libvirt-qemu-磁盘加密之二:LUKS

最新推荐文章于 2024-11-24 17:46:09 发布
最新推荐文章于 2024-11-24 17:46:09 发布
阅读量3.8k 收藏 1
点赞数 1
分类专栏: libvirt-qemu 文章标签: kvm qemu libvirt luks 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/isclouder/article/details/80731388
版权

LUKS是一种基于device mapper机制的加密方式。使用加密磁盘前要先mapper映射,映射时需要输入密码,写入和读取磁盘时不需要再输入密码。LUKS可以选择不同的加密算法,也可以开发使用自己的加密算法。本文使用的虚拟机磁盘就是LUKS的加密磁盘。

 

 

(文章来自作者维护的社区微信公众号【虚拟化云计算】)
目前有两个微信群《kvm虚拟化》和《openstack》,扫描二维码点击“云-交流”,进群交流提问

1. 创建luks格式的加密磁盘

# MYSECRET=`printf %s "123456" | base64`
# qemu-img create -f luks --object secret,data=$MYSECRET,id=sec0,format=base64,qom-type=secret -o key-secret=sec0 encrypt.luks 1G

 

2. 在本地创建一个秘钥xml secret.xml

<secret ephemeral='no' private='yes'>
    <uuid>7d195d98-6a06-4bb9-a0e9-6a2fde302f31</uuid>
</secret>

注:uuid项可以没有,那么将随机生成一个uuid

 

3. 定义一个libvirt的secret

# virsh secret-define secret.xml 
Secret 7d195d98-6a06-4bb9-a0e9-6a2fde302f31 created

 

4. 给secret设置密码值(这里的密码就是给磁盘加密时使用的密码123456)

# virsh secret-set-value 7d195d98-6a06-4bb9-a0e9-6a2fde302f31 $MYSECRET

注:密值是base64的(MYSECRET=`printf %s "123456" | base64`)

注:产生的secret以及密码在/etc/libvirt/secrets/中存在

 

5. 在虚拟机xml文件的disk段中加入secret

<disk device="disk" type="file">
  <driver name="qemu" type="raw" />
  <source file="/tmp/encrypt.luks" />
  <target bus="virtio" dev="vdb" />
  <encryption format='luks'>
    <secret type='passphrase' uuid='7d195d98-6a06-4bb9-a0e9-6a2fde302f31'/>
  </encryption>
</disk>

 

6. 启动虚拟机。虚拟启动后就是使用的加密的磁盘。

 

7. 磁盘加密虚拟机的迁移

在迁移之前要在远程libvirt建立相同的secret。远程建立secret的方式有两种:使用libvrit远程rpc的方式执行secret-define和secret-set-value ,或者直接在目标主机上执行上述过程。

 

注:

如果不在hypervior层使用secret-set-value进行解密,即在虚拟机xml的disk段中不添加encryption。那就需要到虚拟机中挂载磁盘时输入密码:

 


 

关注本公众号,了解更多关于云计算虚拟化的知识。

 

 
libvirt tls 热迁移数据支持国密(SM)加密
木简熙的博客
10-23 3477
一、前言 国密即国家密码局认定的国产密码算法,它是我国自主研发创新的一套数据加密处理系列算法。从SM1-SM4分别实现了对称、非对称、摘要等算法功能。在openssl1.3版本后支持自主研发国密算法。 BabaSSL是一个现代的密码学和通信安全协议的基础库,诞生于阿里巴巴集团和蚂蚁集团内部。它支持TLS1.3+国密(RFC8998)、SM2单证书、SM2双证书。 libvirt tls 热迁移默认支持x509 certificate 证书进行数据加密通...
LUKS磁盘加密
weixin_45022883的博客
06-30 1397
磁盘加密 本片主要介绍linux下基础知识–使用luks磁盘加密 LUKS LNKS(Linux Unified Key Setup)是在2004年创建的磁盘加密规范,最初用于linux,虽然大多数硬盘加密软件实现了不同的、不兼容的和无文档的格式,但 LUKS 实现了独立于平台的标准磁盘格式,通过提供标准的磁盘格式,它不仅方便了发行版之间的兼容性,而且还提供了对多个用户密码的安全管理。LUKS 将所有必要的设置信息存储在分区头中,从而实现数据的无缝传输或迁移。 LUKS主页:https://gitlab.
LUKS加密
教Linux的李老师
09-25 2993
LUKS 是 Linux 用户中流行的磁盘加密机制。在 Linux 上,LUKS 是最常用的磁盘加密方式。LUKS的功能直接内置于内核中。LUKS 有两个版本,LUKS2 具有更强的头部损坏抗击性,并默认使用 Argon2[4] 加密算法(LUKS1 使用 PBKDF2[5])。在某些情况下,可以在两个版本之间进行转换,但是 LUKS1 可能不支持某些功能。
luks 加密
xys2333的博客
11-13 6063
 LUKS(Linux Unified Key Setup)为Linux硬盘加密提供了一种标准,它不仅能通用于不同的Linux发行版本,还支持多用户/口令。因为它的加密密钥独立于口令,所以如果 口令失密,我们可以迅速改变口令而无需重新加密真个硬盘。通过提供一个标准的磁盘上的格式,它不仅方便之间分布的兼容性,而且还提供了多个用户密码的安全 管理。必须首先对加密的卷进行解密,才能挂载其中的文件系统。 ...
使用LUKS对Linux磁盘进行加密
沃和莱特的博客
11-24 1775
使用LUKS对Linux磁盘进行加密,进入紧急模式后修复。
LUKS 磁盘加密规范 版本号V1.2.3
04-02
LUKS是"Linux Unified Key Setup"的简写。目前qemu磁盘加密格式是luks格式。
Qemu镜像安全加密测试_qemu加密盘,离开小厂进大厂的第一周
04-10 676
用vmware添加一块新磁盘,/dev/sdc,然后进行加密
Ubuntu加密与安全:6大技巧保护你的数据不被非法侵入
Ubuntu加密与安全的重要性 在当今数字化时代,个人和企业的数据安全变得越来越重要。Ubuntu作为一个广泛使用的Linux发行版,在设计时就考虑到了安全性的需要。无论是从操作系统的内核,还是到各种应用软件,Ubuntu...
QemuKVM整合攻略:构建高性能虚拟化平台的秘诀
首先介绍了虚拟化技术基础和KVM概述,然后详细解读了QemuKVM的基本原理及其集成方式。接下来,文章指导读者如何搭建Qemu-KVM虚拟化环境,并展示了虚拟机的创建、管理和存储网络配置的具体步骤。在性能优化方面,...
arch:Arch Linux笔记
03-31
- **分区**:使用`cfdisk`或`gdisk`进行磁盘分区,推荐使用LVM和LUKS加密以提高灵活性和安全性。 - **格式化和挂载**:使用`mkfs`命令格式化分区,并使用`mount`挂载到相应的目录。 - **安装基础系统**:通过`...
AMD机密计算解决方案分析
Take Easy,Work Hard!
01-22 1865
本文主要介绍AMD机密计算TEE解决方案,并分析它在QEMU/KVM虚拟化方案下的实现
linux杂谈(四):磁盘加密LUKS
linux_player_c(系统&开发)
04-24 1768
linux系统中有很多的磁盘设备,通常我们希望对它们进行加密,这样会更加的安全。LUKS(linux统一密钥设置)是标准的设备加密格式。LUKS可以对分区或者卷进行加密。尤其要注意的是:必须首先对加密的卷进行解密,才能挂载其中的文件系统。 下面我们来举个栗子看看什么是LUKS。 1.前期准备 支持LUKS的命令是cryptsetup(默认已经安装),如果我们想要看到它所支持的命令,键
linux luks自动加密和挂载磁盘
莫忘、初心
07-10 4390
如果要使用这个分区,必须对这个分区做一个映射,映射到/dev/mapper这个目录里去,我们只能挂载这个映射才能使用。然而做映射的时候是需要输入解密密码的。Linux 统一密钥设置(Linux Unified Key Setup)(LUKS)是一个很好的工具,也是 Linux 磁盘加密的通用标准。cryptsetup是linux下的一个分区加密工具,它通过调用内核中的"dm-crypt"来实现磁盘加密的功能。我们这里使用默认值,执行的过程中,命令会警告你将会清除磁盘上的所有数据,并要求你输入两次密码。
KVM虚拟机磁盘加密
sinat_36082782的博客
02-24 2950
最近在找虚拟机磁盘加密的资料,发现网上资料还是比较少,在这里汇总一下。 之前qcow2格式的磁盘默认加密方式似乎已经不再支持,官方推荐luks或dm-crypt加密。 $ man qemu-img ... Use of qcow / qcow2 encryption is thus strongly discouraged. Users are recommended to use an alte...
Linux——分区方式修改及磁盘加密LUKS
Treasured ——的博客
11-14 2684
一、分区方式修改 查看分区标签(现在是dos) 将原来的分区全部删除掉(因为在修改分区标签时也会询问是否摧毁原磁盘数据) 开始修改设备分区方式标签:parted  /dev/vdb 查看标签修改成功(现在是gpt) GPT:“全局唯一标识磁盘分区表”,对分区数量没有限制,GPT可管理硬盘大小达到了18EB,而MBR有最大4个分区表的限制,因而GPT更满足企业的分区 二、磁盘加密...
Ubuntu上 LUKS的使用以及开启自动加密
jmhIcoding
09-04 7656
LUKS(Linux Unified Key Setup)为Linux硬盘分区加密提供了一种标准,它不仅能通用于不同的Linux发行版本,还支持多用户/口令。 Crypsetup工具加密的特点: 加密后不能直接挂载 加密后硬盘丢失也不用担心数据被盗 加密后必须做映射才能挂载 本教程简单介绍,如何在ubuntu 虚拟机使用这玩意。 首先,LUKS加密是基于分区的。 其次,首次建立加密分区的时候...
Ubuntu多硬盘luks全盘加密自动解锁(硬件变更后失效)的方法
Alisebeast的博客
01-14 5376
大家都知道,Linux现在用Luks全盘加密一直有一个痛点,就是每次开机都需要输入解密硬盘的密码,之后又要输入用户密码,非常的麻烦!本文正是为了解决这个问题诞生的!
加密磁盘密钥设置方案浅析 — LUKS1
Take Easy,Work Hard!
11-14 1271
本文简单介绍密钥设置方案在虚拟化场景磁盘加密技术中的应用,LUK1加密磁盘格式
LUKS加密卷应用技术简介
天翼云开发者社区
03-23 467
LUKS(Linux Unified Key Setup)是Linux系统下常用的磁盘加密技术之一(是一种加密规范,而非一种加密算法),具有以下特点:支持多密码对同一个设备的访问;加密密钥不依赖密码;可以改变密码而无需重新加密数据;采用一种数据分割技术来保存加密密钥,保证密钥的安全性。
]# yum install libvirt libvirt-python qemu-kvm qemu-kvm-tools qemu-img -y
最新发布
03-20
### 正确安装 `libvirt`、`libvirt-python`、`qemu-kvm` 及其相关工具 为了正确安装 `libvirt`、`libvirt-python`、`qemu-kvm` 和其他相关工具,可以通过以下方法完成: #### 1. 安装基础组件 在 CentOS 或 RHEL 类似系统上,可以直接使用 `yum` 命令安装所需的软件包。以下是具体的命令集合: ```bash yum install -y qemu-kvm qemu-img libvirt libvirt-python virt-manager virt-install virt-viewer ``` 此命令将一次性安装多个必要的组件[^1]。 #### 2. 验证 KVM 支持 确保硬件支持虚拟化技术,并已启用 BIOS 中的虚拟化选项。运行以下命令验证是否启用了 KVM 模块: ```bash lsmod | grep kvm ``` 如果返回结果为空,则可能未加载模块或硬件不支持虚拟化功能[^4]。 #### 3. 启动并配置服务 安装完成后,需启动 `libvirtd` 服务并将它设置为随系统启动自动运行: ```bash systemctl start libvirtd systemctl enable libvirtd ``` #### 4. 测试虚拟机创建能力 可以尝试通过 `virt-manager` 图形界面或者命令行工具 `virt-install` 来创建一台简单的虚拟机以确认环境正常工作[^2]。 对于 Rocky Linux 9 用户而言,除了上述提到的基础依赖外还需要额外增加一些特定于版本的支持库,例如 `bridge-utils`, `libguestfs-tools` 等[^3]: ```bash yum install -y qemu-kvm virt-manager libvirt virt-install virt-viewer \ bridge-utils libguestfs-tools ``` 以上步骤涵盖了从基本需求到高级扩展的所有必要操作说明. ```python print("Libvirt and related tools have been successfully installed.") ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值