我已经考虑过加密笔记本电脑和服务器上的硬盘很长时间了,但一直没能付诸行动,因为我觉得我不明白加密如何影响我的日常使用以及设置和管理的复杂性。我希望在继续学习概述的教程之前,能对我的问题进行一些澄清这里。
加密 LVM 是否等同于对整个磁盘进行加密?我感到很困惑,因为 Ubuntu 可以选择对 LVM 进行加密并加密主目录。
一旦我启动操作系统,我可以访问的文件是否等同于未加密 LVM 中的文件?也就是说,我可以将文件复制到 USB 磁盘,通过 ssh、rsync 文件夹等传输它们,并使传输的数据在新位置有意义(未加密)吗?或者我必须做什么特殊的事情才能在新位置使用这些文件?
在我的服务器上,我目前有两个使用硬件 RAID1 设置的 1.5 TB 磁盘。这实际上也是我第一次使用 RAID。使用带有加密 LVM 的 RAID1 会使事情变得复杂吗?也就是说,这些指示适用吗?
我的服务器是远程的(在学校),我并不总是能够物理访问它。但是,如果我远程重新启动,我必须输入密码才能启动操作系统。你处理过这个问题吗?这帖子建议尽早使用 ssh。
我计划在不久的将来通过硬件 RAID1 向服务器添加两个 2TB 磁盘。当然,我也希望新磁盘的内容被加密。添加新磁盘有多复杂,如何操作?是否可以将这两个镜像磁盘与原始磁盘“分开”?也就是说,是否可以拔下这些磁盘并将其安装在另一台计算机上?我如何访问加密内容?
期待您的回复!谢谢!
请注意,我确实在教程的评论中问过同样的问题,但我想我会在这里得到更多的答复和解释。
答案1
1 - 在 Debian/Ubuntu 上使用加密 LVM 时,会创建一个分区。在该分区上设置 DM-CRYPT,然后在加密的 DM-CRYPT 卷内创建一个 LVM 卷。如果您将其用于所有分区,那么它基本上就是全盘加密。
2 - 使用加密的 LVM,一旦系统启动并挂载卷,之后的一切都将是透明的。这意味着如果有人能够在系统开启并挂载驱动器时远程入侵您的系统,那么他们根本不知道或不关心加密。
3 - 使用带有 DM-CRYPT 和 LVM 的软件 RAID 很容易。我已经在六个盒子上安装了它。设置 RAID,然后在 RAID 上设置加密卷,然后在加密卷上设置 LVM。
4 - 我还没有找到一个好的解决方案。我想你可以做的一件事就是想出一个基于 IP 的 KVM。那个早期的 SSH 工具看起来应该可以工作。
5
- 是的,您可以添加它们,这很容易。
- 设置 RAID,运行 cryptsetup,创建 LVM 卷组。如果希望自动挂载,请更新 crypttab/fstab
- 在 Linux 系统中将卷移动到另一个系统应该像移动物理驱动器并安装它们一样简单。
只需花点时间阅读以下文档即可。一切都非常简单。
答案2
对于问题#4,我有一个想法:将加密密钥放到永久连接到服务器的 USB 记忆棒上。