Вопрос или проблема
Я добавил второй NVME на свой компьютер и расширил свой зашифрованный LVM том. Я использовал следующие команды для его расширения:
sudo pvcreate /dev/nvme0n1 << Новый диск
sudo vgextend castel-vg /dev/nvme0n1
sudo lvm lvextend -l +100%FREE /dev/castel-vg/root
sudo resize2fs -p /dev/mapper/castel--vg-root
Раздел хорошо расширен, и все работает нормально, но теперь, если я смотрю результат lsblk:
lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS
nvme1n1 259:0 0 3.6T 0 disk
├─nvme1n1p1 259:1 0 512M 0 part /boot/efi
├─nvme1n1p2 259:2 0 488M 0 part /boot
└─nvme1n1p3 259:3 0 3.6T 0 part
└─nvme0n1p3_crypt 254:0 0 3.6T 0 crypt
├─castel--vg-root 254:1 0 7.3T 0 lvm /
└─castel--vg-swap_1 254:2 0 976M 0 lvm [SWAP]
nvme0n1 259:4 0 3.6T 0 disk
└─castel--vg-root 254:1 0 7.3T 0 lvm /
Последние две строки вызывают у меня сомнение, что раздел castel--vg-root на диске nvme0n1 не использует слой шифрования LUKS. Есть ли какой-либо способ подтвердить, хорошо ли зашифрован расширенный раздел?
Обновление:
Пока я пытался нарисовать это, чтобы помочь прояснить свой вопрос (часть ??), я заметил, что мне также неясно, где находится crypt/LUKS. Является ли nvme0n1p3_crypt разделом или томом группы?
Нет, не является. Ваша группа томов в настоящее время построена на двух физических томах (PV), и только один из них в данный момент использует LUKS для шифрования (nvme0n1p3_crypt), а второй просто простой диск без какой-либо настроенной шифровки (nvme0n1). Это означает, что данные на вашем логическом томе root только частично зашифрованы — данные, которые LVM будет записывать на вашем первом PV, будут зашифрованы, данные, записанные на втором PV, не будут (поскольку вы изменили размер своего корневого LV, он теперь использует пространство на обоих PV).
Чтобы исправить это, я рекомендую начать заново (при условии, что вы еще не заполнили новое пространство на своем корневом LV) — уменьшите размер логического тома root (к счастью, это файловая система ext, поэтому она может быть уменьшена), удалите второй PV из вашей VG, и на этот раз перед повторным добавлением сначала создайте LUKS на нем (возможно добавить LUKS на существующее устройство, но повторное шифрование LUKS может быть довольно сложным, и в этом случае, вероятно, проще просто начать заново).
А после этого повторите ваши предыдущие шаги, но перед запуском pvcreate выполните:
cryptsetup luksFormat /dev/nvme0n1cryptsetup luksOpen /dev/nvme0n1 nvme0n1_cryptpvcreate /dev/mapper/nvme0n1_crypt
Затем используйте cryptsetup luksDump /dev/nvme0n1, чтобы получить UUID устройства LUKS и добавить его в /etc/crypttab, чтобы убедиться, что оно разблокировано во время загрузки. Убедитесь, что вы сгенерировали свой initramfs с использованием dracut -fv (в системах RHEL/Fedora это может быть иначе в разных дистрибутивах).
Ответ или решение
Для того чтобы ответить на вопрос о том, зашифрован ли ваш расширенный раздел LUKS, необходимо проанализировать структуру вашего хранилища и использование шифрования.
Понимание структуры
Исходя из приведенного вывода команды lsblk, можно увидеть следующую структуру вашего дискового хранилища:
nvme1n1– это новый диск, который вы добавили.nvme1n1p1– EFI раздел.nvme1n1p2– раздел загрузки.nvme1n1p3– основной раздел.nvme0n1p3_crypt– зашифрованный раздел.castel--vg-root– логический том, который служит корневым каталогом (/).castel--vg-swap_1– раздел подкачки.
Шифрование LUKS
Ваш вывод показывает, что логический том castel--vg-root размешен на двух физических томах (PVs). Согласно вашему описанию, только пристыкованный раздел nvme1n1p3 действительно зашифрован с использованием LUKS через слой nvme0n1p3_crypt. Ваша команда, которая создала nvme0n1 как физический том, не включает этапа шифрования, так как вы не использовали cryptsetup перед выполнением pvcreate.
Таким образом, в текущем состоянии ваши данные на логическом томе castel--vg-root распределены между зашифрованным разделом и незашифрованным разделом. Это означает, что часть данных доступна в открытом виде (незашифрованной), что представляет собой уязвимость для конфиденциальности ваших данных.
Рекомендации по исправлению ситуации
Если вы хотите обеспечить полное шифрование вашего логического тома, обратите внимание на следующие шаги:
-
Уменьшение логического тома
castel--vg-root:
Для этой операции вам нужно будет загрузиться с live-диска или с другого раздела, чтобы избежать потери данных. Используйтеresize2fsдля уменьшения раздела. -
Удаление второго физического тома:
Убедитесь, что вы освободили пространство, прежде чем удалить его из группы томов (VG). -
Шифрование нового физического тома:
Перед тем как снова использоватьpvcreate, выполните следующие команды:sudo cryptsetup luksFormat /dev/nvme0n1 sudo cryptsetup luksOpen /dev/nvme0n1 nvme0n1_crypt sudo pvcreate /dev/mapper/nvme0n1_crypt -
Обновление конфигурации:
После шифрования необходимо добавить новый UUID в файл/etc/crypttabи обновитьinitramfsдля обеспечения автоматического разблокирования при загрузке. -
Перемещение данных:
После того как новый физический том будет создан и добавлен, вы сможете переместить ваши данные в полностью зашифрованную конфигурацию.
Заключение
Ваши данные находятся в предшествующей конфигурации, в которой только часть уже зашифрована, и это представляет потенциальную угрозу безопасности. Рекомендуется выполнить описанные шаги для полной защиты данных с использованием LUKS. Вы так же можете изучить дополнительные параметры шифрования для создания более безопасной конфигурации.