22.2. RHEL 中的 LUKS 版本
在 Red Hat Enterprise Linux 中,LUKS 加密的默认格式为 LUKS2。旧的 LUKS1 格式仍被完全支持,并作为与早期 Red Hat Enterprise Linux 版本兼容的格式提供。与 LUKS1 重新加密相比,LUKS2 重新加密被视为更强大且更安全。
LUKS2 格式允许将来对各种部分的更新,而无需修改二进制结构。它在内部对元数据使用 JSON 文本格式,提供元数据的冗余,检测元数据损坏,并从元数据副本自动修复。
不要在只支持 LUKS1 的系统中使用 LUKS2,因为 LUKS2 和 LUKS1 使用不同的命令来加密磁盘。对 LUKS 版本使用错误的命令可能会导致数据丢失。
LUKS 版本 | 加密命令 |
---|---|
LUKS2 |
|
LUKS1 |
|
在线重新加密
LUKS2 格式支持在设备正在使用时重新加密加密设备。例如:您不必卸载该设备中的文件系统来执行以下任务:
- 更改卷密钥
更改加密算法
加密未加密的设备时,您仍然必须卸载文件系统。您可以在简短初始化加密后重新挂载文件系统。
LUKS1 格式不支持在线重新加密。
转换
在某些情况下,您可以将 LUKS1 转换为 LUKS2。在以下情况下无法进行转换:
-
LUKS1 设备被标记为被基于策略的解密(PBD) Clevis 解决方案使用。当检测到某些
luksmeta
元数据时,cryptsetup
工具不会转换设备。 - 设备正在活跃。在任何可能的转换前,设备必须处于不活跃状态。