Шифровать существующий раздел в Linux, сохраняя его данные

11

Если у меня есть раздел вроде / dev / hd1, который не зашифрован, и я хочу, чтобы он был зашифрован, но я хочу сохранить все содержимое этого раздела, как я могу это сделать?

linux encryption Greg
источник
Аналогичный вопрос в UNIX.SE: есть ли способ зашифровать диск без его форматирования?
maxschlepzig

Ответы:

4

Кажется, не существует решения, чтобы сделать это на месте. Truecrypt предлагает системное шифрование только для окон, dm-crypt перезаписывает разделы. Лучше всего было бы переместить все из этого раздела в резервную копию cp -a, создать зашифрованный раздел с помощью luks / dm-crypt и переместить все обратно.

user54114
источник
1
rsyncболее подходит, чем cpдля операций такого типа, поскольку в нем есть опции для исключения определенных папок, обработки определенных типов файлов и т. д.
ccpizza
14

Так как это подходит к вершине результатов Google, добавим решение:

УДАЧИ в месте шифрования через http://www.johannes-bauer.com/linux/luksipc/

jwilkins
источник
В настоящее время автор luksipc рекомендует использовать команду upstream crytsetup reencrypt .
maxschlepzig
6

Это тривиально, если вы выбираете обычный dm-crypt. Это рискованно - если это не удастся на полпути (отключение питания или что-то еще), то вы забиты!

Убедитесь, что необработанное устройство не смонтировано, затем создайте для него зашифрованное устройство и используйте его ddдля копирования с необработанного устройства на зашифрованное:

$ cryptsetup open /dev/sda sda-crypt --type plain
$ dd if=/dev/sda of=/dev/mapper/sda-crypt bs=512

Данные открытого текста считываются /dev/sdaи записываются в устройство отображения, /dev/mapper/sda-cryptкоторое шифрует их и записывает обратно /dev/sda, перезаписывая данные открытого текста, которые были прочитаны.

Скорее всего, это займет некоторое время из-за чтения и записи всего диска.

starfry
источник
Как вы тогда монтировать?
Джоедборг
Вы монтируете mount /dev/mapper/sda-crypt /mntили любую точку монтирования, которая вам нужна. Конечно, вы должны /dev/sdaсначала разблокировать , как показано выше.
Звездный путь
1

На самом деле вы можете конвертировать из простого раздела файловой системы в dm-crypt.

Но это рискованно и громоздко.

Здесь есть устаревшее руководство: https://help.ubuntu.com/community/EncryptedFilesystemHowto7.

Dm-crypt отображает один блок в один, поэтому теоретически это выполнимо. Luks - это удобный контейнер, в котором используется dm-crypt. Раздел luks содержит заголовок и раздел dm-crypt внутри него, где действительно живет зашифрованная файловая система.

Предупреждения:

  1. Если вы решите пойти на Luks, тогда ваша задача будет еще сложнее, и вам нужно будет точно знать, насколько далеко впереди должны быть данные dm-crypt по отношению к началу официального раздела.

  2. В любом случае, если ваша система дает сбой или останавливается во время процедуры, вы теряете свои данные

Больше ссылок:

http://www.richardneill.org/a22p-mdk11-0.php#encrypt2

http://www.saout.de/tikiwiki/tiki-index.php?page=EncryptExistingDevice

user39559
источник