page counter next up previous contents
Next: keyfile 存放檔案系統準備 Up: LUKS 加密根目錄 Previous: 根目錄檔案複製   Contents   DYWANG_HOME

根目錄 LUKS 加密

  1. 開機選單新增一根目錄為 luks-uuid 的檔案系統,核心參數指定 rd.luks.uuid 及 rd.luks.key,金鑰的格式是 <keypath>:<keydev> keydev 可用 UUID 或 LABEL,rd.luks.crypttab=no 指定不使用 /etc/crypttab 檔的 luks mapping 對應解密檔。 
    [root@kvm7 ~]# vim /boot/grub2/grub.cfg 
[root@kvm7 ~]# grep luks /boot/grub2/grub.cfg
	linux16 /vmlinuz-3.10.0-862.2.3.el7.x86_64
 root=/dev/mapper/luks-77472cc9-0dd3-4c4c-81ad-e0ecae7570b2 ro crashkernel=auto
 rd.lvm.lv=vg_kvm7usb/swap rhgb quiet rd.luks.uuid=77472cc9-0dd3-4c4c-81ad-e0ecae7570b2
 rd.luks.name=luks-root rd.luks.key=/keyfile:UUID="ad20c60f-2418-488b-950f-90fc56cc7792"
 rd.luks.crypttab=no
	initrd16 /initramfs-3.10.0-862.2.3.el7.x86_64-luks-root.img

	linux16 /vmlinuz-3.10.0-862.2.3.el7.x86_64 root=/dev/mapper/vg_kvm7usb-root ro
 crashkernel=auto rd.lvm.lv=vg_kvm7usb/root rd.lvm.lv=vg_kvm7usb/swap rhgb quiet
	initrd16 /initramfs-3.10.0-862.2.3.el7.x86_64.img
  2. 重新開機 
    [root@kvm7 ~]# reboot
  3. 重開機以 luks 選單開機,不用輸入密碼,開機後登入查看根目錄掛載在 /dev/dm-0。 加密分割區 /dev/vdb1 的 mapping luks-77472cc9-0dd3-4c4c-81ad-e0ecae7570b2,成功掛載在 / 根目錄。 
    [root@kvm7 ~]# df -h
Filesystem                  Size  Used Avail Use% Mounted on
/dev/dm-0                   2.0G  1.6G  440M  79% /
devtmpfs                    483M     0  483M   0% /dev
tmpfs                       496M     0  496M   0% /dev/shm
tmpfs                       496M  6.8M  490M   2% /run
tmpfs                       496M     0  496M   0% /sys/fs/cgroup
/dev/mapper/vg_kvm7home-vo   35M   33M  193K 100% /home
/dev/vda1                   197M  160M   38M  82% /boot
tmpfs                       100M     0  100M   0% /run/user/0
  4. 查看 /dev/dm-0 就是 luks 分割區 /dev/vdb1 的 mapping luks-77472cc9-0dd3-4c4c-81ad-e0ecae7570b2。 
    [root@kvm7 ~]# ll /dev/mapper/luks-77472cc9-0dd3-4c4c-81ad-e0ecae7570b2 
lrwxrwxrwx. 1 root root 7 Dec  5 20:56 /dev/mapper/luks-77472cc9-0dd3-4c4c-81ad-e0ecae7570b2 -> ../dm-0
[root@kvm7 ~]# lsblk /dev/vdb
NAME                                         MAJ:MIN RM SIZE RO TYPE  MOUNTPOINT
vdb                                          252:16   0   4G  0 disk  
└─vdb1                                       252:17   0   2G  0 part  
  └─luks-77472cc9-0dd3-4c4c-81ad-e0ecae7570b2
                                             253:0    0   2G  0 crypt /


De-Yu Wang 2020-05-14