17.4. Criptografia de dados existentes em um dispositivo de bloco usando LUKS2
Este procedimento criptografa os dados existentes em um dispositivo ainda não criptografado usando o formato LUKS2. Um novo cabeçalho LUKS é armazenado na cabeça do dispositivo.
Pré-requisitos
- O dispositivo de bloco contém um sistema de arquivo.
Você fez backup de seus dados.
AtençãoVocê pode perder seus dados durante o processo de criptografia: devido a um hardware, kernel, ou falha humana. Certifique-se de que você tenha um backup confiável antes de começar a criptografar os dados.
Procedimento
Desmonte todos os sistemas de arquivo no dispositivo que você planeja criptografar. Por exemplo:
# umount /dev/sdb1Criar espaço livre para o armazenamento de um cabeçalho LUKS. Escolha uma das seguintes opções que se adapte ao seu cenário:
No caso de encriptar um volume lógico, você pode estender o volume lógico sem redimensionar o sistema de arquivo. Por exemplo, o volume lógico pode ser aumentado:
# lvextend -L 32M vg00/lv00
-
Ampliar a divisória utilizando ferramentas de gerenciamento de divisórias, tais como
parted. -
Encolha o sistema de arquivo no dispositivo. Você pode usar o utilitário
resize2fspara os sistemas de arquivo ext2, ext3, ou ext4. Note que você não pode encolher o sistema de arquivo XFS.
Inicializar a criptografia. Por exemplo:
# cryptsetup reencrypt \ --encrypt \ --init-only \ --reduce-device-size 32M \ /dev/sdb1 sdb1_encryptedO comando lhe pede uma senha e inicia o processo de criptografia.
Monte o dispositivo:
# montar /dev/mapper/sdb1_encrypted /mnt/sdb1_encrypted
Iniciar a criptografia online:
# criptasetup recriar -resumir apenas /dev/sdb1
Recursos adicionais
-
Para mais detalhes, consulte as páginas de manual
cryptsetup(8),lvextend(8),resize2fs(8), eparted(8).
