Red Hat Training

A Red Hat training course is available for RHEL 8

22.5. 使用带有分离标头的 LUKS2 在块设备上加密现有数据

此流程在设备上加密现有数据,而无需为存储 LUKS 标头创建可用空间。标头存储在分离的位置,它也充当额外的安全层。该流程使用 LUKS2 加密格式。

先决条件

  • 块设备包含一个文件系统。

  • 已备份了数据。

    警告

    在加密过程中可能会丢失数据:由于硬件、内核或人为故障。在开始加密数据之前,请确保您有可靠的备份。

步骤

  1. 卸载该设备中的所有文件系统。例如: 

    # umount /dev/sdb1

  2. 初始化加密: 

    # cryptsetup reencrypt \
             --encrypt \
             --init-only \
             --header /path/to/header \
             /dev/sdb1 sdb1_encrypted

    /path/to/header 替换为使用分离的 LUKS 标头指向该文件的路径。必须可以访问分离的 LUKS 标头,以便稍后可以解锁加密的设备。

    该命令会要求您输入密码短语并启动加密过程。

  3. 挂载该设备: 

    # mount /dev/mapper/sdb1_encrypted /mnt/sdb1_encrypted

  4. 启动在线加密: 

    # cryptsetup reencrypt --resume-only --header /path/to/header /dev/sdb1

其他资源

  • cryptsetup(8) 手册页