ai couru, fdisk -l /dev/sdail /dev/sda3est dit que Id est 8e et Type est Linux LVM.
NotSuperMan
D'ACCORD. Au lieu d'essayer de `` cryptsetup ouvrir '' la partition en premier, j'ai simplement utilisé la cryptsetup open /dev/disk/by-uuid/UUID-of-LV SomeNamecommande pour ouvrir directement le LV et il a demandé un mot de passe, etc., et par la suite, j'ai pu monter correctement le périphérique mappé. Cela m'explique beaucoup. Je pense que la clé est l'ordre des types 'crypt et' lvm 'dans la sortie de la lsblkcommande. Donc, je pense que ma configuration est un LUKS sur LVM . Et, d'après la sortie que vous avez montrée, je conclus que la vôtre est une configuration LVM sur LUKS . Donc, je conclus que je ne devrais pas «cryptsetup ouvrir» une partition «Linux LVM».
NotSuperMan
Vos commentaires m'ont aidé à clarifier ma compréhension. Malheureusement, je ne suis pas en mesure de voter pour votre réponse car je suis un débutant ici et je n'ai pas une "réputation" assez élevée :-( et donc le stackexchange ne me laisse pas voter pour votre réponse.
NotSuperMan
3

Vous pouvez voir ce que vous avez comme ça:

$ sudo blkid | grep crypto_LUKS
/dev/mapper/fedora-home: UUID="XXXXXXXXXXXXXXXXX" TYPE="crypto_LUKS"

C'est un volume logique LVM avec crypto LUKS dessus. Lorsque je monte ce volume, il est monté comme ceci sous Fedora 20:

$ mount | grep home
/dev/mapper/luks-XXXXX on /home type ext4 (rw,relatime,seclabel,data=ordered)

Si vous avez fait une installation standard, vous aurez la même chose.

Décryptage manuel

Je pense que vous pouvez faire ce qui suit si vous voulez faire les choses manuellement. D'abord pour voir si quelque chose est LUKS ou non:

$ sudo cryptsetup isLuks /dev/mapper/fedora-home
$ echo $?
0

$ sudo cryptsetup isLuks /dev/mapper/fedora-root 
$ echo $?
1

REMARQUE: un zéro indique qu'il s'agit de LUKS, un 1 signifie qu'il ne l'est pas.

Alors pour le décrypter:

$ sudo cryptsetup luksOpen /dev/mapper/fedora-home crypthome

REMARQUE: vous devez saisir la phrase secrète pour déchiffrer la partition. N'hésitez pas à changer le nom du mappage en celui crypthomeque vous voulez. La partition mappée est désormais disponible dans /dev/mapper/crypthomemais elle n'est pas montée. La dernière étape consiste à créer un point de montage et à monter la partition mappée:

Montage manuel

$ sudo -Es
$ mkdir /mnt/crypthome && mount /dev/mapper/crypthome /mnt/crypthome

Quelles partitions cryptées ai-je?

Vous pouvez archiver le fichier /etc/crypttabpour voir également les LUKS que vous avez configurés.

$ more /etc/crypttab  
luks-XXXXXXXX UUID=XXXXXXXX none

Vidage de l'appareil

Vous pouvez également utiliser luksDumpcomme ceci:

$ sudo cryptsetup luksDump /dev/mapper/fedora-home
LUKS header information for /dev/mapper/fedora-home

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha1
Payload offset: 4096
MK bits:        512
MK digest:      XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
MK salt:        XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
                XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
MK iterations:  50625
UUID:           XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX

Key Slot 0: ENABLED
    Iterations:             202852
    Salt:                   XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
                            XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
    Key material offset:    8
    AF stripes:             4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

Si ce n'est pas un appareil LUKS, il sera signalé comme suit:

$ sudo cryptsetup luksDump /dev/mapper/fedora-root 
Device /dev/mapper/fedora-root is not a valid LUKS device.

Les références

slm
la source
1

Je pense que la clé pour savoir s'il s'agit d'un LVM sur LUKS, ou l'inverse, est l'ordre des types crypt et lvm dans la sortie de la lsblkcommande. Sur la base de ce raisonnement, je conclus que ma configuration est un LUKS-over-LVM . Pour la lsblksortie pour un type d'installation LVM sur LUKS, regardez la sortie affichée par @frostschultz ci-dessous.

Dans mon cas, puisque / dev / sda3 est une partition système "Linux LVM" (partition Id 8e), je pense qu'au lieu d'essayer d' cryptsetup open --type plain /dev/sda3 SomeNameabord, j'aurais dû mapper le LVM directement en exécutant la commande cryptsetup open /dev/disk/by-uuid/UUID-of-LV SomeNamecommand pour ouvrir directement le LV. J'ai essayé cela et cela fonctionne comme je m'y attendais.

Merci à toutes les personnes qui ont contribué à m'aider à comprendre cela.

NotSuperMan
la source