Red Hat Training

A Red Hat training course is available for RHEL 8

17.4. Criptografia de dados existentes em um dispositivo de bloco usando LUKS2

Este procedimento criptografa os dados existentes em um dispositivo ainda não criptografado usando o formato LUKS2. Um novo cabeçalho LUKS é armazenado na cabeça do dispositivo.

Pré-requisitos

  • O dispositivo de bloco contém um sistema de arquivo.

  • Você fez backup de seus dados.

    Atenção

    Você pode perder seus dados durante o processo de criptografia: devido a um hardware, kernel, ou falha humana. Certifique-se de que você tenha um backup confiável antes de começar a criptografar os dados.

Procedimento

  1. Desmonte todos os sistemas de arquivo no dispositivo que você planeja criptografar. Por exemplo: 

    # umount /dev/sdb1

  2. Criar espaço livre para o armazenamento de um cabeçalho LUKS. Escolha uma das seguintes opções que se adapte ao seu cenário:

    • No caso de encriptar um volume lógico, você pode estender o volume lógico sem redimensionar o sistema de arquivo. Por exemplo, o volume lógico pode ser aumentado: 

      # lvextend -L 32M vg00/lv00
    • Ampliar a divisória utilizando ferramentas de gerenciamento de divisórias, tais como parted.
    • Encolha o sistema de arquivo no dispositivo. Você pode usar o utilitário resize2fs para os sistemas de arquivo ext2, ext3, ou ext4. Note que você não pode encolher o sistema de arquivo XFS.

  3. Inicializar a criptografia. Por exemplo: 

    # cryptsetup reencrypt \
             --encrypt \
             --init-only \
             --reduce-device-size 32M \
             /dev/sdb1 sdb1_encrypted

    O comando lhe pede uma senha e inicia o processo de criptografia.

  4. Monte o dispositivo: 

    # montar /dev/mapper/sdb1_encrypted /mnt/sdb1_encrypted

  5. Iniciar a criptografia online: 

    # criptasetup recriar -resumir apenas /dev/sdb1

Recursos adicionais

  • Para mais detalhes, consulte as páginas de manual cryptsetup(8), lvextend(8), resize2fs(8), e parted(8).