Red Hat Training
A Red Hat training course is available for RHEL 8
22.2. RHEL 中的 LUKS 版本
在 RHEL 中,LUKS 加密的默认格式是 LUKS2。旧版 LUKS1 格式仍然被完全支持,它是作为与早期 RHEL 版本兼容的格式提供的。
LUKS2 格式旨在启用各个部分的未来更新,而无需修改二进制结构。LUKS2 在内部对元数据使用 JSON 文本格式,提供元数据冗余,检测元数据的损坏,允许从元数据副本进行自动修复。
重要
不要在必须与只支持 LUKS1 的传统系统兼容的系统中使用 LUKS2。请注意,RHEL 7 从版本 7.6 起支持 LUKS2 格式。
警告
LUKS2 和 LUKS1 使用不同的命令加密该磁盘。对 LUKS 版本使用错误的命令可能会导致数据丢失。
| LUKS 版本 | 加密命令 |
|---|---|
| LUKS2 |
|
| LUKS1 |
|
在线重新加密
LUKS2 格式支持在设备正在使用时重新加密加密设备。例如:您不必卸载该设备中的文件系统来执行以下任务:
- 更改卷密钥
- 更改加密算法
加密未加密的设备时,您仍然必须卸载文件系统。您可以在简短初始化加密后重新挂载文件系统。
LUKS1 格式不支持在线重新加密。
转换
LUKS2 格式由 LUKS1 实现。在某些情况下,您可以将 LUKS1 转换为 LUKS2。在以下情况下无法进行转换:
-
LUKS1 设备被标记为由基于策略的解密(PBD - Clevis)解决方案使用。当检测到
luksmeta元数据时,cryptsetup工具会拒绝转换设备。 - 设备正在活跃。该设备必须处于不活跃状态,才能进行转换。