내 raid6 mdadm을 암호화된 LUKS로 변환하고 싶습니다. 이제 raid6은 raid 파티션인 "/dev/sdX1"로 구성됩니다. /dev/md0에는 파티션이 없습니다. 이는 순수 ext4 FS입니다.
다시 암호화(cryptsetup-reencrypt /dev/md0)해도 안전합니까? LUKS는 데이터 손실/FS 손상을 일으킬 수 있는 특정 헤더를 추가합니까? 아니면 mdadm 위에 파티션(예: /dev/md0p1)이 있는 경우에만 안전합니까?
답변1
볼륨에는 LUKS 헤더가 있으므로 "LUKS 볼륨"이라고 합니다. 따라서 LUKS가 아닌 볼륨을 LUKS 볼륨으로 변환하면 추가 헤더가 생기고 데이터 공간이 손실됩니다.
LUKS 헤더는 다른 장치( --header)에 있을 수 있지만 지원되는지는 모르겠습니다 cryptsetup-reencrypt. 그러나 RAID에서 LUKS 헤더를 보존하고 싶을 가능성이 높습니다.
그러므로 당신은 반드시
파일 시스템 크기를 4MiB 이상 줄입니다.
cryptsetup-reencrypt다음과 함께--new실행됩니다 .--reduce-device-size
파일 시스템 크기를 그보다 조금 더 크게 줄이는 것이 좋습니다 --reduce-device-size(4MiB 이상이어야 할 것 같습니다).
나중에 암호화된 LUKS 데이터와 장치 끝 사이의 간격을 임의의 데이터로 덮어쓰고 싶을 수도 있습니다. 하지만 매우 조심하세요. 먼저 덮어쓰려는 블록을 백업해야 합니다(물론 다른 볼륨에).