LVM-over-LUKSまたはLUKS-over-LVMを識別する方法

13

Fedora 20を最近インストールしました。インストール中にディスク/ LVMを暗号化するために選択した正確なオプションを思い出せません。それはうまくインストールされ、私はログインできるなどです。ここに私が持っている状況があります：

LiveCDで起動して、次のことを試しました（Fedora20を/ dev / sda3 'パーティションにインストールしました）。

実行するcryptsetup open /dev/sda3 fedoと、LUKSデバイスではないというエラーが表示されます。
II実行するcryptsetup luksDump /dev/sda3と、LUKSデバイスではないというエラーが表示されます
を実行するとcryptsetup open --type plain /dev/sda3 fedo、パスワードの入力を求められ、デバイスが正常に開きます。

したがって、明らかに、これはプレーンテキスト暗号化（LUKSヘッダーなし）パーティションです。

今、私が実行しようとするとmount /dev/mapper/fedo /mnt/fedora、それは言いunknown crypto_LUKS filesystemます。

私はそう、私は実行することができ、その上にLVMを持っているpvdisplay、vgdisplay、lvdisplayそれは情報が表示されます。というVG fedoraと2つのLVがあります。つまり、スワップパーティションには00、/パーティションには01です。

これで、cryptsetup luksDump /dev/fedora/01LUKSヘッダーなどを確認できます。また、mount /dev/fedora/00 /mnt/fedoraパスワードプロンプトなしで実行するとマウントできます。

それで、LUKS-over-LVM-over-（平文）-暗号化パーティションがありますか？

ここに私の出力がありlsblkます：

＃lsblk
名前MAJ：最小RMサイズROタイプマウントポイント
sda 8：0 0 37.3G 0ディスク
| -sda3 8：3 0 17.4G 0パート
  | -fedora-00 253：0 0 2.5G 0 lvm
  | | -luks-XXXXX 253：3 0 2.5G 0 crypt [SWAP]
  | -fedora-01 253：1 0 15G 0 lvm
    | -luks-XXXXX 253：2 0 15G 0暗号化/

だから、質問は、LVM-over-LUKSまたはLUKS-over-LVM、またはそれらの他の組み合わせ（LUKS over LVM over LUKSなど）を持っているかどうかをどのように把握するのですか？私の質問を明確にするために、LVMとLUKSがあることを知っています。それらの順序を把握したいと思います。

— NotSuperMan
ソース

14

cryptsetup luksDump /dev/fedora/01LVM論理ボリュームがLUKS暗号化ボリュームであることを示しています。出力pvsまたはpvdisplayパーティションを示すだろう/dev/sda3物理ボリュームであることを。したがって、LVMを介したLUKSがあります。下位レベルでは、LVM over PCパーティションがあります。

出力lsblkを確認これは：sda、ディスクであるsda3（LVM物理ボリュームを含む）パーティションであり、fedora-00そしてfedora-01論理ボリュームであり、各論理ボリュームは、LUKS暗号化されたボリュームを含みます。

— ジル「SO-悪であるのをやめる」
ソース

完全な答えと私のテストを確認します。私はここに初心者であり、十分に高い評判を持っていないので、私はあなたの答えに投票することはできません:

— NotSuperMan 14年

8

プレーンな地下室にLUKSを入れるのは非常に奇妙です。なぜ2回暗号化するのですか？

ファイルシステムがマウントされると、lsblk何が表示されます。

NAME                         MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                            8:0    0  59.6G  0 disk  
└─sda1                         8:1    0  59.6G  0 part  
  └─md0                        9:0    0  59.6G  0 raid1 
    └─luksSSD1               253:9    0  59.6G  0 crypt 
      ├─SSD-home             253:0    0    36G  0 lvm   /home
      └─SSD-root             253:10   0    16G  0 lvm   /

これは、ディスクsdaの通常のパーティション（sda1）のRAID1（md0、タイプraid1）のLUKS（タイプcrypt、luksSSD1）のLVM（/ homeおよび/タイプlvm）です。

— フロストシューツ
ソース

はい、変です。「lsblk」の出力を質問に追加しました。

— NotSuperMan

@NotSuperMan：まあ、それはうまく見えます。ディスク、パーティション、lvm、および各LVは暗号化されます。これは一般的な設定です。あなたの説明はどういうわけか異なっていた。あなたの間違いはcryptsetup --plain sda3を使用していたと思います。sda3はLVMデバイスであり、暗号化ではありません。

— frostschutz 14年

ご協力いただきありがとうございます。しかし、cryptsetup --type plainなしでは、パーティションをマウントすることさえできませんでした。それで、私にははっきりしませんでした。最初にパーティションをマウントする代わりに、LUKS-UUIDを直接使用してLVをマウントする必要がありますか？（私はそれを撃ちます）私が走っfdisk -l /dev/sdaたとき、それ/dev/sda3はIDが8eであり、タイプがであると言いLinux LVMます。

— NotSuperMan

OK。最初にパーティションを「cryptsetup open」しようとする代わりに、cryptsetup open /dev/disk/by-uuid/UUID-of-LV SomeNameコマンドを使用してLVを直接開き、passowrdなどを要求しました。その後、マップされたデバイスを正常にマウントできました。これは私に多くを説明します。キーは、lsblkコマンドの出力にある「crypt」および「lvm」タイプの順序だと思います。したがって、私のセットアップはLUKS-over-LVMであると思います。そして、あなたが示した出力から、私はあなたのものがLVM-over-LUKSセットアップであると結論付けます。したがって、「cryptsetup open」で「Linux LVM」パーティションを作成しないでください。

— NotSuperMan

あなたのコメントは、私の理解を明確にするのに役立ちました。残念ながら、私はここに初心者ですし、十分に高い「評判」を持っていないように私はあなたの答えに投票することができません:-(とstackexchangeができませんので、私はあなたの答えに投票。

— NotSuperMan

3

次のように表示されます。

$ sudo blkid | grep crypto_LUKS
/dev/mapper/fedora-home: UUID="XXXXXXXXXXXXXXXXX" TYPE="crypto_LUKS"

これは、暗号LUKSを含むLVM論理ボリュームです。そのボリュームをマウントすると、Fedora 20で次のようにマウントされます。

$ mount | grep home
/dev/mapper/luks-XXXXX on /home type ext4 (rw,relatime,seclabel,data=ordered)

標準インストールを行った場合も同じことが言えます。

手動で復号化する

手動で何かをしたい場合は、次のことができると思います。まず、何かがLUKSかどうかを確認します。

$ sudo cryptsetup isLuks /dev/mapper/fedora-home
$ echo $?
0

$ sudo cryptsetup isLuks /dev/mapper/fedora-root 
$ echo $?
1

注：ゼロはLUKSを示し、1はそうではないことを示します。

それで、それを解読するには：

$ sudo cryptsetup luksOpen /dev/mapper/fedora-home crypthome

注：パーティションを復号化するには、パスフレーズを入力する必要があります。マッピング名は自由に変更crypthomeできます。マッピングされたパーティションは現在利用可能ですが/dev/mapper/crypthome、マウントされていません。最後の手順は、マウントポイントを作成し、マップされたパーティションをマウントすることです。

手動マウント

$ sudo -Es
$ mkdir /mnt/crypthome && mount /dev/mapper/crypthome /mnt/crypthome

暗号化されたパーティションは何ですか？

ファイル/etc/crypttabをチェックインして、設定したLUKSを確認することもできます。

$ more /etc/crypttab  
luks-XXXXXXXX UUID=XXXXXXXX none

デバイスのダンプ

次のluksDumpように使用することもできます：

$ sudo cryptsetup luksDump /dev/mapper/fedora-home
LUKS header information for /dev/mapper/fedora-home

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha1
Payload offset: 4096
MK bits:        512
MK digest:      XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
MK salt:        XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
                XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
MK iterations:  50625
UUID:           XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX

Key Slot 0: ENABLED
    Iterations:             202852
    Salt:                   XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
                            XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
    Key material offset:    8
    AF stripes:             4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

LUKSデバイスでない場合は、次のように報告されます。

$ sudo cryptsetup luksDump /dev/mapper/fedora-root 
Device /dev/mapper/fedora-root is not a valid LUKS device.

参照資料

LUKS暗号化パーティションを手動でマウントする方法

— slm
ソース

1

LVM-over-LUKSであるか、その逆であるかを判断する鍵は、コマンドの出力でのcryptおよびlvm TYPEの順序だと思いlsblkます。その推論に基づいて、セットアップはLUKS-over-LVMであると結論付けます。以下のためにlsblk、セットアップのLVMオーバーLUKSの種類の出力、出力を見てみると、以下の@frostschultzでした。

私の場合、/ dev / sda3は「Linux LVM」システムパーティション（パーティションID 8e）であるため、cryptsetup open --type plain /dev/sda3 SomeName最初に試行するのではなく、コマンドcryptsetup open /dev/disk/by-uuid/UUID-of-LV SomeNameコマンドを実行してLVを直接開くことでLVMを直接マッピングする必要があります。私はこれを試してみましたが、期待どおりに機能します。

これを理解するのに貢献してくれたすべての人々に感謝します。

— NotSuperMan
ソース