LUKS + BTRFS + RAID1

Question

我想在微型服务器上使用BTRFS RAID1和糖尿病组_地窖。对于文件系统和LUKS的工作方式，我不太了解。假设我们在一个驱动器上有两个分区，并进行整个驱动器加密。这是否意味着这两个分区都将被加密，而在不知道密钥的情况下，我将无法知道它们有哪些文件系统？如果是这样的话，那么我就不明白怎么可能在这样的驱动器上有一个未加密的引导分区(加载dm_crypt所必需的)，或者如果我对这两个驱动器进行加密，并且它们彼此不知道，直到它们都被解密，那么btrfs raid1将如何工作？另一方面，如果dm_crypt使用btrfs分区将加密的数据存储在一个大文件中，那么btrfs不是只在这个大文件上工作吗?一个不可纠正的错误不会杀死磁盘的全部内容吗？

Answer 1

我读了一些关于这个题目的课文。根据它们，分区和格式化是独立的进程，所以我不需要通过分区块设备(ssd/hdd/virtual?)来提供文件系统类型。dm-crypt可以通过加密每个块(或扇区)将未加密的块设备转换为加密的块设备。个别地，btrfs可以在加密的块设备上生存。

注意: dmcrypt + btrfs需要4+内核才能正常工作；3.2-内核存在兼容性和安全性问题，4.0-内核存在性能问题。

这个设置的主要问题是，由于raid1将在较高级别，hdds/ssds将被不同的加密，这意味着性能损失和大量不必要的加密。根据我读到的其他课文/答案，现在没有办法做到这一点。人们正在研究btrfs加密，但是还没有什么稳定的东西。目前，带有氪星的堆叠方法-- btrfs FAQ提到的--比dm-crypt慢得多，所以这也不是一个好的解决方案。另一种选择是使用zfs，它支持加密，但是使用afaik。与btrfs相比，它消耗了大量内存。

更新(2019年1月)：

我也检查了zfs，它有一个很好的本机加密，您也可以加密交换分区，所以我认为这是可行的方法。它也有一些缺点，它使用更多的内存，并且添加一个新磁盘并不像使用btrfs那样简单。

Answer 2

这是否意味着这两个分区都将被加密，而在不知道密钥的情况下，我将无法知道它们有哪些文件系统？

是的，这两个分区都将被加密为LUKS分区。您将能够知道它们是LUKS加密的分区。如果没有密钥(和/或密码)，您将无法知道分区内的是什么。

如果是这样的话，那么我不明白怎么可能有一个未加密的引导分区.

要么(a)引导分区是一个单独的和未加密分区，要么(b)引导加载程序稀饭？请求密码并知道如何解密和挂载引导分区。(我通常对Ubuntu使用未加密的引导分区。我曾经在Manjaro的安装上看到一个加密的引导分区。)

这个设置的主要问题是，由于raid1将在较高级别，hdds/ssds将被不同的加密，这意味着性能损失和大量不必要的加密。

我听说磁盘加密的开销可以忽略不计。我从来没有遇到过问题。但是，我从来没有测量过性能的影响，而且我不需要在我的系统上使用高速磁盘IO。

在任何情况下，您只会在写入数据时支付多重加密的成本。读取数据时，只需读取一份数据。

我使用LUKS + ZFS + RAID1，但只对/home使用。我用ext4表示/，使用ext2表示/boot。

(请注意，如果您有N>2磁盘，那么BTRFS的" RAID1“模式并不是真正的RAID1，因为BTRFS只会创建2个数据副本，而不是RAID1要求的N个副本。换句话说，带有RAID1磁盘的BTRFS“N>2”为您提供了更多的存储空间，而不是更多的冗余。