19.4. Chiffrement des données existantes sur un dispositif de blocage à l'aide de LUKS2
Vous pouvez crypter les données existantes sur un dispositif non encore crypté en utilisant le format LUKS2. Un nouvel en-tête LUKS est stocké dans la tête du dispositif.
Conditions préalables
- L'unité de bloc dispose d'un système de fichiers.
Vous avez sauvegardé vos données.
AvertissementVous pouvez perdre vos données au cours du processus de cryptage en raison d'une défaillance matérielle, du noyau ou d'une défaillance humaine. Assurez-vous de disposer d'une sauvegarde fiable avant de commencer à chiffrer les données.
Procédure
Démontez tous les systèmes de fichiers sur le périphérique que vous prévoyez de chiffrer, par exemple :
# umount /dev/mapper/vg00-lv00
Libérez de l'espace pour stocker un en-tête LUKS. Utilisez l'une des options suivantes en fonction de votre scénario :
Dans le cas du chiffrement d'un volume logique, vous pouvez étendre le volume logique sans redimensionner le système de fichiers. Par exemple, il est possible d'étendre un volume logique sans redimensionner le système de fichiers :
# lvextend -L 32M /dev/mapper/vg00-lv00
-
Étendez la partition en utilisant des outils de gestion de partition, tels que
parted
. -
Réduisez le système de fichiers sur le périphérique. Vous pouvez utiliser l'utilitaire
resize2fs
pour les systèmes de fichiers ext2, ext3 ou ext4. Notez que vous ne pouvez pas réduire le système de fichiers XFS.
Initialiser le cryptage :
# cryptsetup reencrypt --encrypt --init-only --reduce-device-size 32M /dev/mapper/vg00-lv00 lv00_encrypted /dev/mapper/lv00_encrypted is now active and ready for online encryption.
Monter l'appareil :
# mount /dev/mapper/lv00_encrypted /mnt/lv00_encrypted
Ajouter une entrée pour un mappage persistant au fichier
/etc/crypttab
:Trouver le site
luksUUID
:# cryptsetup luksUUID /dev/mapper/vg00-lv00 a52e2cc9-a5be-47b8-a95d-6bdf4f2d9325
Ouvrez
/etc/crypttab
dans un éditeur de texte de votre choix et ajoutez un dispositif dans ce fichier :$ vi /etc/crypttab lv00_encrypted UUID=a52e2cc9-a5be-47b8-a95d-6bdf4f2d9325 none
Remplacez a52e2cc9-a5be-47b8-a95d-6bdf4f2d9325 par le site
luksUUID
de votre appareil.Rafraîchir les initramfs avec
dracut
:$ dracut -f --regenerate-all
Ajouter une entrée pour un montage persistant au fichier
/etc/fstab
:Recherchez l'UUID du système de fichiers du périphérique bloc LUKS actif :
$ blkid -p /dev/mapper/lv00_encrypted /dev/mapper/lv00-encrypted: UUID="37bc2492-d8fa-4969-9d9b-bb64d3685aa9" BLOCK_SIZE="4096" TYPE="xfs" USAGE="filesystem"
Ouvrez
/etc/fstab
dans un éditeur de texte de votre choix et ajoutez un dispositif dans ce fichier, par exemple :$ vi /etc/fstab UUID=37bc2492-d8fa-4969-9d9b-bb64d3685aa9 /home auto rw,user,auto 0
Remplacez 37bc2492-d8fa-4969-9d9b-bb64d3685aa9 par l'UUID de votre système de fichiers.
Reprendre le cryptage en ligne :
# cryptsetup reencrypt --resume-only /dev/mapper/vg00-lv00 Enter passphrase for /dev/mapper/vg00-lv00: Auto-detected active dm device 'lv00_encrypted' for data device /dev/mapper/vg00-lv00. Finished, time 00:31.130, 10272 MiB written, speed 330.0 MiB/s
Vérification
Vérifier si les données existantes ont été cryptées :
# cryptsetup luksDump /dev/mapper/vg00-lv00 LUKS header information Version: 2 Epoch: 4 Metadata area: 16384 [bytes] Keyslots area: 16744448 [bytes] UUID: a52e2cc9-a5be-47b8-a95d-6bdf4f2d9325 Label: (no label) Subsystem: (no subsystem) Flags: (no flags) Data segments: 0: crypt offset: 33554432 [bytes] length: (whole device) cipher: aes-xts-plain64 [...]
Affichez l'état du dispositif de bloc vierge crypté :
# cryptsetup status lv00_encrypted /dev/mapper/lv00_encrypted is active and is in use. type: LUKS2 cipher: aes-xts-plain64 keysize: 512 bits key location: keyring device: /dev/mapper/vg00-lv00
Ressources supplémentaires
-
cryptsetup(8)
,cryptsetup-reencrypt(8)
,lvextend(8)
,resize2fs(8)
, etparted(8)
pages de manuel