So identifizieren Sie LVM-over-LUKS oder LUKS-over-LVM

tag-icon tag-icon fedora lvm encryption luks
So identifizieren Sie LVM-over-LUKS oder LUKS-over-LVM

Ich habe vor Kurzem Fedora 20 installiert. Ich weiß nicht mehr, welche genauen Optionen ich während der Installation zur Verschlüsselung der Festplatte/des LVM gewählt habe. Die Installation verlief einwandfrei und ich kann mich anmelden usw. Hier ist meine Situation:

Ich habe mit LiveCD gebootet und Folgendes versucht: (Ich habe Fedora20 auf der Partition /dev/sda3 installiert).

  1. Beim Ausführen cryptsetup open /dev/sda3 fedoerhalte ich die Fehlermeldung, dass es sich nicht um ein LUKS-Gerät handelt.
  2. Beim zweiten Ausführen cryptsetup luksDump /dev/sda3erhalte ich die Fehlermeldung, dass es sich nicht um ein LUKS-Gerät handelt
  3. Wenn ich ausführe cryptsetup open --type plain /dev/sda3 fedo, werde ich zur Eingabe eines Kennworts aufgefordert und das Gerät wird problemlos geöffnet.

Es handelt sich also offensichtlich um eine im Klartext verschlüsselte Partition (ohne LUKS-Header).

Wenn ich jetzt versuche, auszuführen mount /dev/mapper/fedo /mnt/fedora, wird angezeigt unknown crypto_LUKS filesystem.

Ich habe LVM darüber, also kann ich ausführen pvdisplay, vgdisplayund lvdisplayes zeigt Informationen an. Ich habe eine VG namens fedoraund zwei LVs, nämlich 00 für die Swap-Partition und 01 für die /-Partition.

Wenn ich jetzt ein mache, cryptsetup luksDump /dev/fedora/01kann ich LUKS-Header usw. sehen. Außerdem kann ich durch Ausführen mounten mount /dev/fedora/00 /mnt/fedora, ohne dass ich nach einem Kennwort gefragt werde.

Habe ich also eine LUKS-über-LVM-über-(Klartext)-verschlüsselte Partition?

Hier ist meine Ausgabe von lsblk:

# lsblk
NAME MAJ:MIN RM GRÖSSE RO TYP MOUNTPUNKT
sda 8:0 0 37,3 G 0 Festplatte
|-sda3 8:3 0 17.4G 0 Teil
  |-fedora-00 253:0 0 2,5 G 0 lvm
  | |-luks-XXXXX 253:3 0 2,5 G 0 Krypta [SWAP]
  |-fedora-01 253:1 0 15G 0 lvm
    |-luks-XXXXX 253:2 0 15G 0 Krypta /

Die Frage ist also, wie ich herausfinden kann, ob ichLVM-über-LUKSoderLUKS-über-LVModer eine andere Kombination davon (LUKS über LVM über LUKSusw.)? Um meine Frage klarzustellen: Ich weiß, dass ich LVM und LUKS habe, ich möchte die Reihenfolge herausfinden.

Antwort1

cryptsetup luksDump /dev/fedora/01zeigt, dass das logische LVM-Volume ein mit LUKS verschlüsseltes Volume ist. Die Ausgabe von pvsoder pvdisplaywürde zeigen, dass die Partition /dev/sda3ein physisches Volume ist. Sie haben also LUKS über LVM. Auf einer niedrigeren Ebene haben Sie LVM über einer PC-Partition.

Die Ausgabe lsblkbestätigt dies: sdaist eine Festplatte, sda3ist eine Partition (die ein physisches LVM-Volume enthält) fedora-00und fedora-01sind logische Volumes, und jedes logische Volume enthält ein LUKS-verschlüsseltes Volume.

Antwort2

Es ist sehr merkwürdig, einen LUKS in einer einfachen Krypta zu haben. Warum zweimal verschlüsseln?

Sobald Ihre Dateisysteme gemountet sind,lsblkzeigt Ihnen, was Sache ist.

NAME                         MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                            8:0    0  59.6G  0 disk  
└─sda1                         8:1    0  59.6G  0 part  
  └─md0                        9:0    0  59.6G  0 raid1 
    └─luksSSD1               253:9    0  59.6G  0 crypt 
      ├─SSD-home             253:0    0    36G  0 lvm   /home
      └─SSD-root             253:10   0    16G  0 lvm   /

Dies ist LVM (/home und / mit Typ lvm) auf LUKS (Typ crypt, luksSSD1) auf RAID1 (md0, Typ raid1) auf einer regulären Partition (sda1) auf der Festplatte sda.

Antwort3

Sie können so sehen, was Sie haben:

$ sudo blkid | grep crypto_LUKS
/dev/mapper/fedora-home: UUID="XXXXXXXXXXXXXXXXX" TYPE="crypto_LUKS"

Das ist ein logisches LVM-Volume mit Krypto-LUKS darauf. Wenn ich dieses Volume mounte, wird es unter Fedora 20 folgendermaßen gemountet:

$ mount | grep home
/dev/mapper/luks-XXXXX on /home type ext4 (rw,relatime,seclabel,data=ordered)

Wenn Sie eine Standardinstallation durchgeführt haben, erhalten Sie dasselbe.

Manuelles Entschlüsseln

Ich glaube, Sie können Folgendes tun, wenn Sie die Dinge manuell erledigen möchten. Prüfen Sie zunächst, ob etwas LUKS ist oder nicht:

$ sudo cryptsetup isLuks /dev/mapper/fedora-home
$ echo $?
0

$ sudo cryptsetup isLuks /dev/mapper/fedora-root 
$ echo $?
1

NOTIZ:Eine Null bedeutet, dass es sich um LUKS handelt, eine 1 bedeutet, dass es sich nicht um LUKS handelt.

Um es zu entschlüsseln:

$ sudo cryptsetup luksOpen /dev/mapper/fedora-home crypthome

NOTIZ:Sie müssen die Passphrase eingeben, um die Partition zu entschlüsseln. Sie können den Zuordnungsnamen beliebig ändern crypthome. Die zugeordnete Partition ist jetzt verfügbar, /dev/mapper/crypthomeaber nicht gemountet. Der letzte Schritt besteht darin, einen Mount-Punkt zu erstellen und die zugeordnete Partition zu mounten:

Manuelle Montage

$ sudo -Es
$ mkdir /mnt/crypthome && mount /dev/mapper/crypthome /mnt/crypthome

Welche verschlüsselten Partitionen habe ich?

Sie können in der Datei nachsehen /etc/crypttab, welches LUKS Sie ebenfalls eingerichtet haben.

$ more /etc/crypttab  
luks-XXXXXXXX UUID=XXXXXXXX none

Entleeren des Geräts

Sie können es auch luksDumpwie folgt verwenden:

$ sudo cryptsetup luksDump /dev/mapper/fedora-home
LUKS header information for /dev/mapper/fedora-home

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha1
Payload offset: 4096
MK bits:        512
MK digest:      XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
MK salt:        XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
                XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
MK iterations:  50625
UUID:           XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX

Key Slot 0: ENABLED
    Iterations:             202852
    Salt:                   XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
                            XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
    Key material offset:    8
    AF stripes:             4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

Wenn es kein LUKS-Gerät ist, wird es folgendermaßen gemeldet:

$ sudo cryptsetup luksDump /dev/mapper/fedora-root 
Device /dev/mapper/fedora-root is not a valid LUKS device.

Verweise

Antwort4

Ich denke, der Schlüssel, um herauszufinden, ob es sich um ein LVM-over-LUKS handelt oder umgekehrt, ist die Reihenfolge derKryptaUndlvmTYPEn in der Ausgabe des lsblkBefehls. Basierend auf dieser Argumentation komme ich zu dem Schluss, dass mein Setup einLUKS-über-LVM. Die lsblkAusgabe für ein Setup vom Typ LVM-über-LUKS finden Sie in der unten von @frostschultz angezeigten Ausgabe.

Da /dev/sda3 in meinem Fall eine „Linux LVM“-Systempartition (Partitions-ID 8e) ist, hätte ich, anstatt es cryptsetup open --type plain /dev/sda3 SomeNamezuerst zu versuchen, das LVM direkt zuordnen sollen, indem ich den Befehl ausführe cryptsetup open /dev/disk/by-uuid/UUID-of-LV SomeName, um das LV direkt zu öffnen. Ich habe das versucht und es funktioniert wie erwartet.

Vielen Dank an alle, die mir dabei geholfen haben, dies zu verstehen.

verwandte Informationen