我被要求encryption活动服务器的文件系统而不影响操作或数据。 我通常使用encryption的文件系统来安装Redhat,所以“如何”不是问题。 我想知道是否甚至可以在不缩小分区的情况下对文件系统进行encryption,创build新分区,对其进行encryption,将所有内容复制,删除旧的分区以及调整新分区的大小以填满驱动器。
通过重新创build适合目标设备的新分区并使用另一个传输encryption,可能会更快:
tar --one-file-system --numeric-owner -cpC / . |gzip |gpg -e -r username >file.tgz.gpg 关心打开的文件,你最好在单用户模式( init 1 )中这样做。 或者更好:如果/是LVM2分割系统上的encryption分区,则可以使用lvcreate -s的快照,但是在挂载安静点之前,必须打开另一个luks才能解密它们。
lvcreate -s -L 1G -n BkVolName VolGroup/VolName cryptsetup luksOpen /dev/mapper/VolGroup-BkVolName bk_crypted mount -o ro /dev/mapper/bk_crypted /mnt tar -zcpC /mnt . | gpg -e -r username >file.tgz.gpg umount /mnt cryptsetup luksClose bk_crypted lvremove -f VolGroup/BkVolName
在将gpgencryption后的tarball移动到目标主机后,重新创buildencryption的分区并将它们挂载到/mnt以获取示例:
cryptsetup --verbose --verify-passphrase luksFormat $DEVICE cryptsetup luksOpen $DEVICE new_crypted mount /dev/mapper/new_crypted /mnt gpg -d <file.tgz.gpg | tar -zxvC /mnt sync umount /mnt cryptsetup luksClose new_crypted
这样做可以让你创buildwhipe文件并直接使用低级networking的能力如下:
在源主机上:
tar --one-file-system -zcpC / . | gpg -e -r uname | nc -q 0 -l -p 9900
比当第一个nc -l运行时,在目标主机上:
nc sourceHostIPorName 9900 | gpg -d | tar -zxC /mnt
不可能使用本机工具。 使用第三方工具就地encryption也是可能的,但我在RHEL上没有经验。