Ubuntu
關於 Ubuntu、RAID1 和無頭伺服器中加密 LVM 的說明
我已經考慮在我的筆記型電腦和伺服器上加密我的硬碟很長一段時間了,但從來沒有考慮過,因為我認為我不了解加密如何影響我的日常使用以及設置和管理的複雜性。在繼續此處概述的教程之前,我希望能對我的問題進行一些澄清。
- 加密 LVM 是否等同於進行全盤加密?我很困惑,因為 Ubuntu 可以選擇進行 LVM 加密和加密主目錄。
- 一旦我啟動到作業系統,我可以訪問的文件是否等同於來自未加密 LVM 的文件?也就是說,我可以將文件複製到 USB 磁碟,通過 ssh、rsync 文件夾等傳輸它們,並讓傳輸的數據在其新位置(未加密)上有意義嗎?還是我必須做一些特別的事情才能在新位置使用這些文件?
- 在我的伺服器上,我目前使用硬體 RAID1 設置了兩個 1.5tb 磁碟。這實際上也是我第一次玩 RAID。使用帶有加密 LVM 的 RAID1 會使事情複雜化嗎?也就是說,這些說明適用嗎?
- 我的伺服器是遠端的(在學校),我並不總是可以物理訪問它。但是,如果我遠端重啟,我必須在作業系統啟動之前輸入密碼。你處理過這個嗎?這篇文章建議使用 early-ssh。
- 我計劃在不久的將來通過硬體 RAID1 向伺服器添加兩個 2tb 磁碟。當然,我也希望對新磁碟的內容進行加密。添加新磁碟會有多複雜,如何去做?是否可以將這兩個鏡像磁碟與原始磁碟“分開”?也就是說,是否可以拔下這些磁碟並將它們安裝在另一台電腦上?我將如何訪問加密的內容?
我期待著您的回音!謝謝!
請注意,我確實在教程的評論中提出了同樣的問題,但我想我會在這裡得到更多的回復和解釋。
1 - 在 Debian/Ubuntu 上使用加密的 LVM 時,會創建一個分區。在該分區上設置 DM-CRYPT,然後在加密的 DM-CRYPT 卷中創建一個 LVM 卷。如果您將它用於所有分區,那麼它基本上是全盤加密。
2 - 使用加密的 LVM,一旦系統啟動並安裝卷,之後的一切都是透明的。這確實意味著,如果有人能夠在系統打開並安裝驅動器時遠端破壞您的系統,那麼他們根本不知道或不關心加密。
3 - 使用帶有 DM-CRYPT 和 LVM 的軟體 RAID 很容易。我把它安裝在六個盒子上。設置 RAID,然後在 RAID 上設置加密卷,然後在加密卷上設置 LVM。
4 - 我還沒有找到一個好的解決方案。我想你可以做的一件事是想出一個基於 IP 的 KVM。那個早期的 SSH 工具看起來應該可以工作。
5
- 是的,您可以添加它們,這很容易。
- 設置 RAID,執行 cryptsetup,創建 LVM 卷組。如果要自動掛載,請更新 crypttab/fstab
- 將捲移動到另一個系統是 Linux 系統應該像移動物理驅動器並安裝它們一樣容易。
只需花一些時間閱讀以下文件。這一切都很容易。