如何关闭带有嵌套分区表的加密分区?

tag-icon tag-icon luks cryptsetup
如何关闭带有嵌套分区表的加密分区?

如果我使用 cryptsetup 创建加密分区

cryptsetup -q luksFormat /dev/vdb3 /tmp/pwfile
cryptsetup -d /tmp/pwfile luksOpen /dev/vdb3 pv00

并在 /dev/mapper/pv00 上设置嵌套的 gpt 分区表

parted=/sbin/parted
disk=/dev/mapper/pv00
${parted} -s -- "${disk}" mklabel gpt
${parted} -s -- "${disk}" mkpart root 0% "${endp1}GiB"
${parted} -s -- "${disk}" mkpart swap "${endp1}GiB" "${endp2}GiB"
${parted} -s -- "${disk}" mkpart none "${endp2}GiB" "${endp3}GiB"
${parted} -s -- "${disk}" mkpart export "${endp3}GiB" 100%

lsblk然后新分区按预期列出

root@clone:~# lsblk 
NAME         MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINTS
vda          254:0    0     8G  0 disk  
`-vda1       254:1    0     8G  0 part  /
vdb          254:16   0   128G  0 disk  
|-vdb1       254:17   0   126M  0 part  
|-vdb2       254:18   0   897M  0 part  
`-vdb3       254:19   0 120.6G  0 part  
  `-pv00     252:0    0 120.6G  0 crypt 
    |-pv00p1 252:1    0     8G  0 part  
    |-pv00p2 252:2    0     8G  0 part  
    |-pv00p3 252:3    0     8G  0 part  
    `-pv00p4 252:4    0  90.6G  0 part

但我无法再关闭加密分区:

root@clone:~# cryptsetup luksClose pv00
Device pv00 is still in use.

dmsetup info -C显示未使用嵌套分区,但 /dev/mapper/pv00 是:

# dmsetup info -C
Name             Maj Min Stat Open Targ Event  UUID                                                   
pv00             252   0 L--w    4    1      0 CRYPT-LUKS2-f2a811407807491b875f414fa61f854d-pv00      
pv00p1           252   1 L--w    0    1      0 part1-CRYPT-LUKS2-f2a811407807491b875f414fa61f854d-pv00
pv00p2           252   2 L--w    0    1      0 part2-CRYPT-LUKS2-f2a811407807491b875f414fa61f854d-pv00
pv00p3           252   3 L--w    0    1      0 part3-CRYPT-LUKS2-f2a811407807491b875f414fa61f854d-pv00
pv00p4           252   4 L--w    0    1      0 part4-CRYPT-LUKS2-f2a811407807491b875f414fa61f854d-pv00

AFAIU 嵌套分区使 pv00 保持忙碌。

使用lvm2而不是嵌套的gpt分区表就不存在这样的问题。我可以使用 停用卷组vgchange -an vg00,并且 pv00 可以按预期关闭。是否有类似的命令可以停用 /dev/mapper/pv00 上的嵌套 gpt 分区表而不删除它?

答案1

您可以使用kpartx。使用 创建分区映射kpartx -a /dev/mapper/pv00并使用 删除它们kpartx -d /dev/mapper/pv00。否则,您只能使用 手动删除它们dmsetup remove pv00p{1,2,3,4}

为什么这是一个问题呢?

内核(设备映射器、crypsetup/LUKS、LVM,...)根本不支持嵌套分区表。理论上,LUKS 2可以自行支持多个数据段/分区,但从未实现。所以没有任何支持,故事结束了。

parted只是通过为它们创建设备映射器线性目标来“作弊”(技术上与 LVM 用于其逻辑卷的东西相同)。这是在没有询问的情况下完成的,并且parted不提供任何控制此行为的选项。

所以看起来可能支持这一点,但对于内核来说,这根本不是分区表。关闭并重新打开 LUKS 设备也不会使这些分区设备重新出现(除非您使用了一些自定义 udev 魔法)。您必须重新运行parted它,但即使这样它们也不会出现,因为甚至parted期望这由另一个软件来处理。

分开的新闻文件提到它:

  • 版本 3.1 (2012-03-02) 中值得注意的更改 [稳定]
    [...]
    设备映射器设备(LVM、dmraid)不再在基本设备名称和分区号之间插入“p”,除非基本设备的最后一个字符设备名称是一个数字。这使得parted 符合kpartx 和“linux 自从出现以来”的分区命名,但与dmraid 1.0.0-rc16-3 的操作方式不同。修正 dmraid 的补丁已提交至[电子邮件受保护]。如果没有此补丁,parted 和 dmraid 都会创建名为 /dev/mapper/foo1 和 /dev/mapper/foop1 的重复分区设备。

它提到了dmraid,这可能就是此功能存在的原因。您可能想要支持可以在 fakeraid/dmraid 设置中找到的分区表。在这种情况下,dmraid它本身会创建分区设备,因此parted不必这样做;parted仅当您更改分区表时才更新它们。

嵌套分区表并不是真正的东西,如果您无论如何使用它们,您将不得不依赖kpartx它们来管理它们,因为parted这样做只是作为副作用。

请注意,不能完全保证parted映射 和之间的兼容性。kpartx这些是独立的实现。

相关内容