20.2. RHEL 中的 LUKS 版本
在 Red Hat Enterprise Linux 中,LUKS 加密的默认格式为 LUKS2。旧的 LUKS1 格式仍被完全支持,并作为与早期 Red Hat Enterprise Linux 版本兼容的格式提供。与 LUKS1 重新加密相比,LUKS2 重新加密被视为更健壮且更安全。
LUKS2 格式允许将来对各个部分的更新,而无需修改二进制结构。它在内部对元数据使用 JSON 文本格式,提供元数据的冗余,检测元数据损坏,并从元数据副本自动修复。
重要
不要在只支持 LUKS1 的系统中使用 LUKS2。
从 Red Hat Enterprise Linux 9.2 开始,您可以对两个 LUKS 版本使用 cryptsetup reencrypt 命令来加密磁盘。
在线重新加密
LUKS2 格式支持在设备正在使用时重新加密加密设备。例如:您不必卸载该设备中的文件系统来执行以下任务:
- 更改卷密钥
更改加密算法
加密未加密的设备时,您仍然必须卸载文件系统。您可以在简短初始化加密后重新挂载文件系统。
LUKS1 格式不支持在线重新加密。
转换
在某些情况下,您可以将 LUKS1 转换为 LUKS2。在以下情况下无法进行转换:
-
LUKS1 设备被标记为在由基于策略的解密(PBD) Clevis 解决方案使用。当检测到某些
luksmeta元数据时,cryptsetup工具不会转换设备。 - 设备正在活跃。在可能任何转换前,设备必须处于不活跃状态。
