使用 LUKS 重新加密未加密的 mdadm 陣列是否安全？

我想將我的 raid6 mdadm 轉換為加密的 LUKS。現在raid6由“/dev/sdX1”組成，它們是raid分區。/dev/md0 沒有分區 - 它是純 ext4 FS。

重新加密是否安全（cryptsetup-reencrypt /dev/md0）？LUKS 會添加一些可能導致數據失去/FS 損壞的特定標頭嗎？還是只有在 mdadm 之上有分區時才安全（即 /dev/md0p1）？

一個卷被稱為“LUKS 卷”，因為它有一個 LUKS 標頭。因此，如果您將非 LUKS 卷轉換為 LUKS 卷，那麼您確實會獲得額外的標頭並且確實會失去數據空間。

LUKS 標頭可以在不同的設備（--header）上，但我不知道是否cryptsetup-reencrypt支持。但很可能無論如何您都希望在 RAID 中擁有 LUKS 標頭。

因此你必須

1. 將文件系統大小減少至少 4MiB
2. 執行cryptsetup-reencrypt和--new_--reduce-device-size

我建議您將文件系統的大小減少一點，而不是值--reduce-device-size（我猜它必須是 4MiB 或更多）。

您可能希望之後用隨機數據覆蓋加密的 LUKS 數據和設備末端之間的間隙。但要非常小心。您應該首先對要覆蓋的塊進行備份（當然，備份到不同的捲）。

引用自：https://unix.stackexchange.com/questions/255881