一年前我在我的筆記本上安裝了 OpenSuse。我建立了/bootLVM 分割區以外的所有分割區。我在安裝過程中啟用了加密。稍後每次啟動時系統都會詢問我密碼。一切看起來都很好...
但有一天我想取消啟動程序並使用 SysRq 來完成REISUB。在輸入這個組合的過程中,系統突然繼續啟動,而沒有輸入任何密碼。我沒有/home,沒有swap,但/被安裝了!我查了好幾遍了,確實如此曾是在「加密的」物理 LVM 磁碟區內。
後來我發現OpenSuse/根本無法加密。有一個選項可以為每個邏輯卷啟用加密,但實際上它對/.
後來我嘗試了Fedora。分區期間的選項以同樣的方式產生誤導。我可以啟用物理捲和每個邏輯子卷的“加密”。但 Fedora 實際上允許加密/。
問題:當實體 LVM 磁碟區設定「加密」並不意味著對其邏輯子磁碟區進行(真正)加密時,有什麼意義呢?我在整個概念中犯了錯嗎?
答案1
有兩種方法可以加密 LVM 磁碟區:
- 您建立一個加密分割區,在其中建立PV,然後整個PV被加密
- 您建立一個普通的 LVM,在其中建立 LV,然後在 LV 內建立加密分割區。
如果您使用方法 1,您的根分割區將被加密。您可能已經獲得了緊急外殼。
如果您使用方法 2,您可能想要不加密根目錄,以便在出現問題時簡化復原。通常根分區應該保存系統文件,而不是私有文件。