挂载 crypto_LUKS 分区而不解密(本地)

挂载 crypto_LUKS 分区而不解密(本地)

我在 Linux 服务器上有一个加密的外部磁盘。

在服务器上,我可以在本地执行此操作来解密, cryptsetup -d keyfile luksOpen /dev/sdx1 /mnt/decrypted 但我更愿意避免在服务器端执行此操作。

我想访问服务器(通过 ssh/sshfs)并且仅在客户端计算机上远程解密数据。

要远程访问和解密数据,我必须

  1. 将加密的文件/dev/sdx1本地挂载到服务器上(无需解密!!)/mnt/encrypted
  2. /mnt/encrypted通过 sshfs 在客户端计算机上安装(然后用于luksOpen解密)

如何在不解密数据的情况下执行步骤 1?

谢谢,克里斯

ps:也许我应该只使用加密容器(服务器文件系统上的文件)而不是整个分区?这样我就可以通过 sshfs 远程挂载包含加密容器/文件的文件夹吗? (并且仅在客户端计算机上解密)

答案1

使用您当前的设置这是不可能实现的。

唯一“正确”的方法是将您的 luks 卷放在网络块设备

您可以使用drbdiscsi访问服务器上的块设备,然后在其上安装 Luks。

答案2

sshfs如果我使用 luks 容器(而不是 luks 分区)来保存加密数据,我可以远程安装和解密 luks(通过)。

我只需创建一个 luks 容器(一个在内部保存加密文件系统的文件),该文件是已安装分区上的普通文件,因此可以通过远程安装sshfs并稍后解密(通过循环设备 -> 映射器设备 -> 安装)。

我已经对此进行了测试,并且可以确认它有效。

相关内容