Raid
在重建期間使用 LUKS 加密的 raid 1 是否安全?
如果我正在重建一個加密的 RAID 1,整個陣列用 LUKS 加密,如果我解密陣列以使用它,數據是否仍會被加密,或者陣列重建是否會被解密?
這看起來像是一種誤解,或者可能是不正確的術語。
我假設“使用 LUKS 加密整個陣列的加密 RAID 1”你的意思是你首先用物理
/dev/sd*設備建構了一個 RAID 陣列,創建了一個陣列設備,然後在上面設置了一個 LUKS 加密陣列設備。也可以採用其他方式(即首先加密多個設備,然後在加密設備之上進行 RAID)。您無需解密數組即可使用它:您需要打開它。
cryptsetup luksOpen不會解密磁碟上的數據。dm-crypt它在加密的磁碟/陣列之上添加了一個設備映射器層,該層可以解密您從磁碟中讀取的任何內容,並加密您通過它寫入的所有內容。因此,您可以像使用正常的未加密磁碟或陣列一樣使用生成的映射設備。磁碟上的數據仍然是加密的。如果底層磁碟是 RAID 陣列,您只需要注意不要將加密層“上方”的任何映射設備與它“下方”的設備混合。這應該不會太難,因為軟體 RAID 1 的工作原理類似:有一個設備映射
raid1層,組件設備“位於”它的“下方”,而代表整個陣列的設備“位於”它的“上方”。目的是無論“下面”的設備是完全完好還是正在重建,都可以使用相同的陣列設備。
dmsetup ls --tree -o blkdevname如果您將 RAID、磁碟加密、LVM 和/或多路徑組合使用,該命令有助於理解儲存配置。如果您以另一種方式完成(即RAID“在”加密層之上),那麼您需要先在替換磁碟上重新建立加密層,然後再讓陣列在其上重建。在這種情況下,可能會意外忽略替換 RAID 組件設備上的加密層,並讓陣列在
/dev/sd*設備上以未加密的方式重建。