LINUX.ORG.RU

Как клонировать зашифрованный centos линукс?

 ,


0

1

Здравствуйте, достался рабочий сервер на centos с зашифрованными разделами - при включении несколько раз просит ввести пароль на диски. Пароль известен, однако не могу сделать acronis копию данного сервера, точнее образ снял, восстановил на другом компе, но при включении пишет dev/mapper/luks-цифры does not exist Вопрос: как правильно снять образ с работающего сервера?


Ответ на: комментарий от frizz

Примонтировать разделы, скопировать в .tar ОС целиком с сохранением всех прав и атрибутов файлов, потом на ином компе сделать аналогичную или иную разметку диска с разделами, восстановить файлы, поправить конфиги /etc/fstab, LUKS по необходимости, восстановить загрузчик. Потребуется LiveFlash и носитель для переноса.

Vsevolod-linuxoid ★★★★★ ()
Ответ на: комментарий от Vsevolod-linuxoid

через гуи-гнома не смогу? у него есть утилита «диски», там выбираю шифрованный раздел, выбираю опцию - создать образ iso, указываю носитель, но пишет ошибку device busy - я понял - не хочет он делать образ во время работы системы.

frizz ()

dev/mapper/luks-цифры does not exist

Должно быть при загрузке неправильно определяет. Если копия посекторная — должно открывать хотя бы, нужно пробовать через LiveUSB.

SM5T001 ()
Ответ на: комментарий от Vsevolod-linuxoid

Что не так? У акрониса есть линуксовые версии: есть stand alone, есть agent. Работают на уровне снапшотов фс (для снапшотов свой ядерный драйвер snapapi, аналогичный видовому snapapi.sys). Другое дело, что это Энтерпрайз продукт и одна лицензия стоит, как чугунный мост. Я сомневаюсь, что ТС выложил овер $1000 за лицензию.

Binkledum ()
Ответ на: комментарий от Vsevolod-linuxoid

Нет, через GUI — никак вообще

Запросто — клонировать диски через gnome-disks проще простого. Дальше просто открыть / и исправить /etc/fstab и сопутствующие файлы, поправив пути, UUID, LABEL и т.п.

SM5T001 ()
Ответ на: комментарий от SM5T001

Ну то есть это тот же посекторный метод, который не работает, как выяснилось (я подозреваю, что LUKS привязывается к конкретному ЖД (увы, но с шифрованием я не работал)).

Vsevolod-linuxoid ★★★★★ ()
Последнее исправление: Vsevolod-linuxoid (всего исправлений: 1)
Ответ на: комментарий от SM5T001

Собственно, лично я бы не стал использовать GUI утилиты по той причине, что я тупо не знаю, что они там внутри делают. С терминалом проще, ты понимаешь, что происходит. Хотя возможно, и GUI сойдет для этой задачи, не знаю. Возможно поторопился ставить на нём крест.

Vsevolod-linuxoid ★★★★★ ()
Ответ на: комментарий от Vsevolod-linuxoid

(я подозреваю, что LUKS привязывается к конкретному ЖД (увы, но с шифрованием я не работал)).

Нет, тут скорее всего проблема с initramfs, а точнее с параметрами в нём, которые при клонировании диска ломаются.

Т.е. в initramfs что-то вроде cryptsetup luskOpen /dev/sdxx luks-n, этот самый luksOpen не срабатывает, соответственно устройство /dev/mapper/luks-n не появляется и система паникует.

SM5T001 ()
Ответ на: комментарий от Vsevolod-linuxoid

В чем разница между консольными и терминальными программами то? Графические конечно могут быть написаны на каких нибудь плюсах и быть запутанны, но и терминальные тоже.

MOPKOBKA ()
Последнее исправление: MOPKOBKA (всего исправлений: 1)
Ответ на: комментарий от Binkledum

Простой пример: запись .iso на флешку.

Её можно провести 3 способами (может и больше, но сходу их придумал столько): побитовое копирование с образа на блочное устройство (если образ гибридный); создание на флешке раздела и ФС и копирование на него файлов, извлеченных из образа и установка загрузчика; создание на флешке раздела и ФС и копирование туда образа целиком, с настройкой загрузчика на выгрузку его в оперативную память (так можно ставить WinXP с флешки, например).

Когда я делаю это сам из терминала, я явно выбираю метод. А если я использую GUI, где просто выбираю флешку, .iso и жму «Записать» — я понятия не имею, как именно эта запись происходит.

Vsevolod-linuxoid ★★★★★ ()
Ответ на: комментарий от Vsevolod-linuxoid

Похоже это LUSK на LVM, корень зашифрован, на /dev/sda2 /boot, а /dev/sda3 — LVM.

Судя по всему моя догадка правильная — клонированный диск содержит кривой initramfs, cryptsetup которого пытается разблокировать не то устройство и как следствие — не может смонтировать /.

SM5T001 ()
Ответ на: комментарий от Vsevolod-linuxoid

Ну если на таком уровне, то да. Другое дело, что это частный пример. А если взять тот же Акронис, то один хер, запустишь ты гуёвую версию, или cmd, это всё равно будет НЁХ (для тебя, не для меня, я знаю, как эта херня работает).

Binkledum ()
Ответ на: комментарий от Vsevolod-linuxoid

если копирование побитовое, как я понял?

Посекторное.

Кто знает, может там какая-то хитрая система разблокировки по ключевому файлу, зависимая от размера конечного диска. А тут он другой, потому и не работает.

Ну или всё проще и при клонировании повреждается заголовок LUKS, хотя с чего бы?

Без дополнительной информации от ТС дальше догадок не уйдёшь, но сообщение /dev/mapper/luks-xx does not exist могла выдать только initramfs.

SM5T001 ()
Ответ на: комментарий от SM5T001

Да. На клоне система зависает на ранних этапах загрузки, сначала идет список ОС (grub), потом открывается консоль с запросом пароля, пароль ввожу, далее внизу идет полоса загрузки centos и потом открывается консоль - пишет не могу найли лукс раздел и вхожу в эмергенси моде. На фото скрины с рабочего сервера. На клоне запрос пароля не такой красивый- как на скрине, а выходит консоль.

frizz ()
Ответ на: комментарий от Binkledum

У акрониса есть линуксовые версии: есть stand alone, есть agent. Работают на уровне снапшотов фс (для снапшотов свой ядерный драйвер snapapi, аналогичный видовому snapapi.sys).

А как же GPL? По идее они обязаны передавать пользователям исходные коды этого драйвера.

А вообще нафига оно нужно если снапшоты и так есть и у LVM и у многих файловых систем типа btrfs? Да и не так часто сервер должен быть доступен 24/7, иногда можно просто перевести в однопользовательский режим, перемонтировать разделы в режим readonly и всё копировать без всяких снапшотов.

Xenius ★★★★★ ()
Ответ на: комментарий от Vsevolod-linuxoid

Собственно, лично я бы не стал использовать GUI утилиты по той причине, что я тупо не знаю, что они там внутри делают.

+1

На сервере GUI вообще быть не должно.

Xenius ★★★★★ ()
Ответ на: комментарий от frizz

Уже понятнее, но всё же.

Есть возможность отправить зашифрованный с помощью PGP файл /run/initramfs/rdsosreport.txt + вывод journalctr(там система как раз подсказывает, что это выведет логи)?

Если есть — могу посмотреть и попробовать помочь. Просить в открытом виде отправить не буду — я так вижу это медучреждение, утечка данных нежелательна.

SM5T001 ()
Ответ на: комментарий от Xenius

А как же GPL? По идее они обязаны передавать пользователям исходные коды этого драйвера.

Исходники передаются (модуль собирается через dkms на этапе инсталляции), но читать их нельзя)) И да, этот модуль taints kernel.

у LVM

Это не так просто и не делает акронисовский образ, у которого свои плюшки в плане всей акронисовской экосистемы.

btrfs

Ну, например, когда я работал в акронисе, никакого btrfs не было, ext4 только планировалась, почти везде была ext3.

Binkledum ()
Ответ на: комментарий от Binkledum

Ну если на таком уровне, то да. Другое дело, что это частный пример. А если взять тот же Акронис, то один хер, запустишь ты гуёвую версию, или cmd, это всё равно будет НЁХ (для тебя, не для меня, я знаю, как эта херня работает).

Зачем вообще акронис нужен в 2020 году? Ну ладно в 1995 каком-нибудь не было ни ntfsresize ни resize2fs ни LVM, а сейчас-то все эти возможности штатно есть даже в Windows (насколько я помню уже в Vista возможность ужать системный раздел была, только работала криво)

Xenius ★★★★★ ()
Ответ на: комментарий от Xenius

Ты говоришь про Acronis Dick Erector? Его вроде уже сто лет как закопали да и он никогда не был основным продуктом компании, и ваще это консюмерский продукт, основное - это комплексные бэкап решения для бизнеса.

Binkledum ()
Ответ на: комментарий от Binkledum

Я всё равно не понимаю нафига нужна какая-то проприетарная фигня. Что, бекапы нельзя сделать обычным rsync или чем-то таким?

В любом случае для данной ситуации акронис не нужен, поскольку имеется возможность просто выключить основной сервер и скопировать разделы в оффлайне. А в этом случае пофиг, что там. LVM или ext2 или fat, всё будет работать, если руки не кривые.

Xenius ★★★★★ ()
Ответ на: комментарий от Xenius

Я всё равно не понимаю нафига нужна какая-то проприетарная фигня. Что, бекапы нельзя сделать обычным rsync или чем-то таким?

Это будет пофайловый бэкап, а не акронисовский образ диска/фс. Для него нужно руками писать скрипты, которые никто не будет поддерживать. Тут ты платишь тонну бабла за готовое решение с энтерпрайз-левел суппортом.

Binkledum ()
Ответ на: комментарий от frizz

Ладно, а зачем ты делаешь клон акронисом? Почему не сделать его вручную с помощью обычных dd и подобных программ?

Для начала тебе нужно запустить диагностические утилиты на основном сервере, что бы узнать как там расположены разделы. Для этого нужны команды fdisk -l и lvdisplay -a

Так ты сможешь посмотреть каким образом у тебя организованы разделы. По скриншоту толком ничего не понятно, а текстовый вывод читать гораздо проще.

Затем, сделать их копии можно без всяких актронисов и так будет понятнее что происходит.

Xenius ★★★★★ ()
Ответ на: комментарий от Xenius

Тут ещё возникает вопрос, каким именно продуктом Акрониса он делает образ и каким способом - это бэкап живой системы с помощью (наверняка пиратской) линуксовой версии, либо это оффлайн бэкап с помощью boot media для хомячной версии Acronis (а в таком случае это ваще официально не работает, ну то есть работать может, но никто ничего не обещает).

Binkledum ()