Red Hat Summit8.3. Opções para proteção de dados durante a re-encriptação LUKS2
LUKS2 fornece várias opções que priorizam o desempenho ou a proteção de dados durante o processo de reencriptação:
checksumEste é o modo padrão. Ele equilibra a proteção de dados e o desempenho.
Este modo armazena checksums individuais dos setores na área de reencriptação, para que o processo de recuperação possa detectar quais setores LUKS2 já foram reencriptados. Este modo exige que a gravação do setor do dispositivo de bloco seja atômica.
journal- Esse é o modo mais seguro, mas também o mais lento. Esta modalidade registra a área de reencriptação na área binária, portanto LUKS2 escreve os dados duas vezes.
none-
Este modo prioriza o desempenho e não oferece proteção de dados. Ele protege os dados somente contra o término seguro do processo, como o sinal
SIGTERMou a pressão do usuário Ctrl+C. Qualquer falha inesperada do sistema ou falha de aplicação pode resultar em corrupção de dados.
Você pode selecionar o modo usando a opção --resilience de cryptsetup.
Se um processo de reencriptação LUKS2 termina inesperadamente pela força, a LUKS2 pode realizar a recuperação de uma das seguintes formas:
-
Automaticamente, durante a próxima ação aberta do dispositivo LUKS2. Esta ação é acionada ou pelo comando
cryptsetup openou anexando o dispositivo comsystemd-cryptsetup. -
Manualmente, usando o comando
cryptsetup repairno dispositivo LUKS2.
