9.3. LUKS2 重新加密过程中数据保护选项
LUKS2 提供了几个选项,在重新加密过程中优先选择性能或数据保护。它为 resilience 选项提供以下模式,您可以使用 cryptsetup reencrypt --resilience Resilient-mode /dev/sdx 命令选择任何一种模式:
checksum默认模式。它在数据保护和性能之间保持平衡。
这个模式将扇区的单个校验和存储在重新加密区域中,恢复进程可以检测 LUKS2 重新加密的扇区。模式要求块设备扇区写入具有“原子”性。
journal- 最安全的模式,但也是最慢的模式。由于此模式将重新加密区域记录在二进制区域中,所以 LUKS2 将数据写入两次。
none-
none模式优先选择性能,不提供数据保护。它只保护数据免受安全进程终止,如SIGTERM信号或用户按 Ctrl+C 键。任何意外的系统故障或应用程序失败都可能会导致数据损坏。
如果 LUKS2 重新加密进程意外被强行终止,LUKU2 可通过以下方法执行恢复:
- 自动
在下一个 LUKS2 设备打开操作过程中,执行以下操作之一会触发自动恢复操作:
-
执行
cryptsetup open命令。 -
使用
systemd-cryptsetup命令附加设备。
-
执行
- 手动
-
通过在 LUKS2 设备上使用
cryptsetup repair /dev/sdx命令。
其他资源
-
您系统上的
cryptsetup-reencrypt (8)和cryptsetup-repair (8)手册页
