私のDebian Linuxシステムでは、インストール中にディスク暗号化(通常のDebianインストール中に提供される暗号化)を使用することにしました。システムの起動時にパスワードを入力する必要があります。これにより、「実際の」起動が開始されます。
誰かがこの暗号化がどのように実行されるかを説明できますか?ファイルシステムレイアウトの前に発生しますか、それとも後に発生しますか?ディスク暗号化のためにLinuxで利用可能なすべてのファイルシステムを使用できますか?
これ/etc/mtab/Linuxで使用するよりも複雑なのは、ディスク暗号化に関連していると思いますが、実際にはわかりません。これは(私の考えでは)私に関連するコンテンツです。/etc/mtab:
/dev/sda1 /boot ext2 rw,relatime,errors=continue 0
/dev/mapper/archon-root / ext4 rw,noatime,errors=remount-ro,user_xattr,commit=300,barrier=1,data=ordered 0 0
rootfs / rootfs rw 0 0
/bootがext2である理由と/がext-4である理由を本当に理解していません。/dev/マッパー。
/boot自体はext4を使用できますか?
ZFSが利用可能か使用中であり、まだ暗号化を提供していますか?
ベストアンサー1
/boot
暗号化されていません(BIOSはそれを復号化できません...)。 ext4かもしれませんが、必ずしも必要ではありません。通常は作成されません。 BIOSはMBRからGRUBを読み取り、GRUBは/ bootからカーネルとinitramfsの残りの部分を読み取ります。 initramfs はパスワードの入力を求められます。 (おそらくcryptsetup
LUKSヘッダを使用しているでしょう。)
暗号化は1つのレイヤで行われます。次のようなファイルシステムdm-crypt(cryptsetupで使用する低レベルカーネルバックエンド)というものを使用しています。ここで、「dm」は「Device Mapper」を意味する。また、カーネルデバイスマッパー層によって実装されたLVMを使用しているようです。デフォルトでは、次のストレージスタックがあります。
1. /dev/sda2 (guessing it's 2, could be any partition other than 1)
2. /dev/mapper/sda2_crypt (dm-crypt layer; used as a PV for VG archon)
3. LVM (volume group archon)
4. /dev/mapper/archon-root (logical volume in group archon)
5. ext4
コマンドを使用してこれらの項目をすべて見つけることができますdmsetup
。たとえば、dmsetup ls
リストにどのDevice Mapperデバイスがあるかを教えてください。dmsetup info
いくつかの詳細が提供され、dmsetup table
マッピング層で実行される変換に関する技術的詳細が提供される。
これは、dm-cryptレイヤー(上記の#2)が暗号化を実行してデータを「マッピング」することです。したがって、/dev/mapper/sda2_crypt に書き込まれた内容はすべて、/dev/sda2 (物理ハードドライブ) に渡される前に暗号化されます。 /dev/sda2 から来るすべては、/dev/mapper/sda2_crypt に出る前に復号化されます。
したがって、すべての上位層はこの暗号化を透過的に使用します。これを使用する最初の上位層はLVMです。 LVMを使用してディスクを論理ボリュームに分割しています。ルートファイルシステムには(少なくとも)rootというファイルシステムがあります。これは通常のブロックデバイスなので、他のデバイスと同様に使用できます。生データまで含めて、必要なファイルシステムをそこに置くことができます。データは暗号化されて転送されます。
知っておくべきこと(マンページなどを確認):
/etc/crypttab
- LVM(一部の重要なコマンド:
lvs
、、、、)pvs
lvcreate
lvextend
cryptsetup