전체 어레이가 LUKS를 사용하여 암호화되는 암호화된 RAID 1을 재구축하는 경우 이를 사용하기 위해 어레이의 암호를 해독하면 데이터가 계속 암호화됩니까, 아니면 어레이가 해독된 상태로 재구축됩니까?
답변1
이는 오해가 있거나 잘못된 용어로 보입니다.
/dev/sd*"전체 어레이에 대해 LUKS 암호화를 사용하는 암호화된 RAID 1"은 먼저 물리적 장치로 RAID 어레이를 구축하고 어레이 장치를 만든 다음 물리적 장치 위에 LUKS 암호화를 설정한다는 의미라고 가정합니다 . 어레이 장치. 다른 접근 방식도 가능합니다(즉, 여러 장치를 먼저 암호화한 다음 암호화된 장치 위에 RAID를 수행하는 것).
당신은 필요하지 않습니다암호 해독배열을 사용하려면 다음이 필요합니다.열려 있는그것.
cryptsetup luksOpen디스크의 데이터는 해독되지 않습니다. 암호화된 디스크/어레이 위에 장치 매퍼 레이어를 추가하여 dm-crypt디스크에서 동적으로 읽는 모든 내용을 해독하고 디스크에 쓰는 모든 내용을 암호화할 수 있습니다. 따라서 결과로 매핑된 장치를 암호화되지 않은 일반 디스크 또는 어레이처럼 사용할 수 있습니다. 디스크의 데이터는 암호화된 상태로 유지됩니다.
기본 디스크가 RAID 어레이인 경우 암호화 계층 "위"의 매핑된 장치와 암호화 계층 "아래"의 장치를 혼합하지 않도록 주의하면 됩니다. 소프트웨어 RAID 1도 비슷하게 작동하기 때문에 이는 그리 어렵지 않습니다. 즉, raid1구성 요소 장치 "아래"와 전체 배열을 나타내는 "위" 장치가 있는 장치 매퍼 계층이 있습니다. 그 목적은 "아래에 있는" 장치가 손상되지 않았거나 재구성 중인지 여부에 관계없이 배열 장치를 사용할 수 있다는 것입니다.
이 명령은 RAID, 디스크 암호화, LVM 및/또는 다중 경로의 조합을 사용하는 경우 dmsetup ls --tree -o blkdevname스토리지 구성을 이해하는 데 도움이 될 수 있습니다 .
다른 방법으로 진행하는 경우(예: 암호화 계층 "상단"에 RAID 구축) 먼저 교체 디스크에 암호화 계층을 다시 설정한 다음 그 위에 어레이를 다시 구축해야 합니다. 이 상황에서는 교체 RAID 구성 요소 장치의 암호화 계층이 실수로 무시되어 장치에서 암호화되지 않은 상태로 어레이가 재구축될 수 있습니다 /dev/sd*.
답변2
나는 의존한다... dm-crypt 블록 장치에서 소프트웨어 RAID를 사용하고 있고 새 드라이브가 dm-crypted되지 않은 경우 문제가 발생합니다. 내가 아는 한, 재건축은 다른 어떤 경우에도 안전합니다.