11 #
Las configuraciones avanzadas del sistema requieren configuraciones de disco específicas. Puede realizar todas las tareas habituales de particionamiento durante la instalación.
Para obtener nombres de dispositivos persistentes con dispositivos de bloques, use los dispositivos de bloque de /dev/disk/by-id
o /dev/disk/by-uuid
.
La LVM (Gestión lógica de volúmenes) es un esquema de partición de discos diseñado para ser mucho más flexible que la partición física utilizada en las configuraciones estándar. Su función de instantáneas permite crear fácilmente copias de seguridad de datos. La matriz redundante de discos independientes (RAID, del inglés Redundant Array of Independent Disks) ofrece niveles superiores de integridad de los datos, rendimiento y tolerancia a fallos. SUSE Linux Enterprise Server también es compatible con E/S de varías vías (consulte el Chapter 18, Managing multipath I/O for devices para obtener información más detallada). También existe la opción de utilizar iSCSI como disco de red (obtenga más información sobre iSCSI en el Chapter 15, Mass storage over IP networks: iSCSI).
Tenga en cuenta que, en el caso de las particiones, el espacio del disco se mide en unidades binarias, en lugar de en unidades decimales. Por ejemplo, si introduce tamaños de 1GB
, 1GiB
o 1G
, todos significan 1 GiB (gibibyte), en lugar de 1 GB (gigabyte).
- Binario
1 GiB = 1 073 741 824 bytes.
- Decimal
1 GB = 1 000 000 000 bytes.
- Diferencia
1 GiB ≈ 1,07 GB.
11.1 Uso del #
Puede añadir, suprimir, redimensionar y editar particiones, así como acceder a las configuraciones de RAID de software y LVM con el Figura 11.1, “Particionador de YaST”).
(Aunque es posible cambiar las particiones del sistema mientras esté en ejecución, se corre un riesgo muy alto de cometer errores que lleven a la pérdida de datos. Conviene por tanto evitar cambiar las particiones del sistema instalado y crear siempre una copia de seguridad de todos los datos antes de hacerlo.
IBM Z solo reconoce discos duros DASD, zFCP y SCSI. Los discos duros IDE no son compatibles. Por eso estos dispositivos aparecen en la tabla de particiones como dasda
o sda
para el primer dispositivo reconocido.
Todas las particiones existentes o sugeridas en todos los discos duros conectados se muestran en la lista /dev/sda
(o /dev/dasda
). Las particiones se muestran como partes de esos dispositivos, como /dev/sda1
(o /dev/dasda1
, respectivamente). También se puede ver el tamaño y el tipo de disco duro, el estado de cifrado, su sistema de archivos y su punto de montaje. El punto de montaje describe si la partición aparece en el árbol del sistema de archivos de Linux.
Hay disponibles varias vistas funcionales en la parte izquierda, en RAID
, Volume Management
o Crypt Files
) y ver sistemas de archivos con funciones adicionales, como Btrfs, NFS o TMPFS
.
Si ejecuta el recuadro de diálogo de particionamiento en modo experto durante el proceso de instalación, el espacio libre en el disco también aparecerá y se seleccionará automáticamente. Para proporcionar más espacio de disco a SUSE Linux Enterprise Server, libere el espacio necesario dirigiéndose desde la parte inferior a la parte superior de la lista de particiones.
11.1.1 Tablas de particiones #
SUSE Linux Enterprise Server permite utilizar y crear diferentes tablas de particiones. En algunos casos, a la tabla de particiones se le denomina etiqueta de disco. La tabla de particiones es importante para el proceso de arranque del equipo. Para arrancar el equipo desde una partición de una tabla de particiones recién creada, asegúrese de que el formato de tabla sea compatible con el firmware.
Para modificar la tabla de particiones, haga clic en el nombre del disco relevante en
y seleccione › .11.1.1.1 Registro de arranque principal #
El registro de arranque principal (MBR) es la antigua tabla de particiones que utilizaban los PC de IBM. A veces también se denomina tablas de particiones MS-DOS. MBR solo admite cuatro particiones primarias. Si el disco ya cuenta con un MBR, SUSE Linux Enterprise Server permite crear particiones adicionales en él que se pueden utilizar como destino de la instalación.
El límite de cuatro particiones se puede evitar mediante la creación de una partición extendida. La partición extendida es a su vez una partición primaria y puede contener más particiones lógicas.
Normalmente, el firmware UEFI admite el arranque desde MBR en el modo legado.
11.1.1.2 Tabla de particiones GPT #
Los equipos UEFI utilizan por defecto una tabla de particiones GUID (GPT). SUSE Linux Enterprise Server creará una GPT en el disco si no existe ninguna otra tabla de particiones.
El firmware de BIOS antiguo no admite el arranque desde particiones GPT.
Se necesita una tabla de particiones GPT para utilizar una de las siguientes funciones:
Más de cuatro particiones primarias
Arranque seguro UEFI
Uso de discos de más de 2 TB
Las particiones GPT creadas con Parted 3.1 o versiones anteriores utilizan el tipo básico de partición de datos de Microsoft en lugar de la más reciente y específica de Linux (GUID GPT). Las versiones más recientes de Parted establecen un indicador erróneo msftdata
en dichas particiones. Esto hace que varias herramientas de disco etiqueten la partición como partición de datos de Windows o algún valor similar.
Para eliminar el indicador, ejecute:
#
parted DEVICE set PARTITION_NUMBER msftdata off
11.1.1.3 Tablas de particiones en IBM Z #
En plataformas IBM Z, SUSE Linux Enterprise Server admite el uso de discos duros SCSI y dispositivos de almacenamiento de acceso directo (DASD). En los discos SCSI se pueden crear particiones tal y como se describe anteriormente; los discos DASD, por el contrario, no pueden tener más de tres entradas de particiones en las tablas de particiones.
11.1.2 Particiones #
El particionador de YaST permite crear y formatear particiones con varios sistemas de archivos. El sistema de archivos que emplea SUSE Linux Enterprise Server por defecto es Btrfs
. Para obtener información, consulte la Sección 11.1.2.2, “Particiones Btrfs”.
Hay disponibles otros sistemas de archivos de uso común: Ext2
, Ext3
, Ext4
, FAT
, XFS
, Swap
y UDF
.
11.1.2.1 Creación de particiones #
Para crear una partición, seleccione
y después elija un disco duro con espacio libre. La modificación en sí se puede llevar a cabo en la pestañaHaga clic en MBR, especifique si desea crear una partición primaria o extendida. Dentro de la partición extendida, puede crear varias particiones lógicas. Para obtener información, consulte la Sección 11.1.1, “Tablas de particiones”.
para crear una nueva partición. Si utilizaEspecifique el tamaño de la nueva partición. Puede decidir si desea ocupar todo el espacio libre no particionado o introducir un tamaño personalizado.
Seleccione el sistema de archivos que desee utilizar y un punto de montaje. YaST sugiere un punto de montaje para cada partición que se cree. Para utilizar otro método de montaje, como el montaje por etiquetas, seleccione
Especifique otras opciones adicionales del sistema de archivos si la configuración lo requiere. Esto es preciso, por ejemplo, si debe disponer de nombres de dispositivos persistentes. Para obtener información detallada acerca de las opciones disponibles, consulte la Sección 11.1.3, “Edición de particiones”.
Haga clic en
para aplicar la configuración de particionamiento y salir del módulo.Si ha creado la partición durante la instalación, volverá a la pantalla de resumen de la instalación.
11.1.2.2 Particiones Btrfs #
El sistema de archivos por defecto para la partición raíz es Btrfs. Para obtener más detalles, consulte el Chapter 10, System recovery and snapshot management with Snapper y el Chapter 1, Overview of file systems in Linux. El sistema de archivos raíz es el subvolumen por defecto y no se muestra en la lista de subvolúmenes creados. Como subvolumen Btrfs por defecto, puede montarse como un sistema de archivos normal.
Según el método de configuración de particiones por defecto, es recomendable que la partición raíz sea Btrfs y que /boot
sea un directorio. Para cifrar la partición "root", asegúrese de utilizar el tipo de tabla de particiones GPT en lugar del tipo MSDOS que se utiliza por defecto. Si no lo hace, puede que el cargador de arranque GRUB2 no tenga espacio suficiente para el cargador de la segunda fase.
Es posible crear instantáneas de subvolúmenes Btrfs, ya sea manual o automáticamente a partir de eventos del sistema. Por ejemplo, al realizar cambios en el sistema de archivos, zypper
invoca al comando snapper
para crear instantáneas antes y después del cambio. Esto resulta útil si no queda satisfecho con el cambio que zypper
ha realizado y quiere volver al estado anterior. Como el comando snapper
invocado por zypper
crea las instantáneas por defecto en el sistema de archivos raíz, es buena idea excluir ciertos directorios de las instantáneas. Por eso YaST sugiere crear los siguientes subvolúmenes independientes:
/boot/grub2/i386-pc
,/boot/grub2/x86_64-efi
,/boot/grub2/powerpc-ieee1275
,/boot/grub2/s390x-emu
No se admite la reversión de la configuración del cargador de arranque. Los directorios mostrados anteriormente son específicos de la arquitectura. Los dos primeros directorios están presentes en equipos AMD64/Intel 64, los dos últimos en IBM POWER e IBM Z, respectivamente.
/home
Si
/home
no se encuentra en una partición independiente, se excluye para evitar la pérdida de datos cuando se produce una reversión./opt
Normalmente, los productos de otros fabricantes se instalan en
/opt
. Se excluye para evitar la desinstalación de estas aplicaciones cuando se produce una reversión./srv
Contiene datos de los servidores Web y FTP. Se excluye para evitar la pérdida de datos cuando se produce una reversión.
/tmp
Todos los directorios que contienen archivos temporales y cachés se excluyen de las instantáneas.
/usr/local
Este directorio se usa cuando se instala manualmente el software. Se excluye para evitar la desinstalación de estas instalaciones cuando se produce una reversión.
/var
Este directorio incluye muchos archivos de variable en
/var/opt
, incluidos registros, cachés temporales y productos de otros fabricantes, y es la ubicación por defecto de las imágenes y las bases de datos de la máquina virtual. Por lo tanto, este subvolumen se crea para excluir todos estos datos de variable de las instantáneas y tiene inhabilitada la copia de escritura.
Dado que las instantáneas guardadas requieren más espacio en disco, se recomienda reservar suficiente espacio para Btrfs. Aunque el tamaño mínimo para una partición Btrfs raíz con instantáneas y subvolúmenes por defecto es de 16 GB, SUSE recomienda al menos 32 GB, o más si /home
no reside en una partición independiente.
11.1.2.3 Gestión de subvolúmenes Btrfs mediante YaST #
Ahora los subvolúmenes de una partición Btrfs se pueden gestionar mediante el módulo
de YaST. Puede añadir subvolúmenes nuevos o suprimir los existentes.Elija
en el panel lateral izquierdo.Seleccione la partición Btrfs cuyos subvolúmenes necesite gestionar.
Dependiendo de si desea editar, añadir o suprimir subvolúmenes, haga lo siguiente:
Para editar un subvolumen, selecciónelo en la lista y haga clic en
. Inhabilitecopy-on-write
(marque ) para el volumen o limite su tamaño. Haga clic en para terminar.Para añadir un nuevo subvolumen, haga clic en
e introduzca su vía. Opcionalmente, puede inhabilitarcopy-on-write
(marque ) para el volumen o limitar su tamaño. Haga clic en para terminar.Para suprimir un subvolumen, selecciónelo en la lista y haga clic en
. Confirme la supresión haciendo clic en- Figura 11.2: Subvolúmenes Btrfs en el particionador de YaST #
Salga del particionador haciendo clic en
11.1.3 Edición de particiones #
Al crear una partición nueva o modificar una existente, se pueden definir varios parámetros. Para las nuevas particiones, los parámetros por defecto definidos por YaST suelen ser suficientes y no es necesario realizar modificaciones. Para editar la configuración de una partición manualmente, realice este procedimiento:
Seleccione la partición.
Haga clic en
para modificar la partición y definir los parámetros:- ID del sistema de archivos
Incluso aunque no desee formatear la partición en este momento, asígnele un identificador de sistema de archivos para asegurarse de que la partición se registre correctamente. Los valores posibles incluyen
y- Sistema de archivos
Para cambiar el sistema de archivos de la partición, haga clic en
y seleccione el tipo de sistema de archivos en la listaSUSE Linux Enterprise Server admite varios tipos de sistemas de archivos. Btrfs es el sistema de archivos óptimo para la partición raíz, debido a sus funciones avanzadas. Admite funciones de copia y escritura, creación de instantáneas, expansión en varios dispositivos, subvolúmenes y otras técnicas útiles. XFS, Ext3 y Ext4 son sistemas de archivos con respaldo de transacciones. Estos sistemas de archivos pueden restaurar el sistema muy rápidamente después de producirse un fallo, ya que los procesos de escritura se registran durante la operación. Ext2 no es un sistema de archivos transaccional, pero es adecuado para particiones más pequeñas, ya que no requiere mucho espacio de disco para la gestión.
El sistema de archivos por defecto para la partición raíz es Btrfs. El sistema de archivos por defecto para las particiones adicionales es XFS.
El sistema de archivos UDF se puede utilizar en soportes ópticos regrabables y no regrabables, en unidades USB y en discos duros. Es compatible con varios sistemas operativos.
El formato de intercambio (Swap) es un formato especial que permite utilizar la partición como memoria virtual. Cree una partición Swap de al menos 256 MB. Sin embargo, si utiliza todo el espacio Swap, tenga en cuenta la posibilidad de añadir memoria al sistema en lugar de añadir espacio Swap.
Aviso: cambio del sistema de archivosCuando se cambia el sistema de archivos y se vuelve a formatear una partición, se suprimen todos los datos incluidos en ella de forma permanente.
Para obtener más información sobre los distintos sistemas de archivos, consulte la Guía de administración del almacenamiento.
- Cifrado de un dispositivo
Si habilita la opción de cifrado, todos los datos se escribirán en el disco duro en forma cifrada. Esto aumenta la seguridad de los datos clave, si bien reduce la velocidad del sistema, ya que el cifrado tarda un tiempo en procesarse. Hay más información acerca del cifrado de sistemas de archivos en Sección 11.2, “Cifrado de dispositivos” y Chapter 12, Encrypting partitions and files.
- Punto de montaje
Especifique el directorio en el que debe montarse la partición en el árbol del sistema de archivos. Seleccione una de las propuestas de YaST o escriba cualquier otro nombre.
- Opciones fstab
Puede especificar distintos parámetros incluidos en el archivo de administración del sistema de archivos global (
/etc/fstab
). Los valores por defecto suelen ser adecuados para la mayoría de las configuraciones. Puede, por ejemplo, cambiar la identificación del sistema de archivos del nombre del dispositivo a una etiqueta de volumen. En la etiqueta de volumen puede usar cualquier carácter, excepto/
y el espacio.Para disponer de nombres de dispositivos persistentes, utilice la opción de montaje SUSE Linux Enterprise Server, los nombres de dispositivos permanentes están habilitados por defecto.
o EnNota: IBM Z: montaje por víaDado que el montaje por ID ocasiona problemas en IBM Z cuando se utiliza la copia de disco a disco con fines de duplicación, los dispositivos se montan por vía en
/etc/fstab
en IBM Z por defecto.Si prefiere montar la partición según su etiqueta, deberá definir una en la entrada de texto
Por ejemplo, puede utilizar la etiquetaHOME
para una partición que se vaya a montar en/home
.Si piensa utilizar cuotas en el sistema de archivos, emplee la opción de montaje Para obtener más información sobre cómo configurar cuotas de usuarios, consulte el Section 6.3.3, “Managing quotas”.
Se debe seleccionar esta opción para poder definir cuotas para los usuarios en el módulo de YaST.Si tiene previsto especificar cuotas para subvolúmenes Btrfs, consulte el Section 1.2.5, “Btrfs quota support for subvolumes”.
Seleccione
para guardar los cambios.
Para cambiar el tamaño de un sistema de archivos existente, seleccione la partición y elija
Tenga en cuenta que no es posible cambiar el tamaño de las particiones mientras estén montadas. Para cambiar el tamaño de las particiones, debe desmontarlas antes de ejecutar la herramienta de particionamiento.11.1.4 Opciones avanzadas (para expertos) #
Después de seleccionar un dispositivo de disco duro (por ejemplo,
) en el panel puede acceder al menú de la parte inferior derecha de la ventana El menú contiene los siguientes comandos:- Crear nueva tabla de particiones
Esta opción ayuda a crear una tabla de particiones nueva en el dispositivo seleccionado.
Aviso: creación de una nueva tabla de particionesCuando se crea una tabla de particiones nueva en un dispositivo, se eliminan de forma definitiva del dispositivo todas las particiones existentes y sus datos.
- Clonar este disco
Esta opción permite clonar el diseño de particiones del dispositivo (pero no los datos) en otros dispositivos de disco disponibles.
11.1.5 Opciones avanzadas #
Después de seleccionar el nombre de host del equipo (el nivel superior del árbol en el panel
), podrá acceder al menú en la esquina inferior derecha de la ventana El menú contiene los siguientes comandos:- Configurar iSCSI
Para acceder a dispositivos SCSI mediante dispositivos de bloques de IP, primero debe configurar iSCSI. De esta forma hay dispositivos adicionales disponibles en la lista principal de particiones.
- Configurar multipath
Esta opción permite configurar la mejora de múltiples vías para los dispositivos de almacenamiento masivo admitidos.
11.1.6 Más consejos sobre partición #
La siguiente sección incluye algunos consejos y sugerencias sobre el particionamiento que le pueden ayudar a tomar las decisiones correctas cuando configure el sistema.
11.1.6.1 Número de cilindros #
Tenga en cuenta que las distintas herramientas de particionamiento empiezan a contar los cilindros de las particiones a partir de 0
o de 1
. Cuando vaya a calcular el número de cilindros, debe averiguar siempre la diferencia entre el último número y el primero y sumarle uno.
11.1.6.2 En uso swap
#
El intercambio se emplea para ampliar la memoria física disponible, lo que permite usar más memoria que la RAM física disponible. El sistema de gestión de la memoria de los núcleos anteriores a la versión 2.4.10 requerían el uso de espacio de intercambio como medida de seguridad. Por lo tanto, si no se contaba al menos con el doble del tamaño de la RAM como espacio de intercambio, el rendimiento del sistema se veía afectado. Estas limitaciones ya no existen.
Linux emplea un algoritmo denominado “LRU” (del inglés Least Recently Used, menos usadas recientemente) para seleccionar las páginas que se pueden mover de la memoria al disco. De esta forma, las aplicaciones que se estén ejecutando disponen de más memoria y su almacenamiento en caché funciona mejor.
Si una aplicación intenta asignar el máximo de memoria permitido, se pueden producir problemas con el intercambio. A continuación se describen los tres problemas principales que conviene observar:
- Sistema sin espacio de intercambio
La aplicación obtiene el máximo de memoria permitido. Se liberan todos los cachés, por lo que todas las demás aplicaciones en ejecución se ralentizan. Tras unos minutos, el mecanismo de interrupción por falta de memoria del núcleo se activa y detiene el proceso.
- Sistema con espacio de intercambio de tamaño medio (entre 128 y 512 MB)
En un primer momento, el sistema se ralentiza como ocurre con los sistemas sin espacio de intercambio. Cuando toda la RAM física se ha asignado, se empieza a utilizar el espacio de intercambio. En este punto, el sistema se vuelve muy lento y es imposible ejecutar comandos de forma remota. En función de la velocidad de los discos duros en los que se encuentre el espacio de intercambio, el sistema permanece en esta situación entre 10 y 15 minutos, hasta que el mecanismo de interrupción por falta de memoria del núcleo resuelve el problema. Tenga en cuenta que se necesita cierta cantidad de espacio de intercambio si el equipo debe realizar una acción de “suspender en disco.” En ese caso, el espacio de intercambio debe ser lo suficientemente grande para contener todos los datos necesarios de la memoria (entre 512 MB y 1 GB).
- Sistema con mucho espacio de intercambio (varios GB)
Es preferible no tener ninguna aplicación que consuma mucha memoria y haga un uso intensivo del espacio de intercambio, en este caso. Si utiliza una aplicación de este tipo, el sistema tardará muchas horas en recuperarse. Es probable que los demás procesos experimenten errores de tiempo límite y otros fallos, provocando que el sistema entre en un estado indefinido, incluso si se interrumpe el proceso que ha originado el fallo. En tal caso, lleve a cabo un arranque en seco del equipo para intentar que vuelva a ponerse en marcha. Disponer de mucho espacio de intercambio solo es útil si se emplea una aplicación que lo requiere. Las aplicaciones de ese tipo (como bases de datos o programas de manipulación de gráficos) incluyen a menudo la opción de utilizar directamente espacio del disco duro para sus necesidades. Conviene emplear esa opción en lugar de utilizar mucho espacio de intercambio.
Si el sistema no presenta un comportamiento extraño, pero requiere más espacio de intercambio después de algún tiempo, es posible ampliarlo en línea. Si ha preparado una partición para el espacio de intercambio, basta con que la añada con YaST. Si no tiene ninguna partición disponible, puede usar un archivo de intercambio para ampliar el espacio disponible. Los archivos de intercambio suelen ser más lentos que las particiones, pero en comparación con la RAM física, ambos son extremadamente lentos, por lo que la diferencia en insignificante.
Para añadir un archivo de intercambio al sistema en ejecución, realice el siguiente procedimiento:
Cree un archivo vacío en el sistema. Por ejemplo, para añadir un archivo de intercambio con 128 MB en
/var/lib/swap/swapfile
, utilice los comandos:>
sudo
mkdir -p /var/lib/swap>
sudo
dd if=/dev/zero of=/var/lib/swap/swapfile bs=1M count=128Inicialice el archivo de intercambio con el comando:
>
sudo
mkswap /var/lib/swap/swapfileNota: UUID modificado para particiones de intercambio al dar formato mediantemkswap
No formatee las particiones de intercambio existentes con el comando
mkswap
si es posible. Si vuelve a dar formato conmkswap
, el valor UUID de la partición de intercambio cambiará. Puede volver a dar formato mediante YaST (se actualizará/etc/fstab
) o ajustar/etc/fstab
de forma manual.Active el archivo de intercambio con el comando:
>
sudo
swapon /var/lib/swap/swapfilePara inhabilitar el archivo de intercambio, utilice el comando:
>
sudo
swapoff /var/lib/swap/swapfileCompruebe el espacio de intercambio disponible con el comando:
>
cat /proc/swapsTenga en cuenta que en este punto se trata solo de espacio de intercambio temporal. Después del próximo arranque, dejará de utilizarse.
Para habilitar el archivo de intercambio de forma permanente, añada la siguiente línea a
/etc/fstab
:/var/lib/swap/swapfile swap swap defaults 0 0
11.1.7 Particionamiento y LVM #
En
acceda a la configuración de LVM haciendo clic en el elemento en el panel Sin embargo, si ya existe una configuración LVM en el sistema, se activa automáticamente al introducir la configuración LVM inicial de una sesión. En tal caso, los discos que contenga una partición (que pertenezca a un grupo de volúmenes activado) no se podrán volver a particionar. El núcleo de Linux no puede volver a leer la tabla de particiones modificada de un disco duro si hay alguna partición de ese disco en uso. Si ya tiene una configuración LVM funcionando en el sistema, no debería ser necesario hacer un particionamiento físico. En lugar de ello, cambie la configuración de los volúmenes lógicos.
Al comienzo de los volúmenes físicos (PV) se escribe información al respecto en la partición. Para volver a utilizar una partición con otros fines diferentes a LVM, se recomienda suprimir el principio de este volumen. Por ejemplo, en el VG system
y PV /dev/sda2
, esto se puede hacer con el comando:
dd
if=/dev/zero of=/dev/sda2 bs=512 count=1
El sistema de archivos que se utilice para arrancar (el sistema de archivos raíz o /boot
) no se puede almacenar en un volumen lógico de LVM. En su lugar, almacénelo en una partición física normal.
Para obtener más información acerca de LVM, consulte el Storage Administration Guide.
11.2 Cifrado de dispositivos #
La configuración de clave unificada de Linux (LUKS) es el estándar para el cifrado de disco de Linux. Proporciona un formato en disco estandarizado y permite a los usuarios transportar o migrar datos sin problemas.
LUKS se utiliza para cifrar dispositivos de bloques. El contenido del dispositivo cifrado es arbitrario y, por lo tanto, se puede cifrar cualquier sistema de archivos, incluidas las particiones de intercambio. Toda la información de configuración necesaria, por ejemplo, las claves de cifrado y los parámetros, como el tipo de cifrado y el tamaño de la clave, se almacena en el encabezado de la partición.
El cifrado se realiza con un enfoque de varios niveles. En primer lugar, el dispositivo de bloques se cifra mediante una clave principal. A continuación, esta clave principal se cifra con las claves de cada usuario activo. Las claves de usuario se derivan de contraseñas codificadas, claves de seguridad FIDO2, TPM o tarjetas inteligentes. Este enfoque multicapa permite a los usuarios cambiar su contraseña codificada sin volver a cifrar todo el dispositivo de bloques.
Para obtener más información acerca de LUKS, consulte el Chapter 13, Storage encryption for hosted applications with cryptctl.
11.2.1 Métodos de cifrado #
Para cifrar un dispositivo, siga las instrucciones de la Sección 11.1.3, “Edición de particiones”
El cifrado LUKS2 se admite en el particionador de YaST a partir de SUSE Linux Enterprise 15 SP4, pero debe habilitarse explícitamente. Hay dos formas de hacerlo:
En el momento del arranque, añadiendo el parámetro a
YAST_LUKS2_AVAILABLE
a la línea de comandos del kernel. Para obtener más información sobre los parámetros de arranque, consulte el Capítulo 8, Parámetros de arranque.Durante la instalación en la configuración de YaST:
En la interfaz gráfica, pulse Ctrl–Alt–Mayús–C.
En la interfaz de texto, pulse Ctrl–D y luego Mayús–C.
Compruebe
Enable Experimental LUKS2 Encryption Support
y salga de la pantalla de configuración conOK
.
Si no habilita la compatibilidad con LUKS2, la selección de
no estará visible y solo tendrá que introducir la contraseña de cifrado.- (LUKS1 normal)
Este método permite cifrar el dispositivo mediante LUKS1. Debe proporcionar la contraseña de cifrado. Las contraseñas adicionales (hasta un total de ocho) se pueden añadir posteriormente con
cryptsetup luksAddKey
.- (LUKS2 normal)
LUKS2 utiliza una versión más reciente del formato de encabezado, que es resistente a la corrupción y admite hasta 32 claves de usuario y etiquetas de dispositivo. Debe proporcionar la contraseña de cifrado y la función de derivación de clave basada en contraseña (PBKDF) que se utilizará para proteger esa contraseña codificada (consulte la Sección 11.2.2, “Funciones de derivación de claves basadas en contraseñas”).
- (LUKS2 penetrante, solo en IBM Z)
Este método permite cifrar el dispositivo mediante LUKS2 con una clave segura principal procesada por un coprocesador criptográfico Crypto Express configurado en modo CCA. Si el sistema de cifrado ya contiene una clave segura asociada a este volumen, se utilizará dicha clave. De lo contrario, se generará una nueva clave segura y se registrará en el sistema. Debe proporcionar una contraseña de cifrado que se utilizará para proteger el acceso a esa clave principal. Además, si hay varios APQN en el sistema, puede seleccionar cuál desea utilizar.
Para obtener más información sobre el cifrado penetrante, consulte https://www.ibm.com/docs/en/linux-on-systems?topic=security-pervasive-encryption.
- (Cifrado con clave aleatoria volátil, solo para dispositivos de intercambio)
Este método cifra un dispositivo de intercambio con una clave generada aleatoriamente en el arranque y, por lo tanto, no admite la hibernación en el disco duro. El dispositivo de intercambio se vuelve a cifrar en cada arranque y se destruye su contenido anterior. Para evitar la pérdida de datos, inhabilite la hibernación y configure el sistema para que se apague.
Además de la clave de cifrado, la etiqueta del dispositivo y el UUID cambian cada vez que se vuelve a cifrar el intercambio, por lo que no es una opción válida para montar un dispositivo de intercambio cifrado aleatoriamente. Asegúrese de que se hace referencia al dispositivo de intercambio mediante un nombre estable que no esté sujeto a cambios cada vez que se reinicie el archivo
/etc/crypttab
. Por ejemplo, para una partición de intercambio es más seguro utilizar el ID del dispositivo udev o la vía en lugar del nombre del dispositivo de la partición, ya que ese nombre de dispositivo puede asignarse a una partición diferente durante el siguiente arranque. Si esto ocurre, se podría cifrar un dispositivo incorrecto en lugar de su dispositivo de intercambio.YaST intenta utilizar nombres estables en
/etc/crypttab
, a menos que esté configurado para utilizar siempre nombres de dispositivo (consulte la sección del particionador). Sin embargo, para algunos dispositivos, puede que no sea posible encontrar un nombre completamente estable. Utilice el cifrado con claves volátiles solo si está seguro de las implicaciones.- (Intercambio protegido, solo para dispositivos de intercambio)
Este método cifra un dispositivo de intercambio con una clave AES protegida volátil sin necesidad de un coprocesador criptográfico. Es una mejora con respecto al método
Encryption with Volatile Random Key
y todas las consideraciones para ese método siguen siendo válidas.- (Intercambio seguro, solo para dispositivos de intercambio)
Este método cifra un dispositivo de intercambio con una clave AES segura volátil generada desde un coprocesador de cifrado. Es una mejora con respecto al método
Encryption with Volatile Random Key
y todas las consideraciones para ese método siguen siendo válidas.
11.2.2 Funciones de derivación de claves basadas en contraseñas #
La función de derivación de clave basada en contraseña (PBKDF) que se debe usar depende del contexto, las capacidades del hardware y el nivel necesario de compatibilidad con otros componentes del sistema:
- PBKDF2
PBKDF2
es la función que utiliza LUKS1. Se define en RFC 2898.- Argon2i
Argon2 es una función diseñada para ser más segura y para requerir mucha memoria para ser calculada. Se define en RFC 9106. Argon2i es una variante de Argon2 optimizada para resistir ataques de canal lateral al acceder a la matriz de memoria en un orden independiente de la contraseña.
- Argon2id
Argon2id es una versión híbrida de Argon2. Sigue el enfoque de Argon2i para la primera mitad de la transferencia de memoria y el enfoque de Argon2d (no compatible con YaST) para limitar los ataques de descifrado de la GPU en las pasadas siguientes. RFC 9106 recomienda usar Argon2id si no conoce la diferencia entre los tipos o si considera que los ataques de canal lateral son una amenaza viable.
Aunque Argon2
es más seguro, todavía hay casos en los que se puede usar PBKDF2
:
Como función de seguridad intencionada, Argon2 requiere mucha más memoria para su cálculo. Esto puede provocar problemas en algunos sistemas. Si se puede garantizar la seguridad de la contraseña, el uso de PBKDF2 puede ser seguro y ahorrar memoria.
grub2
ofrece compatibilidad limitada para arrancar desde dispositivos cifrados con LUKS2, pero solo si se utiliza PBKDF2. Esto significa que no puede utilizar Argon2 para un sistema de archivos que contenga el directorio/boot
. Tenga en cuenta que incluso si se utiliza PBKDF2, puede ser necesario realizar alguna configuración degrub2
manual para arrancar desde un dispositivo LUKS2.
Para obtener más información sobre la configuración del cifrado de dispositivos con LUKS, utilice el botón Help
del instalador y consulte el Chapter 13, Storage encryption for hosted applications with cryptctl.
11.3 Configuración de LVM #
En esta sección se explican los pasos específicos que deben realizarse al configurar LVM. Si necesita información sobre el gestor de volúmenes lógicos en general, consulte el Section 5.1, “Understanding the logical volume manager”.
El uso de LVM se asocia a veces con un aumento del riesgo, por ejemplo, de pérdida de datos. Otros riesgos posibles incluirían la detención de las aplicaciones por fallo, fallos de alimentación y comandos erróneos. Haga una copia de seguridad de los datos antes de implementar LVM o volver a configurar los volúmenes. Nunca haga nada sin haber hecho antes una copia de seguridad.
Puede acceder a la configuración de YaST LVM desde el Particionamiento en modo experto de YaST (consulte la Sección 11.1, “Uso del ) dentro del elemento ” del panel El permite gestionar discos duros y particiones, así como configurar configuraciones RAID y LVM.
11.3.1 Creación de un volumen físico #
La primera tarea consiste en crear volúmenes físicos para proporcionar espacio a un grupo de volúmenes:
Seleccione un disco duro en
Acceda a la pestaña
Haga clic en
y escriba el tamaño que desee asignar al PV en el disco seleccionado.Utilice
y cambie el valor de a . No monte la partición.Repita este procedimiento hasta que haya definido todos los volúmenes físicos que desee en los discos disponibles.
11.3.2 Creación de grupos de volúmenes #
Si no existe ningún grupo de volúmenes en el sistema, debe añadir uno (consulte la Figura 11.3, “Creación de un grupo de volúmenes”). Es posible crear grupos adicionales haciendo clic en en el panel y, a continuación, en Suele bastar con un único grupo de volúmenes.
Escriba un nombre para el grupo de volúmenes, por ejemplo,
system
.Seleccione el tamaño físico extendido que desee.
Este valor define el tamaño de un bloque físico en el grupo de volúmenes. Todo el espacio en disco de un grupo de volúmenes se gestiona en bloques de este tamaño.Añada los PV preparados al VG seleccionando el dispositivo y haciendo clic en Control a la vez que se seleccionan los dispositivos.
Es posible seleccionar varios dispositivos manteniendo pulsada la teclaElija
para continuar con el proceso de configuración del VG.
Si dispone de varios grupos de volúmenes definidos y desea añadir o eliminar volúmenes físicos, seleccione el grupo de volúmenes en la lista
y haga clic en En la ventana siguiente, puede añadir volúmenes físicos o eliminarlos del grupo de volúmenes seleccionado.11.3.3 Configuración de volúmenes lógicos #
Después de incorporar volúmenes físicos al grupo de volúmenes, debe definir los volúmenes lógicos que debe utilizar el sistema operativo en el siguiente recuadro de diálogo. Elija el grupo de volúmenes adecuado y acceda a la pestaña
Utilice las opciones y con los volúmenes lógicos como sea necesario hasta ocupar todo el espacio del grupo de volúmenes. Debe asignar al menos un LV a cada grupo de volúmenes.Haga clic en
y recorra las pantallas del asistente que se abrirá:Escriba el nombre del LV. Si se trata de una partición que se deba montar en
/home
, se puede emplear un nombre comoHOME
.Seleccione el tipo de LV. Puede ser
o Tenga en cuenta que primero es necesario crear un depósito flexible que pueda almacenar volúmenes flexibles. La gran ventaja del aprovisionamiento flexible es que la suma total de todos los volúmenes flexibles almacenados en un depósito flexible, puede superar el tamaño del propio depósito.Seleccione el tamaño y el número de bandas del volumen lógico (LV). Si solo tiene un volumen físico, no resulta útil seleccionar varias bandas.
Elija el sistema de archivos que se debe utilizar en el LV y el punto de montaje.
El uso de bandas permite distribuir el flujo de datos del LV entre varios PV (repartición). Sin embargo, solo es posible repartir los datos de un volumen sobre diferentes volúmenes físicos. Y cada uno de ellos debe ofrecer al menos la misma cantidad de espacio que el volumen. El número máximo de reparticiones equivale al número de volúmenes físicos, donde la repartición "1" significa "sin repartición de datos". La repartición de datos solo tiene sentido si los volúmenes físicos están en diferentes discos duros, de lo contrario se reducirá el rendimiento.
YaST no puede verificar las entradas relacionadas con la creación de bandas en este momento. Los errores cometidos aquí se mostrarán más adelante cuando LVM se implemente en el disco.
Si ya ha configurado LVM en el sistema, se pueden utilizar también los volúmenes lógicos existentes. Antes de continuar, asigne los puntos de montaje adecuados a esos volúmenes lógicos. Haga clic en
para volver al de YaST y finalizar el procedimiento.11.4 RAID de software #
En esta sección se describen las acciones necesarias para crear y configurar varios tipos de RAID. En caso de que necesite información sobre RAID, consulte el Section 7.1, “Understanding RAID levels”.
11.4.1 Configuración de RAID de software #
A la configuración de Sección 11.1, “Uso del . Esta herramienta de particionamiento permite editar y suprimir las particiones existentes y crear otras nuevas para que se utilicen con el software RAID: ”
de YaST se accede desde la herramienta de YaST, descrita en laSeleccione un disco duro en
Acceda a la pestaña
Haga clic en
y escriba el tamaño que desee asignar a la partición RAID en el disco.Utilice
para no formatear la partición y cambie el valor de a . No monte la partición.Repita este procedimiento hasta que haya definido todos los volúmenes físicos que desee en los discos disponibles.
Para RAID 0 y RAID 1, se necesitan al menos dos particiones: para RAID 1, suelen ser exactamente dos. Si se usa RAID 5, se necesitan al menos tres particiones; RAID 6 y RAID 10 necesitan al menos cuatro particiones. Se recomienda usar solo particiones del mismo tamaño. Las particiones RAID deben encontrarse en discos duros distintos para reducir el riesgo de que se pierdan datos si una de ellas es defectuosa (RAID 1 y 5) y para optimizar el rendimiento de RAID 0. Cuando se hayan creado todas las particiones que se deseen utilizar con RAID, haga clic en
› para comenzar la configuración.En el recuadro de diálogo siguiente, elija entre los niveles de RAID 0, 1, 5, 6 y 10. A continuación, seleccione todas las particiones de los tipos “Linux RAID” o “Linux nativo” que deba utilizar el sistema RAID. No se muestran intercambios ni particiones DOS.
Para añadir una partición no asignada previamente al volumen RAID seleccionado, haga clic primero en la partición y, a continuación, en
. Asigne todas las particiones reservadas para RAID. De lo contrario, el espacio de la partición permanecerá inutilizado. Una vez que haya asignado todas las particiones, haga clic en para seleccionar los valores que desee en
En este último paso, defina el sistema de archivos que se debe utilizar, así como el método de cifrado y el punto de montaje para el volumen RAID. Después de completar la configuración con /dev/md0
y los demás indicados con RAID en el .
11.4.2 Solución de problemas #
Consulte el archivo /proc/mdstat
para averiguar si se ha dañado una partición RAID. Si el sistema falla, apague el equipo y sustituya el disco duro por uno nuevo particionado del mismo modo. A continuación, reinicie el sistema y ejecute mdadm
/dev/mdX --add
/dev/sdX
. Sustituya "X" por sus propios identificadores de dispositivos. Esto integra el disco duro de forma automática en el sistema RAID y lo reconstruye completamente.
Tenga en cuenta que, si bien es posible acceder a todos los datos durante el proceso, puede que el rendimiento sea menor hasta que se haya realizado la reconstrucción por completo.
11.4.3 Más información #
Encontrará las instrucciones de configuración y más información acerca del RAID de software en:
Hay disponibles listas de correo de Linux RAID, como https://marc.info/?l=linux-raid.