一年前,我在笔记本上安装了 OpenSuse。我创建了除/bootLVM 分区之外的所有分区。我在安装过程中启用了加密。系统在每次启动时都会要求我输入密码。一切似乎都很好……
但有一天我想取消启动过程,于是使用 SysRq 取消了REISUB。在输入此组合时,系统突然继续启动,无需输入任何密码。我输入了 no/home和 no swap,但/已挂载!我检查了多次,它曾是在“加密”的物理 LVM 卷内。
后来我发现OpenSuse/根本就不能加密,每个逻辑卷都有启用加密的选项,但确实都失败了/。
后来我尝试了 Fedora。分区时的选项同样具有误导性。我可以启用物理卷和每个逻辑子卷的“加密”。但 Fedora 实际上允许加密/。
问题:如果物理 LVM 卷的“加密”并不意味着其逻辑子卷的 (真实) 加密,那么为物理 LVM 卷设置“加密”有什么意义?我在整个概念中是不是搞错了什么?
答案1
有两种方法可以加密 LVM 卷:
- 你创建一个加密分区,在里面创建 PV,然后整个 PV 就被加密了
- 您创建一个普通的 LVM,在其中创建 LV,然后在 LV 内部创建一个加密分区。
如果您使用方法 1,您的根分区将被加密。您可能已获得紧急 shell。
如果您使用方法 2,您可能希望保持根目录未加密,以便在出现问题时简化恢复。通常,根分区应保存系统文件,而不是私有文件。