问题标签 [luks]

我在网上搜索了以下问题的明确答案，但找不到明确的“是”或“否”，或有关如何启用此方法的明确程序！

在两节点设置中，使用 DRBD 作为块设备复制技术，使用 OCFs2 作为集群文件系统（需要主动/主动 DRBD 模式），是否可以使用 LUKS 加密底层块设备，使其可以从集群中的任何节点？内核在启动时是否需要每个节点上的密码？如果没有，它是如何工作的？

提前感谢您的回复。

D.

我尝试在 Docker 容器中设置 Mandos，但因 dbus 错误而失败。可以在没有 dbus 的情况下运行服务器，但是 mandos-ctl 和 mandos-monitor 需要 dbus 才能运行。

我的 Dockerfile

构建它：docker build -t mandos-server .

如果我托管挂载/var/run/dbus并使用以下命令启动容器： docker run -v /dev/log:/dev/log -v /var/run/dbus:/var/run/dbus -it mandos-server bash并启动，mandos --debug我会收到以下错误：

二试：不挂载dbus启动容器docker run -v /dev/log:/dev/log -it mandos-server bash ，手动启动dbus： /etc/init.d/dbus start * Starting system message bus dbus [ OK ]

mandos --debug导致以下错误：

任何想法出了什么问题，也许是一个解决方案？

我的公司遇到了一个网络性能问题，似乎让我们正在与之合作的所有“专家”（VMWare 支持、RHEL 支持、我们的托管服务托管提供商）都陷入了困境。

问题是我们的虚拟机（甚至是驻留在同一物理主机上的虚拟机）之间的网络延迟会随着网络吞吐量的增加而增加——高达 100 倍或更多！例如，在没有任何网络负载的情况下，延迟（通过 ping 测量）可能约为 0.1 毫秒。开始传输几个 100MB 的文件，延迟增长到 1ms。在两个 VM 之间启动一堆（大约 20 个左右）并发数据传输，VM 之间的延迟可以增加到 10 毫秒以上。

这对我们来说是个大问题，因为我们有应用服务器虚拟机托管进程，每小时可能会针对数据库服务器（不同的虚拟机）发出 100 万次左右的查询。因此，为每个查询添加一两毫秒会大大增加我们的运行时间——有时会使我们的预期持续时间增加一倍或三倍。

我们已经有了我认为非常标准的环境：

• ESXi 6.0u2
• 4 个 Dell M620 刀片，配备 2 个 Xeon E5-2650v2 处理器和 128GB RAM
• SolidFire SAN

我们的基本虚拟机配置包括：

• RHEL7，最小安装
• 为 /boot、/、/var/log、/var/log/audit、/home、/tmp 和 swap 的挂载点配置了多个 LUN
• 除/boot 以外的所有分区都使用 LUKS 加密（通过 LVM）

我们的数据库服务器虚拟机正在运行 Postgres 9.4。

我们已经尝试了以下方法：

• 将虚拟网卡从 VMNETx3 更改为 e1000 并返回
• 调整 RHEL 以太网堆栈设置
• 为虚拟机使用 ESXi 的“低延迟”选项
• 将我们的主机和 vCenter 从 ESX 5.5 升级到 6.0u2
• 创建准系统虚拟机（使用 LUKS 等进行上述设置，但没有我们的任何生产服务）用于测试
• 将数据存储从 SSD SolidFire SAN 移动到本地（刀片上）旋转存储

这些都没有改善网络延迟。唯一显示预期（非恶化）延迟的测试是当我们设置第二对没有LUKS 加密的准系统 VM时。不幸的是，我们需要完全加密的分区（我们为其管理密钥），因为我们正在处理受监管的敏感数据。

我不明白 LUKS——就其本身而言——在这里应该受到责备。相反，我怀疑使用 ESX、我们的托管硬件和/或我们的 VM 硬件配置的某种组合运行的 LUKS 是罪魁祸首。

我在一个更简陋的环境中进行了测试（MacBook Pro、i5、8GB RAM、VMWare Fusion 6.0、Centos7 虚拟机配置与 LVM 上的 LUKS 和相同的测试脚本类似）并且无法重现延迟问题。无论我在虚拟机之间发送多少网络流量，延迟都保持稳定在 0.4 毫秒左右。这是在一台笔记本电脑上，发生了很多事情！

任何指针/提示/解决方案将不胜感激！

我正在尝试使用库libcryptsetup加密Beaglebone中的内存设备分区，但我无法将密钥插槽添加到格式化的分区。

这个函数总是返回一个负值并且无法添加一个键槽，但同样的函数在我的 Ubuntu PC 上运行良好。

建议我解决这个问题的方法。

我正在以编程方式调用 cryptsetup 并希望在命令行（不是交互式）按需传递密钥文件。

如何使用 cryptsetup 和 luks 在命令行中获取密钥文件？

我有一个LUKS加密设备，密钥槽如下：

0 - 前同事的密码 1 - 前同事的密钥文件 4 - 我的新密码 5 - 我的新密钥文件

我知道我可以删除我的 OWN 凭据：

和：

分别 - 但我想禁用键槽 0 和 1。我试过了

但它删除了插槽 5，而不是插槽 0。幸运的是，我仍然有插槽 4 ...

谢谢

。R M

需要在 AWS 的 debian OS 上使用luks加密实例根卷。

有可能这样做吗？需要帮助 ！！！提前致谢。

请考虑一下，我不是指 AWS 对根卷的加密。

我正在对 IBM 图形进行一些研究，但找不到在休息和传输中使用的加密类型。提前致谢

我是一名开发人员。我正在运行 Debian，并且我的项目有 LUKS 存储。它使用 512 位 AES 密钥加密。我使用密码来解密这个存储。但是，密码很强大，我每 N 个月更改一次。我想要做的是为我的存储创建另一个密钥（LUKS 允许它）并将其存储在我的 USB 驱动器盒中的某个位置（其中大约有一百个不问我为什么）作为备份计划，如果我忘记密码或会需要让某人在不告诉实际密码的情况下打开存储。

我的第一个最简单的解决方案是创建这样的东西：第一个分区是 vfat 使用 99% 的空间。最后一个 1% 大小的分区将只保存密钥文件。我什至可以编写一个类似“插入恢复密钥”的脚本来查找 FS ID。这对 Windows 用户来说并不可疑，但我认为我可以做得更好。所以现在的问题是：如何更好地执行它（更好的安全性）？我最好的想法是在分区之间或在一个大分区之后写入 512 位密钥，而不为密钥创建另一个分区，但问题是我不确定这些数据是否可以被覆盖（FS 没有使用它所以它可以用于其他用途？）。而且我真的不知道以后如何访问它（我猜'dd'可以从确切的块中读取确切的长度）。

我使用本指南设置了 RAID：https ://wiki.debian.org/SoftwareRAID在最小的 Stretch 安装上。在那之后，我cryptsetup luksFormat'ed /dev/md0（不使用LVM）。

问题是加密分区没有自动解锁。

我的/etc/crypttab样子是这样的：

这会在启动期间从 USB 驱动器加载密钥并解锁 LUKS 分区。它适用于sda2_crypt（rootfs），但不适用于raid。

我的猜测是此时未加载 mdadm，因此 RAID 设备不存在。当机器启动时cryptdisks_start raid工作正常。我认为日志的相关部分是这样的：

我试图强迫cryptsetup.target等待，systemd-cryptsetup@raid.service但没有奏效。

这是我第一次使用 systemd，我真的可以使用一些帮助 :) 谢谢！