这个问题涉及创建自定义加密全盘设置 - 这似乎没有在互联网上(很好地/根本没有)记录。
基本上:想法是有一个完整的磁盘(技术上是部分的)加密设置,将磁盘分割为自定义卷(分区),受单一密码保护,而不使用密钥文件或外部启动分区。
让我们从单个完全可用的硬盘开始:创建主卷组:VG1,覆盖整个磁盘。其上有 2 个逻辑卷 VG1/LV1 和 VG1/LV2。VG1/LV1 成为我们的 ext4 启动分区。VG1/LV2 成为我们的主要加密分区 -> VG1/LV2_C 到目前为止,这是标准的单分区设置,但是我们不是在它上面创建文件系统,而是创建物理卷。在这个物理卷上,我们创建另一个卷组:VG1/LV2_C/VG2 然后根据自定义需求将嵌套卷组进一步拆分为逻辑卷,结果如下:
VG1/LV1:/boot#未加密
VG1/LV2_C/VG2/LVA:/分区A#使用 LV2_C 密码加密
VG1/LV2_C/VG2/LVB:/partitionB#使用 LV2_C 密码加密
VG1/LV2_C/VG2/LVC:/partitionC#使用 LV2_C 密码加密
等等等等......(这似乎还支持外部 /boot 分区、未加密卷(VG1/LV3:)、用单独密码加密的卷(VG1/LV4_C:)、密钥文件等)
我的问题是 - 有没有人有过以下设置的经验,是否存在任何安全/性能/可靠性问题导致它没有被提及作为选项?我特别感兴趣的话题是:
VG2 会危及 LV2_C 的安全吗?
与平面标准加密卷相比,性能开销是否明显?
嵌套卷组是否会导致数据丢失(即通过弄乱指针或类似物)?
这个设置是否真的如它所声称的那样(就像在虚拟化的情况下一样)或者 VG2 是与 VG1 一起创建的并且只是映射到其卷的空间上(这个问题实际上与之前的主题重叠。
这不是一个是否继续的问题,因为我将在测试设置上对其进行评估(现在似乎运行良好,尽管在创建过程中表现得有点奇怪) - 但是任何输入都会有很大帮助。请随时告诉我你的想法。谢谢。
答案1
这是一个非常混乱的设置,虽然它可能可以工作,但您将一直与系统脚本作斗争。我想它也会很低效 - 特别是如果您需要使用回送设备将 lv 视为物理卷。不过我不会接近这个。
它不会危及安全。可能会发生卷丢失,但日常发生的可能性并不大 - 只有在安装/卸载时出错时才会发生。我不相信有任何东西可以声称这种设置。它非常不标准且边缘化。
当我面对 simar 挑战时,我得出结论,多次重新输入密码更容易。此外,根据您要执行的操作,考虑使用标准 pv/vg/lv 设置,其中 lv 是加密设备,然后使用文件(如果不直接支持,则使用循环安装)作为块设备。