私のraid6 mdadmを暗号化されたLUKSに変換したいです。 raid6は、raidパーティション「/dev/sdX1」で構成されます。 /dev/md0 にパーティションはありません。これは純粋なext4 FSです。
再暗号化(cryptsetup-reencrypt /dev/md0)しても安全ですか? LUKSは、データ損失/FS破損を引き起こす可能性がある特定のヘッダーを追加しますか?それとも、mdadmの上にパーティション(例えば/ dev / md0p1)がある場合にのみ安全ですか?
ベストアンサー1
ボリュームにはLUKSヘッダーがあるため、「LUKSボリューム」と呼ばれます。したがって、LUKS 以外のボリュームを LUKS ボリュームに変換すると、追加のヘッダーが生成され、データスペースが失われます。
LUKSヘッダーは他のデバイス(--header)にあるかもしれませんが、サポートされているかどうかはわかりませんcryptsetup-reencrypt。しかし、RAIDでLUKSヘッダを保存したいと思うかもしれません。
だからあなたは必ず
ファイルシステムのサイズを4MiB以上小さくします。
cryptsetup-reencrypt次のように--new実行されます。--reduce-device-size
ファイルシステムのサイズをそれより少し大きく減らすことをお勧めします--reduce-device-size(4MiB以上でなければならないようです)。
後で暗号化されたLUKSデータとデバイスの終わりの間の間隔を任意のデータで上書きしたい場合があります。しかし、非常に注意してください。まず、上書きするブロックをバックアップする必要があります(もちろん別のボリュームに)。