こんにちは。 LUKS暗号化について質問があります。 LUKSを使用してサーバーのディスクを暗号化しましたが、ファイルを作成してコンテンツを追加してファイルを分類すると、コンテンツはまだプレーンテキストです。ファイルのバックアップを作成して暗号化されていないハードドライブに保存しても、データはプレーンテキストのままです。暗号化が進んでいるかどうかを知る方法がわかりません。私は何を逃したことがありませんか?これがLUKSのしくみですか?
/dev/sdb: UUID="d7f667ed-50a4-4324-8708-6720d390bfd2" TYPE="crypto_LUKS"
[root@host1 ~]# cat /opt/my_encrypted_backup/test12
This is a test
[root@host1 ~]# clear
[root@host1 ~]# lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 8G 0 disk
├─sda1 8:1 0 1G 0 part /boot
└─sda2 8:2 0 7G 0 part
├─centos-root 253:0 0 6.2G 0 lvm /
└─centos-swap 253:1 0 820M 0 lvm [SWAP]
sdb 8:16 0 1G 0 disk
└─mybackup 253:2 0 1022M 0 crypt /opt/my_encrypted_backup
sr0 11:0 1 1024M 0 rom
[root@host1 ~]#
[root@host1 ~]#
[root@host1 ~]# blkid /dev/sdb
/dev/sdb: UUID="d7f667ed-50a4-4324-8708-6720d390bfd2" TYPE="crypto_LUKS"
[root@host1 ~]#
[root@host1 ~]#
[root@host1 ~]# cat /opt/my_encrypted_backup/test12
This is a test
[root@host1 ~]# cp /opt/my_encrypted_backup/test12 /
[root@host1 ~]# cat /test12
This is a test
[root@host1 ~]#
答え1
LUKS / dm-cryptはファイルシステムレベルではなくブロックデバイスレベルで動作するため、はい、そうです。そう動作します。
暗号化されたデバイス(あなたの場合)を開くと、/dev/sdbその上に新しい仮想デバイスマッパーデバイス(あなたの場合)が作成されます。プレーンテキストでデータにアクセスするために、/dev/mapper/mybackupすべてのデータがsdb暗号化されます。システムの観点からは、暗号化されていない一般的なファイルシステムが含まれており、その中のすべてが暗号化されていないため、システムは暗号化されたデータを処理でき、ディスクからデータを読み書きするすべてのアプリケーションをサポートします。追加の暗号化。mybackupmybackup
スレーブからデータを読み取ると、mybackupデバイスマッパー(カーネルモジュール)はスレーブからデータを読み取り、sdbそれを復号化してプレーンテキストとして返します。書き込みと同様に、プレーンテキストを作成し、書き込みmybackup前にsdb暗号化できます。したがって、デバイスの電源を入れると、ディスクのすべてのコンテンツにプレーンテキストでアクセスできます。
したがって、あなたのデータは、デバイスの電源が入っていない限り「安全」になります。 LUKS/dm-crypt(または一般的なディスク暗号化)の主な使用例は、ディスク(またはコンピュータ全体)が盗まれた場合にデータを保護することです。マスターキーはメモリに保存され、ユーザーが使用できるため、システムが稼働していてデバイスの電源が入っている間はデータを保護しませんdmsetup table --showkeys。