내 Ubuntu 서버에 민감한 사용자 데이터를 위한 암호화된 파티션을 생성하려고 합니다.
서버에 소프트 레이드가 설정되어 있는데 그게 문제의 원인인 것 같아요.
운영체제를 설치한 후 암호화할 파티션을 확인해 보니 분실물 폴더만 들어 있었습니다. 나는 그것을 삭제하고 계속해서 파티션을 성공적으로 암호화했습니다.
두 설치 모두에서 SSH를 사용해 보기 전까지는 모든 것이 괜찮았습니다(디스크가 사용되지 않도록 복구 모드에서 암호화해야 했습니다).
연결 거부 오류가 계속 발생합니다.
복구 모드로 다시 연결하고 개방형 SSH를 다시 설치해 보기로 결정했습니다.
Systemctl 기본 명령이 계속 실패하고 서비스를 시작할 수 없습니다.
열린 SSH를 몇 번이나 지우고 다시 설치해도 작동하지 않습니다.
암호화하기 전에는 볼륨에 손실된 폴더만 포함되어 있었고 SSH는 제대로 작동했습니다. 나는 정말로 무슨 일이 일어나고 있는지 이해하지 못합니다.
모든 데이터를 저장할 수 있는 대용량 암호화 파티션으로 디스크를 설정하는 방법을 알려주세요.
(내 서버는 관리되지 않으므로 OS 설치 중에 ovh를 설정하도록 요청하는 것은 불행하게도 실제로는 선택 사항이 아닙니다.)
- - - 갱신 - - -
다른 방법으로 다시 시도해 봤습니다. 불행히도 결과는 동일합니다. Luks는 lvm in raid에서 잘 작동합니다. 암호화를 설정하는 동안 RAID 어레이를 계속 실행할 수 있도록 이것을 선택했습니다. 암호화를 추가하기 전, 레이드 볼륨의 내용은 '분실+발견'이라는 내용뿐이어서 암호화를 계속해도 안전할 것 같습니다. 시스템을 재부팅하기 전까지는 모든 것이 완벽해 보입니다. 호스트는 22일에 단순히 연결을 거부했습니다.
————— 문제를 발생시키기 위해 취한 단계——————
1. Set up Ubuntu 22.04 server with two volumes, both using software raid
2. Create a Physical Volume with LVM on the RAID: then turn RAID array into a physical volume (PV) that LVM can use:
sudo pvcreate /dev/md3
3. Create a Volume Group (VG) on the PV: Next, create a volume group:
sudo vgcreate myvg /dev/md3
4. Create a Logical Volume (LV) on the VG: can then create a logical volume on the VG:
sudo lvcreate -l 100%무료 -n mylv myvg
5. Encrypt the LV with LUKS: can now encrypt the logical volume:
sudo cryptsetup luksFormat /dev/myvg/mylv
6. Open the LUKS device: After setting up the encrypted LV, open it:
sudo cryptsetup open --type luks /dev/myvg/mylv cryptlv
7. Create a filesystem: Finally, create a filesystem on the mapped LUKS device:
sudo mkfs.ext4 /dev/mapper/cryptlv
8. Reboot server and attempt SSH connection.
답변1
첫 번째 습격을 인정하고 적절하게 처리해야 합니다.
올바른 설치를 위해서는 RAID 1이 포함된 40GB 포일 시스템에 3개의 드라이브에 미러링되어 설치되어야 합니다.
그런 다음 나머지 공간을 모두 사용하여 서로 다른 디스크에 두 개의 새 파티션을 설정해야 했습니다.
다른 사람들의 지침이 도움이 되었다고 생각하여 여기에 작성합니다.
물론, Ubuntu 머신의 남은 공간에 새로운 RAID 1 파티션을 생성하려면 아래 단계를 따르세요. 장치 이름( /dev/sdx
, /dev/sdy
)을 설정의 실제 장치 이름으로 바꾸십시오 .
사용 가능한 공간 확인:
lsblk
또는fdisk -l
명령을 사용하여 드라이브의 여유 공간을 확인합니다.드라이브 분할: 남은 공간이 있는 드라이브에 파티션을 사용하거나 생성합니다
fdisk
.gdisk
sudo fdisk /dev/sdx
fdisk
인터페이스 에서 :n
새 파티션 만들기를 누르세요 .p
기본 파티션을 선택 하려면 누릅니다 .- 파티션 번호와 시작 섹터에 대한 기본값을 수락합니다.
- 남은 공간을 활용하려면 끝 섹터를 지정하세요.
w
변경 사항을 기록하고 종료하려면 누르세요 .
두 번째 드라이브( )에 대해 이 단계를 반복합니다
/dev/sdy
.설치하다
mdadm
:mdadm
Linux에서 MD(소프트웨어 RAID) 장치를 관리하기 위한 도구를 아직 설치하지 않은 경우 설치합니다.sudo apt-get update sudo apt-get install mdadm
RAID 1 어레이 생성:
X
및 를Y
2단계에서 생성한 파티션 번호로 바꿉니다.sudo mdadm --create --verbose /dev/md0 --level=1 --raid-devices=2 /dev/sdxX /dev/sdyY
RAID 어레이 암호화는 Linux 온디스크 통합 키 세트 형식(LUKS)을 사용하여 수행할 수 있습니다. LUKS는 이러한 목표를 달성하는 데 도움이 되는 디스크 암호화 사양입니다.
cryptsetup
먼저 유틸리티가 설치되어 있는지 확인해야 합니다 . 그렇지 않은 경우 다음 명령을 실행하여 설치할 수 있습니다.
sudo apt-get update
sudo apt-get install cryptsetup
다음 단계는 LUKS를 사용하여 RAID 어레이를 포맷하는 것입니다. cryptsetup luksFormat
이를 위해 명령을 사용하십시오. 이렇게 하면 RAID 어레이의 모든 데이터가 지워집니다.
sudo cryptsetup luksFormat /dev/md1
비밀번호를 묻는 메시지가 표시됩니다. RAID 어레이의 데이터에 액세스하는 데 필요하므로 이 비밀번호를 기억해 두십시오.
RAID 어레이를 포맷한 후 LUKS 파티션을 열어야 합니다.
sudo cryptsetup luksOpen /dev/md1 md1_crypt
luksFormat
이 단계에서 설정한 비밀번호를 입력하라는 메시지가 표시됩니다 .
LUKS 파티션이 열리면 원하는 파일 시스템(예: ext4)으로 포맷할 수 있습니다.
sudo mkfs.ext4 /dev/mapper/md1_crypt
이제 파일 시스템을 마운트할 수 있습니다:
mkdir /mnt/secure_raid
mount /dev/mapper/md1_crypt /mnt/secure_raid
이제 기록된 모든 데이터는 /mnt/secure_raid
암호화된 RAID 어레이에 저장됩니다.
시스템이 다시 시작된 후에는 LUKS 파티션이 자동으로 열리거나 마운트되지 않습니다. LUKS 파티션을 수동으로 연 cryptsetup luksOpen
다음 마운트 해야 합니다 . 부팅 시 LUKS 파티션이 자동으로 열리고 마운트되도록 하려면 해당 파티션을 /etc/crypttab
및 /etc/fstab
파일에 추가해야 합니다.