我创建了一个大型 LUKS2 设备,其中cryptsetup包含带有我的根和其他文件系统的 LVM2。该设备的大小为几 TB,并且我没有可以中间复制到的任何其他磁盘(或磁盘组合)。
我最近了解了 DM-Integrity,并且 DM-Crypt 有一个可以选择性启用的内置版本,我想开始在我的加密设备上使用它。然而,所有文档都描述了在创建设备时对其进行设置,并且该cryptsetup reencrypt函数似乎没有提及它。
我想完整性信息会比没有它时占用更多的空间,但在这方面我有足够的可用空间。我愿意在单独的层上满足 DM-Integrity,但希望尽可能避免它。
答案1
现有的cryptsetup加密与 dm-integrity 无关(即您不必重新加密)。您需要用于元数据的可用空间。 dm-integrity 可以在您已加密的块设备上工作(这不是一个好主意,除非您为元数据设置另一个加密设备),也可以在您的 LUKS 卷中的 LVM LV 上工作。
看看手册页的integritysetup,特别是--data-device.