1. 建立luks格式的加密磁碟
# mysecret=`printf %s "123456" | base64`
# qemu-img create -f luks --object secret,data=$mysecret,id=sec0,format=base64,qom-type=secret -o key-secret=sec0 encrypt.luks 1g
2. 在本地建立乙個秘鑰xml secret.xml
7d195d98-6a06-4bb9-a0e9-6a2fde302f31
注:uuid項可以沒有,那麼將隨機生成乙個uuid
3. 定義乙個libvirt的secret
# virsh secret-define secret.xml
secret 7d195d98-6a06-4bb9-a0e9-6a2fde302f31 created
4. 給secret設定密碼值(這裡的密碼就是給磁碟加密時使用的密碼123456)
# virsh secret-set-value 7d195d98-6a06-4bb9-a0e9-6a2fde302f31 $mysecret
注:密值是base64的(mysecret=`printf %s "123456" | base64`)
注:產生的secret以及密碼在/etc/libvirt/secrets/中存在
5. 在虛擬機器xml檔案的disk段中加入secret
6. 啟動虛擬機器。虛擬啟動後就是使用的加密的磁碟。
7. 磁碟加密虛擬機器的遷移
在遷移之前要在遠端libvirt建立相同的secret。遠端建立secret的方式有兩種:使用libvrit遠端rpc的方式執行secret-define和secret-set-value ,或者直接在目標主機上執行上述過程。
注:如果不在hypervior層使用secret-set-value進行解密,即在虛擬機器xml的disk段中不新增encryption。那就需要到虛擬機器中掛載磁碟時輸入密碼:
---------------------
原文:
Linux磁碟管理 磁碟加密
磁碟加密 硬碟 sda 硬碟安裝了作業系統 gpt mbr 需要占用硬碟的前512個位元組 446位元組是主引導資訊 64個位元組分割槽表 2位元組儲存 結尾資訊 最多4個主分割槽 特殊的分割槽擴充套件分割槽 可以分割槽出多個 邏輯分割槽 gpt 支援的主分割槽數量 自己定義 2t 建立分割槽 關閉...
磁碟管理和磁碟加密
檢視磁碟資訊 fdisk l 硬碟分割槽表 一 mbr 老 需要占用硬碟的前512個位元組被占用,446個位元組存放主導道資訊,放分64個位元組存區 2個位元組存放結尾資訊,只能有4個主分割槽 sda1 sda4 有乙個特殊分割槽,叫做拓展分割槽,拓展分割槽不能建立檔案系統,就是不能格式化,也就不能...
LUKS 磁碟加密
忘記密碼怎麼辦?luks linux unified key setup 是 linux 硬碟加密的標準。通過提供標準的磁碟格式,它不僅可以促進發行版之間的相容性,還可以提供對多個使用者密碼的安全管理。與現有解決方案相比,luks 將所有必要的設定資訊儲存在分割槽資訊首部中,使使用者能夠無縫傳輸或遷...