Criptografar uma partição existente no Linux, preservando seus dados

11

Se eu tenho uma partição como / dev / hd1 que não é criptografada e deseja que ela seja criptografada, mas quero manter tudo atualmente nessa partição, como posso fazer isso?

linux encryption

— greg
fonte

Pergunta semelhante no UNIX.SE: Existe uma maneira de criptografar o disco sem formatá-lo?

— maxschlepzig

4

Não parece haver uma solução para fazer isso no lugar. O Truecrypt oferece criptografia do sistema apenas para janelas, o dm-crypt substitui as partições. Sua melhor aposta seria mover tudo dessa partição para um backup cp -a, criar uma partição criptografada com luks / dm-crypt e mover tudo de volta.

— user54114
fonte

1

rsyncé mais adequado do que cppara este tipo de operações, já que tem opções para excluir pastas específicas, tipos de arquivos alça específicos, etc.

— ccpizza

14

Como isso aparece próximo ao topo dos resultados do google, adicionando a solução:

Criptografia LUKS no local via http://www.johannes-bauer.com/linux/luksipc/

— jwilkins
fonte

Atualmente, o autor luksipc recomenda usar o comando upstream crytsetup reencrypt .

— maxschlepzig

6

Isso é trivial se você escolher simples dm-crypt. É arriscado - se falhar no meio do caminho (corte de energia ou o que for), você estará empalhado!

Certifique-se de que o dispositivo bruto não esteja montado, crie um dispositivo criptografado e use ddpara copiar do dispositivo bruto para o criptografado:

$ cryptsetup open /dev/sda sda-crypt --type plain
$ dd if=/dev/sda of=/dev/mapper/sda-crypt bs=512

Os dados de texto sem formatação são lidos /dev/sdae gravados no mapeador de dispositivo /dev/mapper/sda-crypt, que os criptografa e grava de volta /dev/sda, substituindo os dados de texto sem formatação que foram lidos.

Provavelmente levará algum tempo devido à leitura e gravação de todo o disco.

— starfry
fonte

Como você monta?

— joedborg

você monta mount /dev/mapper/sda-crypt /mntou qualquer ponto de montagem necessário. Obviamente, você deve desbloquear /dev/sdaprimeiro, como mostrado acima.

— starfry

1

Na verdade, você pode converter de uma partição simples do sistema de arquivos para dm-crypt.

Mas é arriscado e complicado.

Há um tutorial desatualizado aqui: https://help.ubuntu.com/community/EncryptedFilesystemHowto7

Dm-crypt mapeia um bloco para um bloco, portanto, em teoria, é factível. Luks é um contêiner fácil de usar que usa dm-crypt dentro dele. Uma partição luks contém um cabeçalho e uma partição dm-crypt, onde o sistema de arquivos criptografado realmente vive.

Advertências:

Se você optar pelo Luks, sua tarefa será ainda mais difícil, e você precisará saber exatamente quanto tempo os dados do dm-crypt devem ter com relação ao início da partição oficial.
De qualquer forma, se o seu sistema travar ou parar durante o procedimento, você perderá seus dados

Mais referências:

http://www.richardneill.org/a22p-mdk11-0.php#encrypt2

http://www.saout.de/tikiwiki/tiki-index.php?page=EncryptExistingDevice

— user39559
fonte