現在、RHEL 8.9 で作業しており、VM を強化しようとしており、アクティブ パーティションに crypto_LUKS 暗号化を適用することを検討しています。コマンドを使用してパーティションを確認するとblkid、"xfs" タイプのパーティションが 2 つ、"swap" タイプのパーティションが 1 つ、"LVM2_member" タイプのパーティションが 1 つあります。目標は、これらすべてを crypto_LUKS 形式に変換することです。
コマンドを使用しようとするとcryptsetup luksFormat /dev/partitionname、必ず問題が発生します。マシンにこれらのデバイスが現在使用中であると表示され、操作を続行できません。
この状況を回避する方法はありますか? それとも、RHEL の初期インストール時に最初からやり直してこの暗号化形式を設定する必要がありますか?
どうもありがとうございます!
答え1
マウントされたファイルシステムを持つデバイス/パーティションを luks 暗号化することはできません。システムの現在の構成に応じて、これを回避する方法がいくつかありますが、Linux ファイルシステムに関する十分な知識が必要です。
暗号化したいデバイスからファイルシステムをアンマウントできる場合は、LUKS2 を使用してブロックデバイス上の既存のデータを暗号化する暗号化の手順を説明したガイドをご覧ください。
アンマウントできないパーティションの場合、いくつかのオプションがあります。
- 可能であれば、最初からやり直す計画を立てた方が良いでしょう。必要暗号化に手を出す前に適切なバックアップを取ってください。適切なバックアップがあれば、最初からやり直すのはそれほど難しくありません。
- すでにLVMを使用していて、十分な空き容量がある場合は、LVMツールを使用して
pvmoveデータを別のデバイスにシャッフルし、元のデバイスで暗号化を構成し、データを暗号化された領域に戻すことができます。 - 技術的には、別の Linux インストールからインプレース暗号化手順を実行できます (ライブ CD から起動するなど)。ただし、正しいシステム ID とデバイス ID がターゲットになっていることを確認する必要があるため、すべての手順を正しく実行するのがはるかに複雑になります。