Recientemente instalé Fedora 20. No recuerdo qué opciones exactas elegí para cifrar el disco/LVM durante la instalación. Se instaló bien y puedo iniciar sesión, etc. Esta es la situación que tengo:
Arranqué con LiveCD e intenté lo siguiente: (He instalado Fedora20 en la partición /dev/sda3').
- Si lo ejecuto,
cryptsetup open /dev/sda3 fedoaparece un error que dice que no es un dispositivo LUKS. - Al ejecutarlo,
cryptsetup luksDump /dev/sda3aparece un error que dice que no es un dispositivo LUKS. - Si lo ejecuto
cryptsetup open --type plain /dev/sda3 fedo, me solicita la contraseña y abre bien el dispositivo.
Entonces, obviamente, se trata de una partición cifrada de texto plano (sin encabezado LUKS).
Ahora, cuando intento ejecutar mount /dev/mapper/fedo /mnt/fedora, dice unknown crypto_LUKS filesystem.
Tengo LVM encima, así que puedo ejecutar y pvdisplaymuestra información. Tengo un VG llamado y dos LV, a saber, 00 para la partición de intercambio y 01 para la partición /.vgdisplaylvdisplayfedora
Ahora, si hago algo, cryptsetup luksDump /dev/fedora/01puedo ver los encabezados LUKS, etc. Y puedo montar ejecutando mount /dev/fedora/00 /mnt/fedora, sin solicitar contraseña.
Entonces, ¿tengo una partición cifrada con LUKS sobre LVM sobre (texto sin formato)?
Aquí está mi resultado de lsblk:
# lsblk
NOMBRE MAJ:MIN RM TAMAÑO RO TIPO PUNTO DE MONTAJE
sda 8:0 0 37.3G 0 disco
|-sda3 8:3 0 17.4G 0 parte
|-fedora-00 253:0 0 2.5G 0 lvm
| |-luks-XXXXX 253:3 0 2.5G 0 cripta [SWAP]
|-fedora-01 253:1 0 15G 0 lvm
|-luks-XXXXX 253:2 0 15G 0 cripta /
Entonces, la pregunta es, ¿cómo saber si tengoLVM sobre LUKSoLUKS sobre LVM, o alguna otra combinación de los mismos (LUKS sobre LVM sobre LUKSetc)? Para aclarar mi pregunta, sé que tengo LVM y LUKS, quiero averiguar el orden de ellos.
Respuesta1
cryptsetup luksDump /dev/fedora/01muestra que el volumen lógico LVM es un volumen cifrado LUKS. La salida de pvso pvdisplaymostraría que la partición /dev/sda3es un volumen físico. Por lo tanto tienes LUKS sobre LVM. En un nivel inferior, tienes LVM sobre la partición de PC.
El resultado de lsblkconfirma esto: sdaes un disco, sda3es una partición (que contiene un volumen físico LVM) fedora-00y fedora-01son volúmenes lógicos, y cada volumen lógico contiene un volumen cifrado LUKS.
Respuesta2
Es muy extraño tener un LUKS dentro de una simple cripta. ¿Por qué cifrar dos veces?
Una vez que sus sistemas de archivos estén montados,lsblkte mostrará qué es qué.
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 59.6G 0 disk
└─sda1 8:1 0 59.6G 0 part
└─md0 9:0 0 59.6G 0 raid1
└─luksSSD1 253:9 0 59.6G 0 crypt
├─SSD-home 253:0 0 36G 0 lvm /home
└─SSD-root 253:10 0 16G 0 lvm /
Este es LVM (/home y / con tipo lvm) en LUKS (tipo crypt, luksSSD1) en RAID1 (md0, tipo raid1) en una partición normal (sda1) en el disco sda.
Respuesta3
Puedes ver lo que tienes así:
$ sudo blkid | grep crypto_LUKS
/dev/mapper/fedora-home: UUID="XXXXXXXXXXXXXXXXX" TYPE="crypto_LUKS"
Ese es un volumen lógico LVM con cripto LUKS. Cuando monto ese volumen, se monta así en Fedora 20:
$ mount | grep home
/dev/mapper/luks-XXXXX on /home type ext4 (rw,relatime,seclabel,data=ordered)
Si hiciste una instalación estándar tendrás lo mismo.
Descifrando manualmente
Creo que puedes hacer lo siguiente si quieres hacer las cosas manualmente. Primero para ver si algo es LUKS o no:
$ sudo cryptsetup isLuks /dev/mapper/fedora-home
$ echo $?
0
$ sudo cryptsetup isLuks /dev/mapper/fedora-root
$ echo $?
1
NOTA:Un cero indica que es LUKS, un 1 significa que no lo es.
Entonces para descifrarlo:
$ sudo cryptsetup luksOpen /dev/mapper/fedora-home crypthome
NOTA:Debe ingresar la frase de contraseña para descifrar la partición. Siéntete libre de cambiar el nombre del mapeo crypthomeal que quieras. La partición asignada ahora está disponible /dev/mapper/crypthomepero no está montada. El último paso es crear un punto de montaje y montar la partición asignada:
Montaje manual
$ sudo -Es
$ mkdir /mnt/crypthome && mount /dev/mapper/crypthome /mnt/crypthome
¿Qué particiones cifradas tengo?
También puede consultar el archivo /etc/crypttabpara ver qué LUKS ha configurado.
$ more /etc/crypttab
luks-XXXXXXXX UUID=XXXXXXXX none
Volcar el dispositivo
También puedes usar luksDumpasí:
$ sudo cryptsetup luksDump /dev/mapper/fedora-home
LUKS header information for /dev/mapper/fedora-home
Version: 1
Cipher name: aes
Cipher mode: xts-plain64
Hash spec: sha1
Payload offset: 4096
MK bits: 512
MK digest: XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX
MK salt: XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX
XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX
MK iterations: 50625
UUID: XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX
Key Slot 0: ENABLED
Iterations: 202852
Salt: XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX
XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX
Key material offset: 8
AF stripes: 4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
Si no es un dispositivo LUKS, se informará así:
$ sudo cryptsetup luksDump /dev/mapper/fedora-root
Device /dev/mapper/fedora-root is not a valid LUKS device.
Referencias
Respuesta4
Creo que la clave para saber si se trata de un LVM sobre LUKS, o al revés, es el orden decriptaylvmTIPOS en la salida del lsblkcomando. Basado en ese razonamiento, concluyo que mi configuración es unaLUKS sobre LVM. Para conocer el lsblkresultado de una configuración de tipo LVM sobre LUKS, consulte el resultado mostrado por @frostschultz a continuación.
En mi caso, dado que /dev/sda3 es una partición del sistema "Linux LVM" (ID de partición 8e), creo que en lugar de intentarlo cryptsetup open --type plain /dev/sda3 SomeNameprimero, debería haber mapeado el LVM directamente ejecutando el comando cryptsetup open /dev/disk/by-uuid/UUID-of-LV SomeNamepara abrir el LV directamente. Probé esto y funciona como esperaba.
Gracias a todas las personas que contribuyeron para ayudarme a entender esto.