在LVM上使用LUKS时，LVM缓存是否存在安全漏洞？

Question

我有两个硬盘在一个卷组与LVM。该卷组中的所有卷都存放LUKS容器。如果我将SSD作为LVM缓存添加到该卷组中，那么缓存设备上的所有数据都是加密的吗？

确认缓存内容的工具的奖励点。

Answer 1

如果我将SSD作为LVM缓存添加到该卷组中，那么缓存设备上的所有数据都是加密的吗？

是的，它是加密的，因为LVM缓存直接与块一起工作。它不知道底层数据是什么。

确认缓存内容的工具的奖励点。

启动任何十六进制编辑器(十六进制、dhex等)，并直接打开逻辑卷。加密的数据应该像噪音。

Answer 2

因为您正在缓存LUKS-容器，所以您的缓存也是加密的。

我使用的是不同的设置，其中我的pv ( acual的和用作缓存的)位于luks的顶部。

没有缓存的未加密的LVM：

[Disk 1  ]
[PV Data ]
[VG      ]
[LV      ]
[Filesyst]

使用LVM缓存未加密：

[Disk 1  ] [Disk 2   ]
[PV Data ] [PV Cache ]
[VG                  ]
[LV      ]-----------]
[Filesyst]

你的：

[Disk 1  ] [Disk 2   ]
[PV Data ] [PV Cache ]
[VG                  ]
[LV      ]-----------]
[LUKS    ]
[Filesyst]

我的：

[Disk 1  ] [Disk 2   ]
[LUKS    ] [LUKS     ]
[PV Data ] [PV Cache ]
[VG                  ]
[LV      ]-----------]
[Filesyst]

这两个变体都加密得很好，我找不到任何建议将LVM放在LUKS之上或者相反，所以我使用了fedora默认值，它在LUKS之上安装了LVM。(如果我没记错的话，Debian的另一个变体是默认的)

缺陷、加密数据、未加密缓存：

[Disk 1  ] [Disk 2   ]
[LUKS    ] ⎡ unenc   ⎤
[PV Data ] ⎣PV Cache ⎦
[VG                  ]
[LV      ]-----------]
[Filesyst]

不完全是为了加分:你可以尝试在高速缓存设备上运行photorec。但这只会证明缓存是缺陷的，如果你能找到什么，而不是缓存是加密的，如果你不这样做，这将使它更加困难，因为LVM-缓存不需要保存的数据排序/“碎片整理”。