17.5. Encriptação de dados existentes em um dispositivo de bloco usando LUKS2 com um cabeçalho destacado
Este procedimento codifica os dados existentes em um dispositivo de bloco sem criar espaço livre para o armazenamento de um cabeçalho LUKS. O cabeçalho é armazenado em um local separado, o que também serve como uma camada adicional de segurança. O procedimento utiliza o formato de criptografia LUKS2.
Pré-requisitos
- O dispositivo de bloco contém um sistema de arquivo.
Você fez backup de seus dados.
AtençãoVocê pode perder seus dados durante o processo de criptografia: devido a um hardware, kernel, ou falha humana. Certifique-se de que você tenha um backup confiável antes de começar a criptografar os dados.
Procedimento
Desmontar todos os sistemas de arquivo no dispositivo. Por exemplo:
# umount /dev/sdb1
Inicializar a criptografia:
# cryptsetup reencrypt \ --encrypt \ --init-only \ --header /path/to/header \ /dev/sdb1 sdb1_encrypted
Substituir /path/to/header por um caminho para o arquivo com um cabeçalho LUKS destacado. O cabeçalho LUKS destacado tem que ser acessível para que o dispositivo criptografado possa ser desbloqueado posteriormente.
O comando lhe pede uma senha e inicia o processo de criptografia.
Monte o dispositivo:
# montar /dev/mapper/sdb1_encrypted /mnt/sdb1_encrypted
Iniciar a criptografia online:
# cryptsetup reencrypt --resume-only --header /path/to/header /dev/sdb1
Recursos adicionais
-
Para mais detalhes, consulte a página de manual
cryptsetup(8)
.