Ext4
使用 LUKS 重新加密未加密的 mdadm 陣列是否安全?
我想將我的 raid6 mdadm 轉換為加密的 LUKS。現在raid6由“/dev/sdX1”組成,它們是raid分區。/dev/md0 沒有分區 - 它是純 ext4 FS。
重新加密是否安全(cryptsetup-reencrypt /dev/md0)?LUKS 會添加一些可能導致數據失去/FS 損壞的特定標頭嗎?還是只有在 mdadm 之上有分區時才安全(即 /dev/md0p1)?
一個卷被稱為“LUKS 卷”,因為它有一個 LUKS 標頭。因此,如果您將非 LUKS 卷轉換為 LUKS 卷,那麼您確實會獲得額外的標頭並且確實會失去數據空間。
LUKS 標頭可以在不同的設備(
--header
)上,但我不知道是否cryptsetup-reencrypt
支持。但很可能無論如何您都希望在 RAID 中擁有 LUKS 標頭。因此你必須
- 將文件系統大小減少至少 4MiB
- 執行
cryptsetup-reencrypt
和--new
_--reduce-device-size
我建議您將文件系統的大小減少一點,而不是值
--reduce-device-size
(我猜它必須是 4MiB 或更多)。您可能希望之後用隨機數據覆蓋加密的 LUKS 數據和設備末端之間的間隙。但要非常小心。您應該首先對要覆蓋的塊進行備份(當然,備份到不同的捲)。