我正在管理一个有两个磁盘的文件服务器。该服务器运行的是 Ubuntu 14.04,并且已经配置了软件 RAID1 ( /dev/md0) 和 LVM。
重要数据存储在文件/var系统中/srv,我被要求加密它们,但我不确定该怎么做。
我可以创建新的逻辑卷,用于dm-crypt加密它们,然后创建文件系统并将数据移动到那里吗?
由于加密卷需要在启动时自动安装,我应该将加密密钥存储在其他设备上,例如 USB 记忆棒,对吗?
我关心的是:
- 现在我不知道
/var它/srv会增长多少,所以我希望能够在需要时轻松扩大这些文件系统(这就是我们使用 LVM 的原因)。 - 如果磁盘被更换并放置在其他地方,我需要保护数据
/var。/srv - 与性能相比,我更关心可靠性和安全性。
我不关心的是:
- 我不需要保护根文件系统,因为它是一个非常标准的配置。
- 我不需要保护交换卷,我甚至考虑删除它,因为它从未使用过(有足够的可用 RAM)。
以下是我当前设置的视图,供参考:
$ lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 1,8T 0 disk
└─sda1 8:1 0 1,8T 0 part
└─md0 9:0 0 1,8T 0 raid1
├─raidvg-varlv (dm-2) 252:2 0 15G 0 lvm /var
├─raidvg-srvlv (dm-3) 252:3 0 304G 0 lvm /srv
├─raidvg-systemlv (dm-4) 252:4 0 10,2G 0 lvm /
└─raidvg-swaplv (dm-5) 252:5 0 3,7G 0 lvm [SWAP]
sdb 8:16 0 1,8T 0 disk
└─sdb1 8:17 0 1,8T 0 part
└─md0 9:0 0 1,8T 0 raid1
├─raidvg-varlv (dm-2) 252:2 0 15G 0 lvm /var
├─raidvg-srvlv (dm-3) 252:3 0 304G 0 lvm /srv
├─raidvg-systemlv (dm-4) 252:4 0 10,2G 0 lvm /
└─raidvg-swaplv (dm-5) 252:5 0 3,7G 0 lvm [SWAP]