Stratis 在其 官方网站 上被描述为“易于使用的 Linux 本地存储管理”。请看这个 短视频,快速演示基础知识。该视频是在 Red Hat Enterprise Linux 8 系统上录制的。视频中显示的概念也适用于 Fedora 中的 Stratis。
Stratis 2.1 版本引入了对加密的支持。继续阅读以了解如何在 Stratis 中开始加密。
先决条件
加密需要 Stratis 2.1 或更高版本。这篇文章中的例子使用的是 Fedora 33 的预发布版本。Stratis 2.1 将用在 Fedora 33 的最终版本中。
你还需要至少一个可用的块设备来创建一个加密池。下面的例子是在 KVM 虚拟机上完成的,虚拟磁盘驱动器为 5GB(/dev/vdb)。
在内核密钥环中创建一个密钥
Linux 内核密钥环keyring用于存储加密密钥。关于内核密钥环的更多信息,请参考 keyrings 手册页(man keyrings)。
使用 stratis key set 命令在内核钥匙圈中设置密钥。你必须指定从哪里读取密钥。要从标准输入中读取密钥,使用 -capture-key 选项。要从文件中读取密钥,使用 -keyfile-path <file> 选项。最后一个参数是一个密钥描述。它将稍后你创建加密的 Stratis 池时使用。
例如,要创建一个描述为 pool1key 的密钥,并从标准输入中读取密钥,可以输入:
# stratis key set—capture–key pool1key Enter desired key data followed by the return key:该命令提示我们输入密钥数据/密码,然后密钥就创建在内核密钥环中了。
要验证密钥是否已被创建,运行 stratis key list:
# stratis key list KeyDescription pool1key这将验证是否创建了 pool1key。请注意,这些密钥不是持久的。如果主机重启,在访问加密的 Stratis 池之前,需要再次提供密钥(此过程将在后面介绍)。
如果你有多个加密池,它们可以有一个单独的密钥,也可以共享同一个密钥。
也可以使用以下 keyctl 命令查看密钥:
# keyctl get_persistent @s 318044983 # keyctl show SessionKeyring 701701270—alswrv 00 keyring: _ses 649111286—alswrv 065534 \_ keyring: _uid.0 318044983—lswrv 065534 \_ keyring: _persistent.0 1051260141—alswrv 00 \_ user: stratis–1–key–pool1key创建加密的 Stratis 池
现在已经为 Stratis 创建了一个密钥,下一步是创建加密的 Stratis 池。加密池只能在创建池时进行。目前不可能对现有的池进行加密。
使用 stratis pool create 命令创建一个池。添加 -key-desc 和你在上一步提供的密钥描述(pool1key)。这将向 Stratis 发出信号,池应该使用提供的密钥进行加密。下面的例子是在 /dev/vdb 上创建 Stratis 池,并将其命名为 pool1。确保在你的系统中指定一个空的/可用的设备。
# stratis pool create —key–desc pool1key pool1 /dev/vdb你可以使用 stratis pool list 命令验证该池是否已经创建:
# stratis pool list NameTotalPhysicalProperties pool1 4.98GiB/37.63MiB/4.95GiB~Ca,Cr在上面显示的示例输出中,~Ca 表示禁用了缓存(~ 否定了该属性)。Cr 表示启用了加密。请注意,缓存和加密是相互排斥的。这两个功能不能同时启用。
接下来,创建一个文件系统。下面的例子演示了创建一个名为 filesystem1 的文件系统,将其挂载在 /filesystem1 挂载点上,并在新文件系统中创建一个测试文件:
# stratis filesystem create pool1 filesystem1 #mkdir/filesystem1 #mount/stratis/pool1/filesystem1 /filesystem1 #cd/filesystem1 #echo“this is a test file”> testfile重启后访问加密池
当重新启动时,你会发现 Stratis 不再显示你的加密池或它的块设备:
# stratis pool list NameTotalPhysicalProperties # stratis blockdev list PoolNameDeviceNodePhysicalSizeTier要访问加密池,首先要用之前使用的相同的密钥描述和密钥数据/口令重新创建密钥:
# stratis key set—capture–key pool1key Enter desired key data followed by the return key:接下来,运行 stratis pool unlock 命令,并验证现在可以看到池和它的块设备:
# stratis pool unlock # stratis pool list NameTotalPhysicalProperties pool1 4.98GiB/583.65MiB/4.41GiB~Ca,Cr # stratis blockdev list PoolNameDeviceNodePhysicalSizeTier pool1 /dev/dm–24.98GiBData接下来,挂载文件系统并验证是否可以访问之前创建的测试文件:
#mount/stratis/pool1/filesystem1 /filesystem1/ #cat/filesystem1/testfile thisis a testfile使用 systemd 单元文件在启动时自动解锁 Stratis 池
可以在启动时自动解锁 Stratis 池,无需手动干预。但是,必须有一个包含密钥的文件。在某些环境下,将密钥存储在文件中可能会有安全问题。
下图所示的 systemd 单元文件提供了一个简单的方法来在启动时解锁 Stratis 池并挂载文件系统。欢迎提供更好的/替代方法的反馈。你可以在文章末尾的评论区提供建议。
首先用下面的命令创建你的密钥文件。确保用之前输入的相同的密钥数据/密码来代替passphrase。
#echo–n passphrase >/root/pool1key确保该文件只能由 root 读取:
#chmod400/root/pool1key #chown root:root /root/pool1key在 /etc/systemd/system/stratis-filesystem1.service 创建包含以下内容的 systemd 单元文件:
[Unit] Description= stratis mount pool1 filesystem1 file system After= stratisd.service [Service] ExecStartPre=sleep2 ExecStartPre=stratis key set—keyfile–path /root/pool1key pool1key ExecStartPre=stratis pool unlock ExecStartPre=sleep3 ExecStart=mount/stratis/pool1/filesystem1 /filesystem1 RemainAfterExit=yes [Install] WantedBy= multi–user.target接下来,启用服务,使其在启动时运行:
#systemctl enable stratis–filesystem1.service现在重新启动并验证 Stratis 池是否已自动解锁,其文件系统是否已挂载。
结语
在今天的环境中,加密是很多人和组织的必修课。本篇文章演示了如何在 Stratis 2.1 中启用加密功能。
原文地址:https://linux.cn/article-13311-1.html
声明: 猿站网有关资源均来自网络搜集与网友提供,任何涉及商业盈利目的的均不得使用,否则产生的一切后果将由您自己承担! 本平台资源仅供个人学习交流、测试使用 所有内容请在下载后24小时内删除,制止非法恶意传播,不对任何下载或转载者造成的危害负任何法律责任!也请大家支持、购置正版! 。本站一律禁止以任何方式发布或转载任何违法的相关信息访客发现请向站长举报,会员发帖仅代表会员个人观点,并不代表本站赞同其观点和对其真实性负责。本网站的资源部分来源于网络,如有侵权烦请发送邮件至:2697268773@qq.com进行处理。