32.6. Création d'un pool Stratis crypté
Pour sécuriser vos données, vous pouvez créer un pool Stratis crypté à partir d'un ou de plusieurs périphériques en mode bloc.
Lorsque vous créez un pool Stratis crypté, le trousseau de clés du noyau est utilisé comme mécanisme de cryptage principal. Après les redémarrages ultérieurs du système, ce trousseau de clés du noyau est utilisé pour déverrouiller le pool Stratis crypté.
Lors de la création d'un pool Stratis crypté à partir d'un ou de plusieurs périphériques de bloc, il convient de tenir compte des points suivants :
-
Chaque bloc est crypté à l'aide de la bibliothèque
cryptsetup
et met en œuvre le formatLUKS2
. - Chaque pool Stratis peut avoir une clé unique ou partager la même clé avec d'autres pools. Ces clés sont stockées dans le trousseau de clés du noyau.
- Les blocs qui composent un pool Stratis doivent être soit tous chiffrés, soit tous non chiffrés. Il n'est pas possible d'avoir à la fois des blocs chiffrés et non chiffrés dans le même pool Stratis.
- Les périphériques de bloc ajoutés au niveau de données d'un pool Stratis crypté sont automatiquement cryptés.
Conditions préalables
- Stratis v2.1.0 ou une version ultérieure est installée. Pour plus d'informations, voir Installation de Stratis.
-
Le service
stratisd
est en cours d'exécution. - Les périphériques de bloc sur lesquels vous créez un pool Stratis ne sont pas utilisés et ne sont pas montés.
- Les périphériques de bloc sur lesquels vous créez un pool Stratis ont une taille d'au moins 1 Go chacun.
-
Sur l'architecture IBM Z, les périphériques de bloc
/dev/dasd*
doivent être partitionnés. Utilisez la partition dans le pool Stratis.
Pour plus d'informations sur le partitionnement des périphériques DASD, voir Configuration d'une instance Linux sur IBM Z.
Procédure
Effacez tout système de fichiers, table de partition ou signature RAID existant sur chaque périphérique bloc que vous souhaitez utiliser dans le pool Stratis :
# wipefs --all block-device
où
block-device
est le chemin d'accès au dispositif de blocage ; par exemple,/dev/sdb
.Si vous n'avez pas encore créé de jeu de clés, exécutez la commande suivante et suivez les invites pour créer un jeu de clés à utiliser pour le cryptage.
# stratis key set --capture-key key-description
où
key-description
est une référence à la clé créée dans le trousseau du noyau.Créez le pool Stratis crypté et indiquez la description de la clé à utiliser pour le cryptage. Vous pouvez également spécifier le chemin d'accès à la clé en utilisant l'option
--keyfile-path
au lieu de l'optionkey-description
au lieu d'utiliser l'option# stratis pool create --key-desc key-description my-pool block-device
où
key-description
- Fait référence à la clé qui existe dans le trousseau de clés du noyau, que vous avez créé à l'étape précédente.
my-pool
- Spécifie le nom du nouveau pool Stratis.
block-device
Spécifie le chemin d'accès à un bloc vide ou effacé.
NoteSpécifier plusieurs dispositifs de blocage sur une seule ligne :
# stratis pool create --key-desc key-description my-pool block-device-1 block-device-2
Vérifiez que le nouveau pool Stratis a été créé :
# stratis pool list