我正在尝试让 MAAS/Curtin 在部署时加密单个驱动器,到目前为止,在使用 curtin 的 dm_crypt 模块实现加密时我遇到了一些障碍。
我可以让 curtin 按照我想要的方式设置 LVM 卷,但是一旦我添加了加密部分,我就不完全理解如何在设置加密卷后挂载它们。这是否必须作为“后期命令”来完成?我不太关心在配置文件中是否有加密密钥,因为我事后用 Ansible 处理所有更改。
这是 /etc/maas/preseed/etc... 中现有存储配置的副本:
storage:
version: 1
config:
- id: sda
type: disk
ptable: gpt
path: /dev/sda
name: main_disk
preserve: false
wipe: superblock-recursive
grub_device: true
- id: sda1
type: partition
size: 3GB
device: sda
flag: boot
- id: sda5
type: partition
size: 50G
flag: logical
device: sda
- id: volgroup1
name: vg1
type: lvm_volgroup
devices:
- sda5
- id: lvm_crypt_1
type: dm_crypt
dm_name: lvm_crypt
volume: sda5
key: testkeytestkeytestkey12345
- id: sda1_root
type: format
fstype: fat32
volume: sda1
- id: sda1_mount
type: mount
path: /
device: sda1_root
- id: lv1_mount
type: mount
path: /
fstype: "ext4"
device: lvm_crypt_1
答案1
科廷文档中有一条注释说......
注意:加密的磁盘和分区在 /etc/crypttab 中跟踪,并将在启动时挂载。
参见Dm-Crypt命令的最后一节 https://curtin.readthedocs.io/en/latest/topics/storage.html#dm-crypt-command