Mã hóa một phân vùng hiện có trong Linux trong khi bảo quản dữ liệu của nó

11

Nếu tôi có một phân vùng như / dev / hd1 không được mã hóa và muốn nó được mã hóa, nhưng muốn giữ mọi thứ hiện tại trong phân vùng đó, làm thế nào tôi có thể làm điều đó?

linux encryption

— greg
nguồn

Câu hỏi tương tự trên UNIX.SE: Có cách nào để mã hóa đĩa mà không cần định dạng không?

— maxschlepzig

4

Dường như không có một giải pháp để làm điều đó tại chỗ. Truecrypt chỉ cung cấp mã hóa hệ thống cho các cửa sổ, dm-crypt ghi đè lên các phân vùng. Đặt cược tốt nhất của bạn sẽ là di chuyển mọi thứ từ phân vùng đó vào một bản sao lưu cp -a, tạo một phân vùng được mã hóa với luks / dm-crypt và di chuyển mọi thứ trở lại.

— người dùng54114
nguồn

1

rsyncphù hợp hơn so cpvới loại hoạt động này, vì nó có các tùy chọn để loại trừ các thư mục cụ thể, xử lý các loại tệp cụ thể, v.v.

— ccpizza

14

Vì điều này xuất hiện gần đầu kết quả của google, thêm giải pháp:

LUKS mã hóa tại chỗ thông qua http://www.johannes-bauer.com/linux/luksipc/

— jwilkins
nguồn

Tác giả luksipc hiện nay khuyên bạn nên sử dụng lệnh reencrypt ngược dòng crytsetup .

— maxschlepzig

6

Điều này là tầm thường nếu bạn chọn đồng bằng dm-crypt. Đó là rủi ro - nếu nó không thành công giữa chừng (cắt điện hoặc bất cứ điều gì) thì bạn sẽ bị nhồi!

Đảm bảo thiết bị thô không được gắn sau đó tạo một thiết bị được mã hóa cho thiết bị đó và sử dụng ddđể sao chép từ thiết bị thô sang thiết bị được mã hóa:

$ cryptsetup open /dev/sda sda-crypt --type plain
$ dd if=/dev/sda of=/dev/mapper/sda-crypt bs=512

Dữ liệu bản rõ được đọc từ /dev/sdavà ghi vào trình ánh xạ thiết bị /dev/mapper/sda-crypt, mã hóa nó và ghi lại /dev/sda, ghi đè lên dữ liệu bản rõ đã đọc.

Nó có thể sẽ mất một thời gian do nó đọc và ghi toàn bộ đĩa.

— đầy sao
nguồn

Làm thế nào để bạn gắn kết?

— joedborg

bạn gắn kết mount /dev/mapper/sda-crypt /mnthoặc bất cứ điểm nào bạn cần. Tất nhiên, bạn phải mở khóa /dev/sdađầu tiên, như được hiển thị ở trên.

— starfry

1

Trên thực tế, bạn có thể chuyển đổi từ một phân vùng hệ thống tập tin đơn giản sang dm-crypt.

Nhưng đó là rủi ro và cồng kềnh.

Có một hướng dẫn lỗi thời ở đây: https://help.ubfox.com/community/EncryptedFilesystemHowto7

Dm-crypt ánh xạ một khối thành một khối, vì vậy về mặt lý thuyết là có thể thực hiện được. Luks là một thùng chứa thân thiện với người dùng sử dụng dm-crypt bên trong nó. Phân vùng luks chứa tiêu đề và phân vùng dm-crypt bên trong nó, nơi hệ thống tệp được mã hóa thực sự sống.

Cảnh báo:

Nếu bạn chọn đi Luks thì nhiệm vụ của bạn thậm chí còn khó hơn và bạn sẽ cần phải biết chính xác dữ liệu dm-crypt trước bao nhiêu so với việc bắt đầu phân vùng chính thức.
Trong mọi trường hợp, nếu hệ thống của bạn gặp sự cố hoặc tạm dừng trong quá trình bạn mất dữ liệu

Tham khảo thêm:

http://www.richardneill.org/a22p-mdk11-0.php#encrypt2

http://www.saout.de/tikiwiki/tiki-index.php?page=EncryptEx hiệnDevice

— người dùng39559
nguồn