长话短说:如何在 CentOS 7 上安全地引用加密交换块设备?
我正在尝试在 CentOS 7.2 VM 上设置加密交换,该虚拟机有一个交换设备作为/dev/vdb.这基本上就是我的做法:
echo "cryptswap1 /dev/vdb /dev/urandom swap,cipher=aes-cbc-essiv:sha256" >> /etc/crypttab
sed -i -e '/\bswap\b/d' /etc/fstab
echo "/dev/mapper/cryptswap1 none swap sw 0 0" >> /etc/fstab
reboot
这效果非常好:systemd-cryptsetup-generator读取crypttab条目并在后台将其转换,无需任何进一步的调整(请参阅这个问题一些背景;上下文略有不同)。
值得关注的是需要将该设备称为/dev/vdb。我已经看到块设备四处移动(这是在 OpenStack 上运行的虚拟机),如果发生这种情况,我知道意外替换的块设备的内容/dev/vdb将不可挽回地吐司!
要通过标签引用设备,我尝试了以下操作这篇优秀的 Arch 文章;不幸的是,这不起作用,因为 CentOS 和/或更新的crypttab版本似乎不支持--offset保留块设备属性的选项。我尝试创建一个虚拟/dev/vdb1分区,但这没有帮助。
非常感谢!