長い話を短く:CentOS 7で暗号化スワップブロックデバイスを安全に参照する方法は?
スワップデバイスをスイッチとして使用するCentOS 7.2 VMで暗号化されたスワップを設定しようとしています/dev/vdb。基本的には次のようにします。
echo "cryptswap1 /dev/vdb /dev/urandom swap,cipher=aes-cbc-essiv:sha256" >> /etc/crypttab
sed -i -e '/\bswap\b/d' /etc/fstab
echo "/dev/mapper/cryptswap1 none swap sw 0 0" >> /etc/fstab
reboot
これは非常にうまく機能します。追加の調整なしで項目が後ろからsystemd-cryptsetup-generator読み取られ、変換されます(参照crypttabこの問題いくつかの背景は少し異なります)。
懸念されるのは、デバイスを呼び出す必要があることです/dev/vdb。私はブロックデバイスがあちこち動いているのを見たことがあり(これはOpenStackで実行されているVMでした)、そのようなことが発生すると、誤って交換されたブロックデバイスの内容が元に戻せ/dev/vdbないほど壊れることがわかります!
ラベルごとにデバイスを参照するために、次のことを試しました。この素晴らしいアーチ記事残念ながら、CentOSおよび/または最新バージョンはブロックデバイスのプロパティを保存するオプションをサポートしていないcrypttabようですので、この方法は機能しません。--offset仮想パーティションを作成してみまし/dev/vdb1たが、役に立ちませんでした。
とても感謝しています!