Stratis 在其官方网站上被描述为“易于使用的 Linux 本地存储管理”。请看这个短视频，快速演示基础知识。该视频是在 Red Hat Enterprise Linux 8 系统上录制的。视频中显示的概念也适用于 Fedora 中的 Stratis。

Stratis 2.1 版本引入了对加密的支持。继续阅读以了解如何在 Stratis 中开始加密。

先决条件

加密需要 Stratis 2.1 或更高版本。这篇文章中的例子使用的是 Fedora 33 的预发布版本。Stratis 2.1 将用在 Fedora 33 的最终版本中。

你还需要至少一个可用的块设备来创建一个加密池。下面的例子是在 KVM 虚拟机上完成的，虚拟磁盘驱动器为 5GB（/dev/vdb）。

在内核密钥环中创建一个密钥

Linux 内核密钥环keyring用于存储加密密钥。关于内核密钥环的更多信息，请参考keyrings手册页（man keyrings）。

使用stratis key set命令在内核钥匙圈中设置密钥。你必须指定从哪里读取密钥。要从标准输入中读取密钥，使用-capture-key选项。要从文件中读取密钥，使用-keyfile-path <file>选项。最后一个参数是一个密钥描述。它将稍后你创建加密的 Stratis 池时使用。

例如，要创建一个描述为pool1key的密钥，并从标准输入中读取密钥，可以输入：

该命令提示我们输入密钥数据/密码，然后密钥就创建在内核密钥环中了。

要验证密钥是否已被创建，运行stratis key list：

这将验证是否创建了pool1key。请注意，这些密钥不是持久的。如果主机重启，在访问加密的 Stratis 池之前，需要再次提供密钥（此过程将在后面介绍）。

如果你有多个加密池，它们可以有一个单独的密钥，也可以共享同一个密钥。

也可以使用以下keyctl命令查看密钥：

创建加密的 Stratis 池

现在已经为 Stratis 创建了一个密钥，下一步是创建加密的 Stratis 池。加密池只能在创建池时进行。目前不可能对现有的池进行加密。

使用stratis pool create命令创建一个池。添加-key-desc和你在上一步提供的密钥描述（pool1key）。这将向 Stratis 发出信号，池应该使用提供的密钥进行加密。下面的例子是在/dev/vdb上创建 Stratis 池，并将其命名为pool1。确保在你的系统中指定一个空的/可用的设备。

你可以使用stratis pool list命令验证该池是否已经创建：

在上面显示的示例输出中，~Ca表示禁用了缓存（~否定了该属性）。Cr表示启用了加密。请注意，缓存和加密是相互排斥的。这两个功能不能同时启用。

接下来，创建一个文件系统。下面的例子演示了创建一个名为filesystem1的文件系统，将其挂载在/filesystem1挂载点上，并在新文件系统中创建一个测试文件：

重启后访问加密池

当重新启动时，你会发现 Stratis 不再显示你的加密池或它的块设备：

要访问加密池，首先要用之前使用的相同的密钥描述和密钥数据/口令重新创建密钥：

接下来，运行stratis pool unlock命令，并验证现在可以看到池和它的块设备：

接下来，挂载文件系统并验证是否可以访问之前创建的测试文件：

使用 systemd 单元文件在启动时自动解锁 Stratis 池

可以在启动时自动解锁 Stratis 池，无需手动干预。但是，必须有一个包含密钥的文件。在某些环境下，将密钥存储在文件中可能会有安全问题。

下图所示的 systemd 单元文件提供了一个简单的方法来在启动时解锁 Stratis 池并挂载文件系统。欢迎提供更好的/替代方法的反馈。你可以在文章末尾的评论区提供建议。

首先用下面的命令创建你的密钥文件。确保用之前输入的相同的密钥数据/密码来代替passphrase。

确保该文件只能由 root 读取：

在/etc/systemd/system/stratis-filesystem1.service创建包含以下内容的 systemd 单元文件：

接下来，启用服务，使其在启动时运行：

现在重新启动并验证 Stratis 池是否已自动解锁，其文件系统是否已挂载。

结语

在今天的环境中，加密是很多人和组织的必修课。本篇文章演示了如何在 Stratis 2.1 中启用加密功能。

原文地址：https://linux.cn/article-13311-1.html