Red Hat Training

A Red Hat training course is available for RHEL 8

8.5. Encriptação de dados existentes em um dispositivo de bloco usando LUKS2 com um cabeçalho destacado

Este procedimento codifica os dados existentes em um dispositivo de bloco sem criar espaço livre para o armazenamento de um cabeçalho LUKS. O cabeçalho é armazenado em um local separado, o que também serve como uma camada adicional de segurança. O procedimento utiliza o formato de criptografia LUKS2.

Pré-requisitos

  • O dispositivo de bloco contém um sistema de arquivo.
  • Você fez backup de seus dados.

    Atenção

    Você pode perder seus dados durante o processo de criptografia: devido a um hardware, kernel, ou falha humana. Certifique-se de que você tenha um backup confiável antes de começar a criptografar os dados.

Procedimento

  1. Desmontar todos os sistemas de arquivo no dispositivo. Por exemplo:

    # umount /dev/sdb1
  2. Inicializar a criptografia:

    # cryptsetup reencrypt \
                 --encrypt \
                 --init-only \
                 --header /path/to/header \
                 /dev/sdb1 sdb1_encrypted

    Substituir /path/to/header por um caminho para o arquivo com um cabeçalho LUKS destacado. O cabeçalho LUKS destacado tem que ser acessível para que o dispositivo criptografado possa ser desbloqueado posteriormente.

    O comando lhe pede uma senha e inicia o processo de criptografia.

  3. Monte o dispositivo:

    # montar /dev/mapper/sdb1_encrypted /mnt/sdb1_encrypted
  4. Iniciar a criptografia online:

    # cryptsetup reencrypt --resume-only --header /path/to/header /dev/sdb1

Recursos adicionais

  • Para mais detalhes, consulte a página de manual cryptsetup(8).