Создание зашифрованного тома по требованию с помощью LUKS
Я пытаюсь создать зашифрованную файловую систему растущего по мере необходимости в Linux. Я знаком с LUKS и cryptsetup.
Я могу создать пустой файл:
fallocate -l 512M /root/image
Я могу создать контейнер LUKS на нем:
cryptsetup -y luksFormat /root/image
А потом "открой" это:
cryptsetup luksOpen /root/image luksvolume
На этом этапе я могу просто создать файловую систему:
mkfs.ext4 -j /dev/mapper/luksvolume
Это все хорошо и денди. Тем не менее, это не относится к части "растут по требованию".
Идея состоит в том, что копирование файла 2 Гб в зашифрованной файловой системе "расширит" изображение так, чтобы оно стало достаточно большим для размещения файла.
Это вообще возможно сделать?
1 ответ
Да! Похоже, это возможно. Давайте проверим, как этого можно достичь.
Первоначально я изучал Thin Provisioning, широко известную технологию для экономии места в сценариях виртуализации. К сожалению, в обычных случаях использования Linux он доступен только с LVM. Поскольку это кажется немного за рамками вашего вопроса, я искал что-то еще.
Вторая концепция, которую я исследовал, это Sparse File. Это точно подходит для вашего вопроса и... мое первоначальное сомнение было: "Хорошо. Я могу создать разреженный файл. Но что произойдет, когда я инициализирую его как контейнер LUKS? Будет ли такая инициализация распределять все доступное пространство? Если нет, что произойдет, когда я инициализирую файловую систему в таком контейнере? mkfs.ext4выделить все доступное пространство?". Поскольку у меня не было ответа, я решил попробовать. Итак, посмотрим, что произошло.
Давайте начнем с моей текущей системы, где у меня есть только 3,3 ГБ свободного места в/repositoryфайловая система:
root@iMac-Chiara:~# df -h /repository
File system Dim. Usati Dispon. Uso% Montato su
/dev/sda3 275G 258G 3,3G 99% /repository
Давайте создадим10G sparse-файл в такой файловой системе:
root@iMac-Chiara:~# dd of=/repository/file_container.img bs=1G count=0 seek=10
0+0 record dentro
0+0 record fuori
0 byte (0 B) copiati, 0,000119606 s, 0,0 kB/s
и давайте проверим это... это действительно редкий файл:
root@iMac-Chiara:~# ls -lh /repository/file_container.img
-rw-r--r-- 1 root root 10G dic 12 19:48 /repository/file_container.img
ХОРОШО. Итак, у нас есть файл10G в файловой системе, в которой ранее было 3,3 ГБ свободного места. Сколько еще свободного места у меня есть?
root@iMac-Chiara:~# df -h /repository
File system Dim. Usati Dispon. Uso% Montato su
/dev/sda3 275G 258G 3,3G 99% /repository
Все еще 3.3G. Ницца. Sparse-файл действительно... sparse-файл;-) Давайте сделаем шаг вперед, создав контейнер LUKS в таком файле 10G и... посмотрим, не хватит ли у нас места:
root@iMac-Chiara:~# losetup /dev/loop0 /repository/file_container.img
root@iMac-Chiara:~# cryptsetup -y luksFormat /dev/loop0
WARNING!
========
Ciò sovrascriverà i dati in /dev/loop0 in modo irreversibile.
Are you sure? (Type uppercase yes): YES
Inserire la passphrase LUKS:
Verify passphrase:
root@iMac-Chiara:~# cryptsetup luksOpen /dev/loop0 secretfs
Inserire la passphrase per /dev/loop0:
root@iMac-Chiara:~#
Так что теперь у меня открытsecretsКонтейнер, определенный поверх моего 10G разреженного файла, хранящегося в файловой системе, имеющей только 3,3 ГБ свободного места.
Сколько еще свободного места у меня есть?
root@iMac-Chiara:~# df -h /repository
File system Dim. Usati Dispon. Uso% Montato su
/dev/sda3 275G 258G 3,3G 99% /repository
Замечательно! Все еще 3.3ГБ. Наш зашифрованный контейнер практически не требует места!
Давайте проверим, все ли в порядке с нашей установкой:
root@iMac-Chiara:~# cryptsetup status secretfs
/dev/mapper/secretfs is active.
type: LUKS1
cipher: aes-cbc-essiv:sha256
keysize: 256 bits
device: /dev/loop0
loop: /repository/file_container.img
offset: 4096 sectors
size: 20967424 sectors
mode: read/write
Кажется, все в порядке, поэтому давайте начнем использовать такой контейнер для хранения чего-либо. Давайте начнем с создания внутри нее файловой системы EXT4:
root@iMac-Chiara:~# mkfs.ext4 /dev/mapper/secretfs
mke2fs 1.42.5 (29-Jul-2012)
Etichetta del filesystem=
OS type: Linux
Dimensione blocco=4096 (log=2)
Dimensione frammento=4096 (log=2)
Stride=0 blocks, Stripe width=0 blocks
655360 inodes, 2620928 blocks
131046 blocks (5.00%) reserved for the super user
Primo blocco dati=0
Maximum filesystem blocks=2684354560
80 gruppi di blocchi
32768 blocchi per gruppo, 32768 frammenti per gruppo
8192 inode per gruppo
Backup del superblocco salvati nei blocchi:
32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632
Allocating group tables: fatto
Scrittura delle tavole degli inode: fatto
Creating journal (32768 blocks): fatto
Scrittura delle informazioni dei superblocchi e dell'accounting del filesystem: fatto
root@iMac-Chiara:~#
Похоже, это сработало, так как не было следа "из космоса". Давай проверим:
root@iMac-Chiara:~# df -h /repository
File system Dim. Usati Dispon. Uso% Montato su
/dev/sda3 275G 258G 3,2G 99% /repository
Хм.... так что-то случилось. Мы потеряли около 100 МБ места, но... это ожидаемое поведение: создание файловой системы EXT4 ДОЛЖНО записывать много метаданных. Так что это нормально, что некоторое пространство было использовано в процессе создания.
Это "рабочая" файловая система EXT4?
root@iMac-Chiara:~# tune2fs -l /dev/mapper/secretfs
tune2fs 1.42.5 (29-Jul-2012)
Filesystem volume name: <none>
Last mounted on: <not available>
Filesystem UUID: e63321c3-cee7-478d-a6af-cbdcaf1be1f7
Filesystem magic number: 0xEF53
Filesystem revision #: 1 (dynamic)
Filesystem features: has_journal ext_attr resize_inode dir_index filetype extent flex_bg sparse_super large_file huge_file uninit_bg dir_nlink extra_isize
Filesystem flags: signed_directory_hash
Default mount options: user_xattr acl
Filesystem state: clean
Errors behavior: Continue
Filesystem OS type: Linux
Inode count: 655360
Block count: 2620928
Reserved block count: 131046
Free blocks: 2541265
Free inodes: 655349
First block: 0
Block size: 4096
Fragment size: 4096
Reserved GDT blocks: 639
Blocks per group: 32768
Fragments per group: 32768
Inodes per group: 8192
Inode blocks per group: 512
Flex block group size: 16
Filesystem created: Sat Dec 12 19:58:05 2015
Last mount time: n/a
Last write time: Sat Dec 12 19:58:05 2015
Mount count: 0
Maximum mount count: -1
Last checked: Sat Dec 12 19:58:05 2015
Check interval: 0 (<none>)
Lifetime writes: 131 MB
Reserved blocks uid: 0 (user root)
Reserved blocks gid: 0 (group root)
First inode: 11
Inode size: 256
Required extra isize: 28
Desired extra isize: 28
Journal inode: 8
Default directory hash: half_md4
Directory Hash Seed: c8b3bf1b-9f05-4267-85d3-2ecfdbaa6dc3
Journal backup: inode blocks
Да! Это выглядит хорошо.
Итак, теперь у нас есть файловая система EXT4, написанная в открытом контейнере LUKS, определенном поверх разреженного файла 10G, хранящегося в файловой системе 3.3G.
Посмотрим, все ли работает правильно, выделив место "по требованию".
Давайте начнем с записи фиктивных данных в 500M на зашифрованную ФС
root@iMac-Chiara:~# mkdir /mnt/temp
root@iMac-Chiara:~# mount /dev/mapper/secretfs /mnt/temp
root@iMac-Chiara:~# dd if=/dev/zero of=/mnt/temp/random_data.bin bs=1M count=512
512+0 record dentro
512+0 record fuori
536870912 byte (537 MB) copiati, 2,35214 s, 228 MB/s
root@iMac-Chiara:~#
Успели ли мы в создании файла?
root@iMac-Chiara:~# ls -lh /mnt/temp/random_data.bin
-rw-r--r-- 1 root root 512M dic 12 20:09 /mnt/temp/random_data.bin
Это выглядит так.
Что случилось с нашей настоящей файловой системой?
root@iMac-Chiara:~# df -h /repository
File system Dim. Usati Dispon. Uso% Montato su
/dev/sda3 275G 259G 2,5G 100% /repository
СХ! Мы "потеряли" чуть больше 500М. Это хорошо, кстати, так как физическое пространство действительно выделено по требованию!
Давайте сохраним еще 2 ГБ файла:
root@iMac-Chiara:~# dd if=/dev/zero of=/mnt/temp/another_random_data.bin bs=1G count=2
2+0 record dentro
2+0 record fuori
2147483648 byte (2,1 GB) copiati, 25,6539 s, 83,7 MB/s
root@iMac-Chiara:~#
Что случилось?
root@iMac-Chiara:~# ls -arlh /mnt/temp
totale 2,6G
-rw-r--r-- 1 root root 512M dic 12 20:09 random_data.bin
drwx------ 2 root root 16K dic 12 19:58 lost+found
-rw-r--r-- 1 root root 2,0G dic 12 20:13 another_random_data.bin
drwxr-xr-x 8 root root 4,0K mag 29 2015 ..
drwxr-xr-x 3 root root 4,0K dic 12 20:12 .
root@iMac-Chiara:~# df -h /repository
File system Dim. Usati Dispon. Uso% Montato su
/dev/sda3 275G 261G 484M 100% /repository
root@iMac-Chiara:~#
Действительно мило. Что произойдет, если мы удалим файл?
root@iMac-Chiara:~# rm /mnt/temp/random_data.bin
root@iMac-Chiara:~# sync
root@iMac-Chiara:~# ls -arlh /mnt/temp
totale 2,1G
drwx------ 2 root root 16K dic 12 19:58 lost+found
-rw-r--r-- 1 root root 2,0G dic 12 20:13 another_random_data.bin
drwxr-xr-x 8 root root 4,0K mag 29 2015 ..
drwxr-xr-x 3 root root 4,0K dic 12 20:14 .
root@iMac-Chiara:~# df -h /repository
File system Dim. Usati Dispon. Uso% Montato su
/dev/sda3 275G 261G 484M 100% /repository
root@iMac-Chiara:~#
Как и ожидалось, с sparse-file поведение точно такое же, как и с тонким предоставлением: после выделения пространство памяти не может быть востребовано при удалении файла. Но это, в общем, нормально. Не так ли?
Поэтому на данный момент ответ на ваш вопрос должен быть полным. Правильно?
Дополнение:
Посмотрим, что произойдет, когда подчеркнутое хранилище заполнится:
root@iMac-Chiara:~# dd if=/dev/zero of=/mnt/temp/a_third_random_data.bin bs=1G count=2
2+0 record dentro
2+0 record fuori
2147483648 byte (2,1 GB) copiati, 26,7142 s, 80,4 MB/s
root@iMac-Chiara:~#
Какие? похоже, это удалось! Как это было возможно? Давай проверим!
root@iMac-Chiara:~# ls -arlh /mnt/temp
totale 4,1G
drwx------ 2 root root 16K dic 12 19:58 lost+found
-rw-r--r-- 1 root root 2,0G dic 12 20:17 a_third_random_data.bin
-rw-r--r-- 1 root root 2,0G dic 12 20:13 another_random_data.bin
drwxr-xr-x 8 root root 4,0K mag 29 2015 ..
drwxr-xr-x 3 root root 4,0K dic 12 20:17 .
root@iMac-Chiara:~#
Хм... это выглядит хорошо. Мы уверены?
root@iMac-Chiara:~# df /repository
File system 1K-blocchi Usati Disponib. Uso% Montato su
/dev/sda3 288110208 275070448 0 100% /repository
у нас кончилось пространство! Безо всяких ошибок!
Даже если было бы неплохо выяснить, что на самом деле произошло... Я оставлю это на ваше усмотрение и / или навыки устранения неполадок других участников ServerFault;-)
Повеселись!
Кстати, я проверил все вышеперечисленное, здесь:
root@iMac-Chiara:~# cat /etc/lsb-release
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=13.04
DISTRIB_CODENAME=raring
DISTRIB_DESCRIPTION="Ubuntu 13.04"
root@iMac-Chiara:~# uname -r
3.8.0-31-generic
root@iMac-Chiara:~# dpkg -l cryptsetup-bin
[...]
ii cryptsetup-bin 2:1.4.3-4ubuntu2 amd64 disk encryption support - command line tools
root@iMac-Chiara:~#