LVM이 있는 볼륨 그룹에 두 개의 하드 드라이브가 있습니다. 이 볼륨 그룹의 모든 볼륨에는 LUKS 컨테이너가 포함되어 있습니다. 이 볼륨 그룹에 SSD를 LVM 캐시로 추가하면 캐시 장치의 모든 데이터가 암호화됩니까?
캐시된 콘텐츠를 검증하는 도구는 보너스 포인트를 얻을 수 있습니다.
답변1
LUKS 컨테이너를 캐싱하고 있으므로 캐시도 암호화됩니다.
나는 내 pv(실제 pv와 캐시로 사용되는 pv)가 luks 위에 있는 다른 설정을 사용하고 있습니다.
암호화되지 않고 캐시되지 않은 LVM:
[Disk 1 ]
[PV Data ]
[VG ]
[LV ]
[Filesyst]
LVM 캐시 사용은 암호화되지 않습니다.
[Disk 1 ] [Disk 2 ]
[PV Data ] [PV Cache ]
[VG ]
[LV ]-----------]
[Filesyst]
당신의:
[Disk 1 ] [Disk 2 ]
[PV Data ] [PV Cache ]
[VG ]
[LV ]-----------]
[LUKS ]
[Filesyst]
내 거:
[Disk 1 ] [Disk 2 ]
[LUKS ] [LUKS ]
[PV Data ] [PV Cache ]
[VG ]
[LV ]-----------]
[Filesyst]
두 변종 모두 매우 잘 암호화되어 LVM을 LUKS 위에 배치하거나 그 반대로 배치하라는 조언을 찾을 수 없었기 때문에 LUKS 위에 LVM을 설치하는 Fedora 기본값을 사용했습니다. (제 기억이 맞다면 데비안에는 기본적으로 다른 버전이 있습니다)
결함, 암호화된 데이터, 암호화되지 않은 캐시:
[Disk 1 ] [Disk 2 ]
[LUKS ] ⎡ unenc ⎤
[PV Data ] ⎣PV Cache ⎦
[VG ]
[LV ]-----------]
[Filesyst]
실제로 보너스 포인트는 아닙니다. 캐시 장치에서 photorec을 실행해 볼 수 있습니다. 그러나 이는 무언가를 찾을 수 있는 경우에만 캐시에 결함이 있음을 증명할 뿐이며, 찾을 수 없다고 캐시가 암호화되었다는 의미는 아닙니다. LVM 캐시는 순서가 지정된/"조각 모음" 데이터를 보관할 필요가 없기 때문에 상황이 더욱 어려워집니다.
답변2
이 볼륨 그룹에 SSD를 LVM 캐시로 추가하면 캐시 장치의 모든 데이터가 암호화됩니까?
예, LVM 캐시는 블록과 직접 작동하기 때문에 암호화됩니다. 기본 데이터가 무엇인지 전혀 모릅니다.
캐시된 콘텐츠를 검증하는 도구는 보너스 포인트를 얻을 수 있습니다.
Hex 편집기(hexedit, dhex 등)를 실행하고 논리 볼륨을 직접 엽니다. 암호화된 데이터는 노이즈처럼 보입니다.