So identifizieren Sie LVM-over-LUKS oder LUKS-over-LVM

13

Ich habe kürzlich Fedora 20 installiert. Ich kann mich nicht erinnern, welche genauen Optionen ich für die Verschlüsselung der Festplatte / des LVM während der Installation ausgewählt habe. Es ist gut installiert und ich kann mich einloggen usw. Hier ist die Situation, die ich habe:

Ich habe mit LiveCD gebootet und Folgendes versucht: (Ich habe Fedora20 auf der Partition / dev / sda3 installiert).

  1. Wenn ich laufe, cryptsetup open /dev/sda3 fedoerhalte ich die Fehlermeldung, dass es sich nicht um ein LUKS-Gerät handelt.
  2. II laufen cryptsetup luksDump /dev/sda3ich einen Fehler sagen , es ist kein LUKS Gerät
  3. Wenn ich laufe cryptsetup open --type plain /dev/sda3 fedo, fordert es zur Eingabe eines Passworts auf und öffnet das Gerät in Ordnung.

Das ist also offensichtlich eine unverschlüsselte Partition (ohne LUKS-Header).

Wenn ich jetzt versuche zu rennen mount /dev/mapper/fedo /mnt/fedora, heißt es unknown crypto_LUKS filesystem.

Ich habe LVM oben drauf, damit ich laufen pvdisplaykann vgdisplay, lvdisplayund es zeigt Informationen an. Ich habe eine VG genannt fedoraund zwei LVs, nämlich 00 für Swap-Partition und 01 für / Partition.

Wenn ich jetzt einen mache, sehe cryptsetup luksDump /dev/fedora/01ich LUKS-Header usw. Und ich kann durch Ausführen mount /dev/fedora/00 /mnt/fedorakeine Passwortabfrage einhängen .

Habe ich eine LUKS-over-LVM-over- (Klartext) -verschlüsselte Partition?

Hier ist meine Ausgabe von lsblk:

# lsblk
NAME MAJ: MIN RM GRÖSSE RO TYP MOUNTPOINT
sda 8: 0 0 37,3G 0 Festplatte
| -sda3 8: 3 0 17.4G 0 part
  | -fedora-00 253: 0 0 2,5 G 0 lvm
  | | -luks-XXXXX 253: 3 0 2.5G 0 Krypta [SWAP]
  | -fedora-01 253: 1 0 15G 0 lvm
    | -luks-XXXXX 253: 2 0 15G 0 crypt /

Die Frage ist also, wie man herausfindet, ob ich LVM-over-LUKS oder LUKS-over-LVM oder eine andere Kombination davon habe ( LUKS über LVM über LUKS usw.). Um meine Frage klar zu stellen: Ich weiß, dass ich LVM und LUKS habe, ich möchte die Reihenfolge herausfinden.

fedora lvm encryption luks NotSuperMan
quelle

Antworten:

14

cryptsetup luksDump /dev/fedora/01Zeigt an, dass das logische LVM-Volume ein LUKS-verschlüsseltes Volume ist. Die Ausgabe von pvsoder pvdisplaywürde zeigen, dass die Partition /dev/sda3ein physisches Volume ist. Somit hast du LUKS über LVM. Auf einer niedrigeren Ebene haben Sie LVM über eine PC-Partition.

Die Ausgabe von lsblkbestätigt dies: sdaist eine Festplatte, sda3ist eine Partition (die ein physisches LVM-Volume enthält) fedora-00und fedora-01sind logische Volumes, und jedes logische Volume enthält ein LUKS-verschlüsseltes Volume.

Gilles 'SO - hör auf böse zu sein'
quelle
Perfekte Antwort und bestätigt meine Tests. Ich kann jedoch nicht für Ihre Antwort stimmen, da ich hier ein Neuling bin und nicht hoch genug im Ruf bin :-(
NotSuperMan
8

Es ist sehr seltsam, ein LUKS in einer einfachen Krypta zu haben. Warum zweimal verschlüsseln?

Sobald Ihre Dateisysteme gemountet sind, lsblkwird Ihnen angezeigt, was was ist.

NAME                         MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                            8:0    0  59.6G  0 disk  
└─sda1                         8:1    0  59.6G  0 part  
  └─md0                        9:0    0  59.6G  0 raid1 
    └─luksSSD1               253:9    0  59.6G  0 crypt 
      ├─SSD-home             253:0    0    36G  0 lvm   /home
      └─SSD-root             253:10   0    16G  0 lvm   /

Dies ist LVM (/ home und / mit dem Typ lvm) auf LUKS (Typ crypt, luksSSD1) auf RAID1 (md0, Typ raid1) auf einer regulären Partition (sda1) auf der Festplatte sda.

Frostschutz
quelle
Ja, es ist komisch. Ich habe meiner Frage die Ausgabe von 'lsblk' hinzugefügt.
NotSuperMan
@NotSuperMan: na ja, das sieht gut aus. Festplatte, Partition, LVM und jede LV sind verschlüsselt. Es ist eine übliche Einrichtung. Deine Beschreibung klang irgendwie anders. Ich denke, Ihr Fehler war die Verwendung von Cryptsetup --plain auf SDA3; sda3 ist ein LVM-Gerät, kein Verschlüsselungsgerät.
Frostschutz
Danke für Ihre Hilfe. Aber ohne cryptsetup --type plain könnte ich die Partition nicht einmal mounten. Also war es mir nicht klar. Kann es sein, dass ich anstatt zuerst die Partition zu mounten, die LV direkt mit der LUKS-UUID mounten soll? (Ich werde es versuchen) Wenn ich lief fdisk -l /dev/sda, heißt es, dass /dev/sda3Id 8e und Type 8e ist Linux LVM.
NotSuperMan
IN ORDNUNG. Anstatt zuerst zu versuchen, die Partition mit "cryptsetup open" cryptsetup open /dev/disk/by-uuid/UUID-of-LV SomeNamezu öffnen , habe ich einfach den Befehl verwendet, um die LV direkt zu öffnen, und nach passowrd usw. gefragt. Anschließend konnte ich das zugeordnete Gerät in Ordnung bringen. Das erklärt mir sehr viel. Ich denke, der Schlüssel ist die Reihenfolge der Typen 'crypt' und 'lvm' in der lsblkBefehlsausgabe. Mein Setup ist also ein LUKS-over-LVM . Und aus der Ausgabe, die Sie gezeigt haben, schließe ich, dass es sich bei Ihrer um ein LVM-over-LUKS- Setup handelt. Daraus schließe ich, dass ich keine 'Linux LVM'-Partition' cryptsetup 'öffnen' sollte.
NotSuperMan
Ihre Kommentare haben mir geholfen, mein Verständnis zu klären. Leider kann ich nicht für Ihre Antwort stimmen, da ich hier ein Neuling bin und nicht hoch genug "Reputation" habe :-( und daher kann ich beim Stapelwechsel nicht für Ihre Antwort stimmen.
NotSuperMan 9.10.14
3

Sie können sehen, was Sie so haben:

$ sudo blkid | grep crypto_LUKS
/dev/mapper/fedora-home: UUID="XXXXXXXXXXXXXXXXX" TYPE="crypto_LUKS"

Das ist ein logisches LVM-Volume mit Crypto-LUKS. Wenn ich dieses Volume einbinde, ist es unter Fedora 20 wie folgt eingebunden:

$ mount | grep home
/dev/mapper/luks-XXXXX on /home type ext4 (rw,relatime,seclabel,data=ordered)

Wenn Sie eine Standardinstallation durchgeführt haben, haben Sie dasselbe.

Manuell entschlüsseln

Ich glaube, Sie können Folgendes tun, wenn Sie die Dinge manuell erledigen möchten. Zuerst, um zu sehen, ob etwas LUKS ist oder nicht:

$ sudo cryptsetup isLuks /dev/mapper/fedora-home
$ echo $?
0

$ sudo cryptsetup isLuks /dev/mapper/fedora-root 
$ echo $?
1

HINWEIS: Eine Null bedeutet, dass es sich um LUKS handelt, eine 1 bedeutet, dass dies nicht der Fall ist.

Also, um es zu entschlüsseln:

$ sudo cryptsetup luksOpen /dev/mapper/fedora-home crypthome

HINWEIS: Sie müssen die Passphrase eingeben, um die Partition zu entschlüsseln. Sie können den Namen der Zuordnung crypthomebeliebig ändern . Die zugeordnete Partition ist jetzt in verfügbar, /dev/mapper/crypthomeaber nicht gemountet. Der letzte Schritt ist das Erstellen eines Einhängepunkts und das Einhängen der zugeordneten Partition:

Manuelle Montage

$ sudo -Es
$ mkdir /mnt/crypthome && mount /dev/mapper/crypthome /mnt/crypthome

Welche verschlüsselten Partitionen habe ich?

Sie können in der Datei /etc/crypttabnachsehen, welche LUKS Sie ebenfalls eingerichtet haben.

$ more /etc/crypttab  
luks-XXXXXXXX UUID=XXXXXXXX none

Gerät entleeren

Sie können auch luksDumpwie folgt verwenden:

$ sudo cryptsetup luksDump /dev/mapper/fedora-home
LUKS header information for /dev/mapper/fedora-home

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha1
Payload offset: 4096
MK bits:        512
MK digest:      XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
MK salt:        XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
                XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
MK iterations:  50625
UUID:           XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX

Key Slot 0: ENABLED
    Iterations:             202852
    Salt:                   XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
                            XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX 
    Key material offset:    8
    AF stripes:             4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

Wenn es sich nicht um ein LUKS-Gerät handelt, wird dies folgendermaßen gemeldet:

$ sudo cryptsetup luksDump /dev/mapper/fedora-root 
Device /dev/mapper/fedora-root is not a valid LUKS device.

Verweise

slm
quelle
1

Ich denke , der Schlüssel , um herauszufinden , ob es sich um eine LVM-over-LUKS ist, oder umgekehrt, ist die Reihenfolge der Krypta und LVM TYPEn in der Ausgabe des lsblkBefehls. Aufgrund dieser Überlegungen schließe ich, dass mein Setup ein LUKS-over-LVM ist . Die lsblkAusgabe für einen LVM-over-LUKS-Setup-Typ finden Sie in der Ausgabe von @frostschultz unten.

In meinem Fall hätte ich, da / dev / sda3 eine "Linux LVM" -Systempartition ist (Partitions-ID 8e), cryptsetup open --type plain /dev/sda3 SomeNamedie LVM direkt zuordnen sollen, indem ich den Befehl cryptsetup open /dev/disk/by-uuid/UUID-of-LV SomeNamecommand ausführe , um die LV direkt zu öffnen. Ich habe es versucht und es funktioniert wie erwartet.

Vielen Dank an alle, die dazu beigetragen haben, dass ich das verstehe.

NotSuperMan
quelle