Ich habe vor Kurzem Fedora 20 installiert. Ich weiß nicht mehr, welche genauen Optionen ich während der Installation zur Verschlüsselung der Festplatte/des LVM gewählt habe. Die Installation verlief einwandfrei und ich kann mich anmelden usw. Hier ist meine Situation:
Ich habe mit LiveCD gebootet und Folgendes versucht: (Ich habe Fedora20 auf der Partition /dev/sda3 installiert).
- Beim Ausführen
cryptsetup open /dev/sda3 fedo
erhalte ich die Fehlermeldung, dass es sich nicht um ein LUKS-Gerät handelt. - Beim zweiten Ausführen
cryptsetup luksDump /dev/sda3
erhalte ich die Fehlermeldung, dass es sich nicht um ein LUKS-Gerät handelt - Wenn ich ausführe
cryptsetup open --type plain /dev/sda3 fedo
, werde ich zur Eingabe eines Kennworts aufgefordert und das Gerät wird problemlos geöffnet.
Es handelt sich also offensichtlich um eine im Klartext verschlüsselte Partition (ohne LUKS-Header).
Wenn ich jetzt versuche, auszuführen mount /dev/mapper/fedo /mnt/fedora
, wird angezeigt unknown crypto_LUKS filesystem
.
Ich habe LVM darüber, also kann ich ausführen pvdisplay
, vgdisplay
und lvdisplay
es zeigt Informationen an. Ich habe eine VG namens fedora
und zwei LVs, nämlich 00 für die Swap-Partition und 01 für die /-Partition.
Wenn ich jetzt ein mache, cryptsetup luksDump /dev/fedora/01
kann ich LUKS-Header usw. sehen. Außerdem kann ich durch Ausführen mounten mount /dev/fedora/00 /mnt/fedora
, ohne dass ich nach einem Kennwort gefragt werde.
Habe ich also eine LUKS-über-LVM-über-(Klartext)-verschlüsselte Partition?
Hier ist meine Ausgabe von lsblk
:
# lsblk NAME MAJ:MIN RM GRÖSSE RO TYP MOUNTPUNKT sda 8:0 0 37,3 G 0 Festplatte |-sda3 8:3 0 17.4G 0 Teil |-fedora-00 253:0 0 2,5 G 0 lvm | |-luks-XXXXX 253:3 0 2,5 G 0 Krypta [SWAP] |-fedora-01 253:1 0 15G 0 lvm |-luks-XXXXX 253:2 0 15G 0 Krypta /
Die Frage ist also, wie ich herausfinden kann, ob ichLVM-über-LUKSoderLUKS-über-LVModer eine andere Kombination davon (LUKS über LVM über LUKSusw.)? Um meine Frage klarzustellen: Ich weiß, dass ich LVM und LUKS habe, ich möchte die Reihenfolge herausfinden.
Antwort1
cryptsetup luksDump /dev/fedora/01
zeigt, dass das logische LVM-Volume ein mit LUKS verschlüsseltes Volume ist. Die Ausgabe von pvs
oder pvdisplay
würde zeigen, dass die Partition /dev/sda3
ein physisches Volume ist. Sie haben also LUKS über LVM. Auf einer niedrigeren Ebene haben Sie LVM über einer PC-Partition.
Die Ausgabe lsblk
bestätigt dies: sda
ist eine Festplatte, sda3
ist eine Partition (die ein physisches LVM-Volume enthält) fedora-00
und fedora-01
sind logische Volumes, und jedes logische Volume enthält ein LUKS-verschlüsseltes Volume.
Antwort2
Es ist sehr merkwürdig, einen LUKS in einer einfachen Krypta zu haben. Warum zweimal verschlüsseln?
Sobald Ihre Dateisysteme gemountet sind,lsblk
zeigt Ihnen, was Sache ist.
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 59.6G 0 disk
└─sda1 8:1 0 59.6G 0 part
└─md0 9:0 0 59.6G 0 raid1
└─luksSSD1 253:9 0 59.6G 0 crypt
├─SSD-home 253:0 0 36G 0 lvm /home
└─SSD-root 253:10 0 16G 0 lvm /
Dies ist LVM (/home und / mit Typ lvm) auf LUKS (Typ crypt, luksSSD1) auf RAID1 (md0, Typ raid1) auf einer regulären Partition (sda1) auf der Festplatte sda.
Antwort3
Sie können so sehen, was Sie haben:
$ sudo blkid | grep crypto_LUKS
/dev/mapper/fedora-home: UUID="XXXXXXXXXXXXXXXXX" TYPE="crypto_LUKS"
Das ist ein logisches LVM-Volume mit Krypto-LUKS darauf. Wenn ich dieses Volume mounte, wird es unter Fedora 20 folgendermaßen gemountet:
$ mount | grep home
/dev/mapper/luks-XXXXX on /home type ext4 (rw,relatime,seclabel,data=ordered)
Wenn Sie eine Standardinstallation durchgeführt haben, erhalten Sie dasselbe.
Manuelles Entschlüsseln
Ich glaube, Sie können Folgendes tun, wenn Sie die Dinge manuell erledigen möchten. Prüfen Sie zunächst, ob etwas LUKS ist oder nicht:
$ sudo cryptsetup isLuks /dev/mapper/fedora-home
$ echo $?
0
$ sudo cryptsetup isLuks /dev/mapper/fedora-root
$ echo $?
1
NOTIZ:Eine Null bedeutet, dass es sich um LUKS handelt, eine 1 bedeutet, dass es sich nicht um LUKS handelt.
Um es zu entschlüsseln:
$ sudo cryptsetup luksOpen /dev/mapper/fedora-home crypthome
NOTIZ:Sie müssen die Passphrase eingeben, um die Partition zu entschlüsseln. Sie können den Zuordnungsnamen beliebig ändern crypthome
. Die zugeordnete Partition ist jetzt verfügbar, /dev/mapper/crypthome
aber nicht gemountet. Der letzte Schritt besteht darin, einen Mount-Punkt zu erstellen und die zugeordnete Partition zu mounten:
Manuelle Montage
$ sudo -Es
$ mkdir /mnt/crypthome && mount /dev/mapper/crypthome /mnt/crypthome
Welche verschlüsselten Partitionen habe ich?
Sie können in der Datei nachsehen /etc/crypttab
, welches LUKS Sie ebenfalls eingerichtet haben.
$ more /etc/crypttab
luks-XXXXXXXX UUID=XXXXXXXX none
Entleeren des Geräts
Sie können es auch luksDump
wie folgt verwenden:
$ sudo cryptsetup luksDump /dev/mapper/fedora-home
LUKS header information for /dev/mapper/fedora-home
Version: 1
Cipher name: aes
Cipher mode: xts-plain64
Hash spec: sha1
Payload offset: 4096
MK bits: 512
MK digest: XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX
MK salt: XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX
XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX
MK iterations: 50625
UUID: XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX
Key Slot 0: ENABLED
Iterations: 202852
Salt: XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX
XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX
Key material offset: 8
AF stripes: 4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
Wenn es kein LUKS-Gerät ist, wird es folgendermaßen gemeldet:
$ sudo cryptsetup luksDump /dev/mapper/fedora-root
Device /dev/mapper/fedora-root is not a valid LUKS device.
Verweise
Antwort4
Ich denke, der Schlüssel, um herauszufinden, ob es sich um ein LVM-over-LUKS handelt oder umgekehrt, ist die Reihenfolge derKryptaUndlvmTYPEn in der Ausgabe des lsblk
Befehls. Basierend auf dieser Argumentation komme ich zu dem Schluss, dass mein Setup einLUKS-über-LVM. Die lsblk
Ausgabe für ein Setup vom Typ LVM-über-LUKS finden Sie in der unten von @frostschultz angezeigten Ausgabe.
Da /dev/sda3 in meinem Fall eine „Linux LVM“-Systempartition (Partitions-ID 8e) ist, hätte ich, anstatt es cryptsetup open --type plain /dev/sda3 SomeName
zuerst zu versuchen, das LVM direkt zuordnen sollen, indem ich den Befehl ausführe cryptsetup open /dev/disk/by-uuid/UUID-of-LV SomeName
, um das LV direkt zu öffnen. Ich habe das versucht und es funktioniert wie erwartet.
Vielen Dank an alle, die mir dabei geholfen haben, dies zu verstehen.