Red Hat Training

A Red Hat training course is available for RHEL 8

10.3. LUKS2 再暗号化中のデータ保護のオプション

LUKS2 では、再暗号化プロセスで、パフォーマンスやデータ保護の優先度を設定する複数のオプションを選択できます。LUKS2 は、次のモードの resilience オプションを備えています。cryptsetup reencrypt --resilience resilience-mode /dev/sdx コマンドを使用すると、これらのモードのいずれかを選択できます。

checksum

デフォルトのモード。データ保護とパフォーマンスのバランスを取ります。

このモードでは、再暗号化領域内のセクターのチェックサムが個別に保存されます。チェックサムは、LUKS2 によって再暗号化されたセクターについて、復旧プロセスで検出できます。このモードでは、ブロックデバイスセクターの書き込みがアトミックである必要があります。

journal
最も安全なモードですが、最も遅いモードでもあります。このモードでは、再暗号化領域をバイナリー領域にジャーナル化するため、LUKS2 はデータを 2 回書き込みます。
none
none モードではパフォーマンスが優先され、データ保護は提供されません。SIGTERM シグナルやユーザーによる Ctrl+C キーの押下など、安全なプロセス終了からのみデータを保護します。予期しないシステム障害やアプリケーション障害が発生すると、データが破損する可能性があります。

LUKS2 の再暗号化プロセスが強制的に突然終了した場合、LUKS2 は以下のいずれかの方法で復旧を実行できます。

自動

次のいずれかのアクションを実行すると、次回の LUKS2 デバイスを開くアクション中に自動復旧アクションがトリガーされます。

  • cryptsetup open コマンドを実行する。
  • systemd-cryptsetup コマンドを使用してデバイスを接続する。
手動
LUKS2 デバイスで cryptsetup repair /dev/sdx コマンドを使用する。

関連情報

  • cryptsetup-reencrypt(8) および cryptsetup-repair(8) man ページ