ubuntuusers.de

Nachträgliche Verschlüsselung einer Datenplatte mit LUKS

Status: Ungelöst | Ubuntu-Version: Server 22.04 (Jammy Jellyfish)
Antworten |

shinji

Anmeldungsdatum:
30. Mai 2007

Beiträge: 226

Hi!

In meiner NAS mit Ubuntu 22.04 habe ich meine bisher mit LUKS und Keyfile verschlüsselten Datenplatten (RAID1 über mdadm) durch größere ersetzt.

Hierzu habe ich die Daten nach dem Systemstart und im dadurch entschlüsselten Zustand auf das neue RAID1 kopiert. Jetzt würde ich aber gerne die neuen Datenplatten wieder mit LUKS und dem/einem Keyfile - ohne Datenverlust - verschlüsseln.

Aktuell sieht es so aus:

1
2
3
4
5
6
sdb       8:16   0   5,5T  0 disk
└─sdb1    8:17   0   5,5T  0 part
  └─md1   9:1    0   5,5T  0 raid1 /mnt/daten
sdc       8:32   0   5,5T  0 disk
└─sdc1    8:33   0   5,5T  0 part
  └─md1   9:1    0   5,5T  0 raid1 /mnt/daten

Habe gesehen, dass es irgendwie ein "cryptsetup-reencrypt" Kommando zu geben scheint, für das man aber wohl zuerst ">32MB Platz" auf "der Platte" schaffen muss.

Meine simple Frage wäre daher:

Wie verschlüsele ich /dev/md1 mit LUKS und Keyfile nachträglich - ohne Datenverlust? Sorry für die eventuell dumme Frage, aber das NAS-System habe ich irgendwann 2017 aufgesetzt und das mit LUKS damals leider nicht dokumentiert. ☹

Im Worst-Case müsste ich halt die ~3TB Daten auf einen noch zu beschaffenen Datenträger kopieren, dann das LUKS Laufwerk erzeugen und dann die 3TB wieder zurück kopieren. Aber das erscheint mir nicht so ganz praktikabel, wenn ich nicht 2 Tage mit dem Kopiervorgang über USB3 beschäftigt sein möchte + Beschaffung einer temporären 3TB-HDD.

frostschutz

Avatar von frostschutz

Anmeldungsdatum:
18. November 2010

Beiträge: 7744

cryptsetup reencrypt (inzwischen ohne Bindestrich dazwischen) ist eine Möglichkeit - unbedingt die Manpage dazu studieren. Das Dateisystem schrumpfen wäre bei ext4 mit resize2fs möglich. Aber nicht jedes Dateisystem unterstützt verkleinern, xfs zum Beispiel nicht…

Andere Möglichkeit wäre das RAID aufzusplitten. Wirf sdb aus dem RAID raus, dann sind deine Daten unverändert auf md1/sdc. Mit sdb machst du dann einmal alles neu (neue Partitionen, neues RAID/LVM/LUKS, neues Dateisystem, …). Dann kannst du alles rüberkopieren. Und wenn das alles nachweislich OK ist, sdc plätten und dem neuen RAID hinzufügen…

Beide Methoden können zu Datenverlust führen. Die Methode mit der zusätzlichen Festplatte und Vollkopie als Backup ist somit die beste.

shinji

(Themenstarter)

Anmeldungsdatum:
30. Mai 2007

Beiträge: 226

Hmmmmm, okay.

Dann werde ich wohl eine Platte meines alten LUKS-Raid für die Datensicherung missbrauchen und dann mein /dev/md1 mit cryptsetup "behandeln". Dann muss ich auch nicht das RAID neu aufbauen.

Antworten |