11 #
Configurações de sistema sofisticadas exigem instalações de disco específicas. Você pode executar todas as tarefas comuns de particionamento durante a instalação.
Para obter uma nomeação de dispositivo persistente com dispositivos de bloco, use os dispositivos de bloco em /dev/disk/by-id
ou /dev/disk/by-uuid
.
O LVM (Logical Volume Management — Gerenciamento de Volumes Lógicos) é um esquema de particionamento de disco projetado para ser muito mais flexível que o particionamento físico usado nas configurações padrão. Sua funcionalidade de instantâneo permite criar facilmente backups de dados. A RAID (Redundant Array of Independent Disks — Matriz Redundante de Discos Independentes) oferece maior integridade de dados, desempenho e tolerância a falhas. O SUSE Linux Enterprise Server também suporta múltiplos caminhos de E/S (consulte o Chapter 18, Managing multipath I/O for devices para obter detalhes). Também há a opção de usar iSCSI como disco de rede (leia mais sobre iSCSI no Chapter 15, Mass storage over IP networks: iSCSI).
Observe que, para fins de particionamento, o espaço em disco é medido em unidades binárias, em vez de unidades decimais. Por exemplo, se você inserir os tamanhos 1GiB
, 1GB
ou 1G
, todos eles significarão 1 GiB (Gibibyte), e não 1 GB (Gigabyte).
- Binário
1 GiB = 1 073 741 824 bytes.
- Decimal
1 GB = 1 000 000 000 bytes.
- Diferença
1 GiB ≈ 1,07 GB.
11.1 Usando o #
No Figura 11.1, “O particionador do YaST”), é possível adicionar, apagar, redimensionar e editar partições, além de acessar a configuração do RAID e LVM.
(Embora seja possível reparticionar o sistema durante sua execução, o risco de cometer um erro que cause perda de dados é muito alto. Tente evitar o reparticionamento do sistema instalado e sempre crie um backup completo dos dados antes de tentar fazer isso.
O IBM Z reconhece apenas discos rígidos DASD, zFCP e SCSI. Os discos rígidos IDE não são suportados. Por isso, esses dispositivos aparecem na tabela de partição como dasda
ou sda
para o primeiro dispositivo reconhecido.
Todas as partições existentes ou sugeridas em todos os discos rígidos conectados são exibidas na lista de /dev/sda
(ou /dev/dasda
). As partições são listadas como partes desses dispositivos, por exemplo, /dev/sda1
(ou /dev/dasda1
, respectivamente). O tamanho, tipo, status da criptografia, sistema de arquivos e ponto de montagem dos discos rígidos e suas partições também são exibidos. O ponto de montagem descreve onde a partição aparece na árvore do sistema de arquivos do Linux.
Várias telas funcionais estão disponíveis na RAID
, Volume Management
e Crypt Files
), e ver os sistemas de arquivos com recursos adicionais, como Btrfs, NFS ou TMPFS
.
Se a caixa de diálogo de especialista for executada durante a instalação, os espaços livres no disco rígido também serão listados e selecionados automaticamente. Para oferecer mais espaço em disco ao SUSE Linux Enterprise Server, libere o espaço necessário, de baixo para cima na lista de partições.
11.1.1 Tabelas de partição #
O SUSE Linux Enterprise Server permite usar e criar diferentes tabelas de partição. Em alguns casos, a tabela de partição é chamada rótulo de disco. A tabela de partição é importante para o processo de boot do computador. Para inicializar a máquina de uma partição em uma tabela de partição recém-criada, verifique se o formato da tabela é suportado pelo firmware.
Para mudar a tabela de partição, clique no nome do disco relevante na
e escolha › .11.1.1.1 MBR (Master Boot Record) #
O MBR (Master Boot Record) é a tabela de partição legada usada em PCs IBM. Às vezes, ele também é chamado de tabela de partição MS-DOS. O MBR suporta apenas quatro partições primárias. Se o disco já tem um MBR, o SUSE Linux Enterprise Server permite criar partições adicionais nas quais ele pode ser usado como destino de instalação.
O limite de quatro partições pode ser resolvido com a criação de uma partição estendida. A própria partição estendida é primária e pode conter mais partições lógicas.
Em geral, o firmware UEFI suporta a inicialização do MBR no modo legado.
11.1.1.2 Tabela de partição GPT #
Por padrão, os computadores UEFI usam uma GPT (GUID Partition Table – Tabela de Partição GUID). O SUSE Linux Enterprise Server criará uma GPT em um disco, se não houver nenhuma outra tabela de partição.
O firmware BIOS antigo não suporta a inicialização de partições GPT.
Você precisa de uma tabela de partição GPT para usar um dos seguintes recursos:
Mais do que quatro partições primárias
Boot Seguro UEFI
Usar discos maiores do que 2 TB
As partições GPT criadas com o Parted 3.1 ou versões anteriores usam o tipo de partição de Dados Básicos da Microsoft, em vez do GUID mais recente da GPT específico do Linux. As versões mais recentes do Parted definem o flag msftdata
incorretamente nessas partições. Isso faz com que várias ferramentas de disco rotulem a partição como uma Partição de Dados do Windows ou similar.
Para remover o flag, execute:
#
parted DEVICE set PARTITION_NUMBER msftdata off
11.1.1.3 Tabelas de partição no IBM Z #
Nas plataformas IBM Z, o SUSE Linux Enterprise Server suporta discos rígidos SCSI e dispositivos de armazenamento de acesso direto (DASD). Embora seja possível particionar os discos SCSI da maneira descrita acima, os DASDs não podem ter mais de três entradas de partição em suas tabelas de partição.
11.1.2 Partições #
O Particionador do YaST pode criar e formatar partições com vários sistemas de arquivos. O sistema de arquivos padrão usado pelo SUSE Linux Enterprise Server é Btrfs
. Para obter os detalhes, consulte a Seção 11.1.2.2, “Particionamento Btrfs”.
Outros sistemas de arquivos usados com frequência estão disponíveis: Ext2
, Ext3
, Ext4
, FAT
, XFS
, Swap
e UDF
.
11.1.2.1 Criando uma partição #
Para criar uma partição, selecione
e, em seguida, um disco rígido com espaço livre. A modificação real pode ser feita na guia :Clique em MBR, especifique para criar uma partição primária ou estendida. Na partição estendida, você pode criar várias partições lógicas. Para obter os detalhes, consulte a Seção 11.1.1, “Tabelas de partição”.
para criar uma nova partição. Ao usar oEspecifique o tamanho da nova partição. É possível ocupar todo o espaço livre não particionado ou digitar um tamanho personalizado.
Selecione o sistema de arquivos a ser usado e um ponto de montagem. O YaST sugere um ponto de montagem para cada partição criada. Para usar um método de montagem diferente, como montagem por rótulo, selecione
.Especifique opções de sistema de arquivos adicionais se sua configuração exigi-las. Isso será necessário, por exemplo, se você precisar de nomes de dispositivos persistentes. Para obter mais informações sobre as opções disponíveis, consulte a Seção 11.1.3, “Editando uma partição”.
Clique em
para aplicar sua configuração de particionamento e sair desse módulo.Se tiver criado a partição durante a instalação, você retornará à tela de visão geral da instalação.
11.1.2.2 Particionamento Btrfs #
O sistema de arquivos padrão para a partição raiz é o Btrfs. Para obter os detalhes, consulte Chapter 10, System recovery and snapshot management with Snapper e Chapter 1, Overview of file systems in Linux. O sistema de arquivos raiz é o subvolume padrão e não aparece na lista de subvolumes criados. Sendo um subvolume Btrfs padrão, ele pode ser montado como um sistema de arquivos normal.
A configuração de particionamento padrão sugere a partição raiz como Btrfs, com o diretório /boot
. Para criptografar a partição raiz, use o tipo de tabela de partição GPT em vez do tipo MSDOS padrão. Do contrário, o carregador de boot GRUB2 talvez não tenha espaço suficiente para o carregador de segundo estágio.
É possível criar instantâneos dos subvolumes Btrfs, manualmente ou automaticamente, com base nos eventos do sistema. Por exemplo, ao fazer mudanças no sistema de arquivos, o zypper
invoca o comando snapper
para criar instantâneos antes e após as mudanças. Isso é útil quando você não está satisfeito com a mudança que o zypper
fez e deseja restaurar para o estado anterior. Como o snapper
invocado pelo zypper
cria instantâneos do sistema de arquivos raiz por padrão, convém excluir os diretórios específicos dos instantâneos. Por esse motivo, o YaST sugere criar os seguintes subvolumes separados:
/boot/grub2/i386-pc
,/boot/grub2/x86_64-efi
,/boot/grub2/powerpc-ieee1275
,/boot/grub2/s390x-emu
O rollback da configuração do carregador de boot não é suportado. Os diretórios listados acima são específicos da arquitetura. Os dois primeiros diretórios estão presentes nas máquinas AMD64/Intel 64, os dois últimos no IBM POWER e no IBM Z, respectivamente.
/home
Se
/home
não residir em uma partição separada, ele será excluído para evitar perda de dados nos rollbacks./opt
Os produtos de terceiros normalmente são instalados em
/opt
. Ele é excluído para evitar a desinstalação dos aplicativos nos rollbacks./srv
Contém dados de servidores Web e FTP. Ele é excluído para evitar perda de dados nos rollbacks.
/tmp
Todos os diretórios com arquivos temporários e caches são excluídos dos instantâneos.
/usr/local
Esse diretório é usado na instalação manual de softwares. Ele é excluído para evitar a desinstalação das instalações nos rollbacks.
/var
Esse diretório contém muitos arquivos variáveis, incluindo registros, caches temporários, produtos de terceiros em
/var/opt
e o local padrão para imagens de máquina virtual e bancos de dados. Portanto, o subvolume é criado para excluir todos esses dados variáveis dos instantâneos e tem o recurso Cópia em Gravação desabilitado.
Como os instantâneos gravados exigem mais espaço em disco, é recomendado reservar espaço suficiente para o Btrfs. O tamanho mínimo de uma partição Btrfs raiz com instantâneos e subvolumes padrão é de 16 GB, mas a SUSE recomenda pelo menos 32 GB se /home
não reside em uma partição separada.
11.1.2.3 Gerenciando subvolumes Btrfs com o YaST #
Agora é possível gerenciar subvolumes de uma partição Btrfs com o módulo
do YaST. É possível adicionar novos subvolumes ou apagar os existentes.Escolha
no painel esquerdo.Selecione a partição Btrfs com os subvolumes que você precisa gerenciar.
Dependendo se você deseja editar, adicionar ou apagar subvolumes, faça o seguinte:
Para editar um subvolume, selecione-o na lista e clique em
. Em seguida, você pode desabilitarcopy-on-write
(marcar ) para o volume ou limitar seu tamanho. Clique em para concluir.Para adicionar um novo subvolume, clique em
e digite o caminho dele. Você pode desabilitarcopy-on-write
(marcar ) para o volume ou limitar seu tamanho. Clique em para concluir.Para apagar um subvolume, selecione-o na lista e clique em
. Clique em para confirmar a exclusão.- Figura 11.2: Subvolumes Btrfs no particionador do YaST #
Saia do particionador clicando em
.
11.1.3 Editando uma partição #
Ao criar uma nova partição ou modificar uma partição existente, você pode definir diversos parâmetros. Para novas partições, os parâmetros padrão definidos pelo YaST geralmente são suficientes e não requerem nenhuma modificação. Para editar sua configuração de partição manualmente, faça o seguinte:
Selecione a partição.
Clique em
para editar a partição e definir os parâmetros:- ID do sistema de arquivos
Mesmo que você não queira formatar a partição nessa fase, atribua a ela um ID de sistema de arquivos para garantir que seja registrada corretamente. Os valores comuns são
, , e .- Sistema de Arquivos
Para alterar o sistema de arquivos de partição, clique em
e selecione o tipo de sistema de arquivos na lista .O SUSE Linux Enterprise Server suporta vários tipos de sistemas de arquivos. O Btrfs é o sistema de arquivos preferido do Linux para a partição raiz, por causa de seus recursos avançados. Ele suporta a funcionalidade copy-on-write, a criação de instantâneos, a segmentação de vários dispositivos, subvolumes e outras técnicas úteis. XFS, Ext3 e Ext4 são sistemas de arquivos de registro em diário. Esses sistemas de arquivos podem restaurar o sistema muito rapidamente após uma falha, usando os processos de gravação registrados durante a operação. O Ext2 não é um sistema de arquivos de registro em diário, mas é adequado para partições menores, pois ele não requer muito espaço em disco para gerenciamento.
O sistema de arquivos padrão para a partição raiz é o Btrfs. O sistema de arquivos padrão para outras partições é o XFS.
O sistema de arquivos UDF pode ser usado em uma mídia ótica regravável e não regravável, em unidades flash USB e em discos rígidos. Vários sistemas operacionais suportam esse sistema.
Troca (Swap) é um formato especial que permite usar a partição como uma memória virtual. Crie uma partição de troca (swap) de pelo menos 256 MB. No entanto, se você consumir todo o espaço de troca (swap), convém adicionar memória ao sistema, em vez de adicionar espaço de troca.
Atenção: Mudando o sistema de arquivosA mudança do sistema de arquivos e a reformatação das partições apagam de forma irreversível todos os dados da partição.
Para obter detalhes sobre os diversos sistemas de arquivos, consulte o Storage Administration Guide (Guia de Administração de Armazenamento).
- Criptografar Dispositivo
Se a criptografia for ativada, todos os dados serão gravados no disco rígido de forma criptografada. Aumenta a segurança dos dados confidenciais, mas reduz a velocidade do sistema, já que a criptografia leva algum tempo para processar. Há mais informações sobre a criptografia de sistemas de arquivos disponíveis em Seção 11.2, “Criptografia do dispositivo” e no Chapter 12, Encrypting partitions and files.
- Ponto de Montagem
Especifique o diretório em que a partição deve ser montada na árvore do sistema de arquivos. Selecione dentre as sugestões do YaST ou digite qualquer outro nome.
- Opções de Fstab
Especifique vários parâmetros contidos no arquivo de administração do sistema de arquivos global (
/etc/fstab
). As configurações padrão devem ser suficientes para a maioria das configurações. Por exemplo, você pode mudar a identificação do sistema de arquivos com base no nome do dispositivo para um rótulo de volume. No rótulo do volume, você pode usar todos os caracteres, exceto/
e espaço.Para obter nomes de dispositivos persistentes, use a opção de montagem SUSE Linux Enterprise Server, os nomes de dispositivos persistentes estão habilitados por padrão.
, ou . NoNota: IBM Z: Montando por caminhoComo a montagem por ID causa problemas no IBM Z ao usar a cópia de disco para disco para fins de clonagem, por padrão, os dispositivos são montados por caminho em
/etc/fstab
no IBM Z.Se você preferir montar a partição por etiqueta, precisará definir uma na entrada de texto
Por exemplo, você pode usar o rótulo de partiçãoHOME
para uma partição a ser montada em/home
.Se você pretende usar quotas no sistema de arquivos, use a opção de montagem Para obter mais informações sobre como configurar cotas de usuários, consulte o Section 6.3.3, “Managing quotas”.
. Faça isso antes de definir cotas para usuários no módulo do YaST.Se você pretende especificar quotas para subvolumes Btrfs, consulte o Section 1.2.5, “Btrfs quota support for subvolumes”.
Selecione
para gravar as mudanças.
Para redimensionar um sistema de arquivos existente, selecione a partição e use
. Observe que não é possível redimensionar as partições que estiverem sendo montadas. Para redimensionar as partições, desmonte a partição relevante antes de executar o particionador.11.1.4 Opções de especialista #
Após selecionar um dispositivo de disco rígido (como
) no painel , você poderá acessar o menu na parte inferior direita da janela O menu inclui os seguintes comandos:- Criar Nova Tabela de Partição
Essa opção ajuda a criar uma nova tabela de partição no dispositivo selecionado.
Atenção: Criando uma nova tabela de partiçãoCriar uma nova tabela de partição no dispositivo apaga de forma irreversível todas as partições e seus dados do dispositivo.
- Clonar este Disco
Essa opção permite clonar o layout da partição do dispositivo (mas não os dados) em outros dispositivos de disco disponíveis.
11.1.5 Opções avançadas #
Após selecionar o nome de host do computador (o nível superior da árvore no painel
), você poderá acessar o menu na parte inferior direita da janela O menu inclui os seguintes comandos:- Configurar iSCSI
Para acessar a SCSI pelos dispositivos de blocos IP, primeiro configure a iSCSI. O resultado são dispositivos adicionalmente disponíveis na lista de partições principal.
- Configurar Multipath
A seleção dessa opção ajuda a configurar o aperfeiçoamento de multipath nos dispositivos de armazenamento em massa suportados.
11.1.6 Mais dicas sobre particionamento #
A seção a seguir inclui algumas dicas e truques de particionamento que o ajudarão a tomar as decisões certas quando configurar o sistema.
11.1.6.1 Números de cilindros #
Observe que diferentes ferramentas de particionamento podem começar a contar os cilindros de uma partição a partir de 0
ou de 1
. Ao calcular o número de cilindros, use sempre a diferença entre o último e o primeiro número de cilindro e adicione um.
11.1.6.2 Usando swap
#
A troca é usada para estender a memória física disponível. É possível então usar mais memória que a RAM física disponível. O sistema de kernels de gerenciamento de memória anterior a 2.4.10 precisava de troca (swap) como medida de segurança. Antes, se você não tinha o dobro do tamanho da sua RAM em troca, o desempenho do sistema era afetado. Essas limitações não existem mais.
O Linux usa uma página denominada “Usado Menos Recentemente” (LRU) para selecionar as páginas que podem ser movidas da memória para o disco. Portanto, os aplicativos em execução têm mais memória disponível e os trabalhos de armazenamento em cache são mais fáceis.
Se um aplicativo tentar alocar a memória máxima permitida, poderão surgir problemas com a troca. Há três cenários principais para avaliar:
- Sistema sem troca (swap)
O aplicativo obtém a memória máxima permitida. Todos os caches são liberados e, portanto, todos os outros aplicativos em execução ficam mais lentos. Após alguns minutos, o mecanismo de exclusão de memória vazia do kernel ativa e elimina o processo.
- Sistema com troca (swap) de tamanho médio (128 MB a 512 MB)
A princípio, o sistema fica mais lento como um sistema sem troca. Após a alocação de toda a RAM física, o espaço de troca também será usado. Nesse ponto, o sistema começa a ficar lento e fica impossível executar comandos remotamente. Dependendo da velocidade dos discos rígidos que executam o espaço de troca, o sistema fica nessa condição por cerca de 10 a 15 minutos até o mecanismo de exclusão de memória vazia resolver o problema. Observe que você precisará de certa quantidade de troca se o computador tiver que realizar uma “suspensão para o disco”. Neste caso, o tamanho da troca deve ser grande o suficiente para incluir os dados necessários da memória (512 MB – 1GB).
- Sistema com inúmeras trocas (swap) (vários GB)
Nesse caso, é melhor não ter um aplicativo que esteja fora de controle e com troca excessiva. Se usar um aplicativo assim, o sistema precisará de muitas horas para se recuperar. No processamento, é provável que outros processos esgotem o tempo de espera e obtenham falhas, deixando o sistema em estado indefinido, mesmo depois de terminar o processo com falha. Nesse caso, faça uma reinicialização da máquina física e tente colocá-la em execução de novo. O grande número de trocas (swaps) só será útil se você tiver um aplicativo que dependa desse recurso. Esses aplicativos (como bancos de dados ou programas de manipulação de gráficos) normalmente têm uma opção para usar diretamente o espaço do disco rígido para suas necessidades. Convém usar essa opção em vez de muitos espaços de troca (swap).
Se o sistema não está fora de controle, porém precisar de mais troca após algum tempo, é possível estender o espaço de troca online. Se você preparou uma partição para um espaço de troca, adicione-a com o YaST. Se você não tiver uma partição disponível, também poderá usar um arquivo de troca para estender a troca. Os arquivos de troca são geralmente mais lentos que as partições, mas comparados à RAM física, ambos são extremamente lentos, logo a diferença real é insignificante.
Para adicionar um arquivo de troca (swap) no sistema em execução, faça o seguinte:
Crie um arquivo vazio no sistema. Por exemplo, para adicionar um arquivo de troca (swap) com quantidade de troca de 128 MB em
/var/lib/swap/swapfile
, use os comandos:>
sudo
mkdir -p /var/lib/swap>
sudo
dd if=/dev/zero of=/var/lib/swap/swapfile bs=1M count=128Inicialize o arquivo de troca (swap) com o comando
>
sudo
mkswap /var/lib/swap/swapfileNota: UUID modificado para partições de troca (swap) ao formatar commkswap
Não reformate as partições de troca (swap) existentes com
mkswap
, se possível. A reformatação commkswap
muda o valor do UUID da partição de troca (swap). Reformate usando o YaST (o que atualizará o/etc/fstab
) ou ajuste o/etc/fstab
manualmente.Ative a troca (swap) com o comando
>
sudo
swapon /var/lib/swap/swapfilePara desabilitar esse arquivo de troca (swap), use o comando
>
sudo
swapoff /var/lib/swap/swapfileVerifique os espaços de troca (swap) atuais disponíveis com o comando
>
cat /proc/swapsObserve que neste ponto, é apenas um espaço de troca temporário. Após a próxima reinicialização, ele não será mais usado.
Para habilitar esse arquivo de troca (swap) permanentemente, adicione a seguinte linha a
/etc/fstab
:/var/lib/swap/swapfile swap swap defaults 0 0
11.1.7 Particionamento e LVM #
No
, acesse a configuração do LVM clicando no item no painel . No entanto, se já existir uma configuração do LVM de trabalho no sistema, ela será automaticamente ativada após inserir a configuração do LVM inicial de uma sessão. Nesse caso, todos os discos com uma partição (pertencentes a um grupo de volume ativado) não podem ser reparticionados. O kernel do Linux não pode ler novamente a tabela de partição modificada do disco rígido quando há alguma partição desse disco em uso. Se você já tem uma configuração de LVM funcionando no sistema, não será necessário o reparticionamento físico. Em vez disso, mude a configuração dos volumes lógicos.
No início dos volumes físicos (PVs), as informações sobre o volume são gravadas na partição. Para reutilizar tal partição para outros propósitos não relacionados ao LVM, é aconselhável apagar o início desse volume. Por exemplo, no VG system
e no PV /dev/sda2
, faça o seguinte com o comando:
dd
if=/dev/zero of=/dev/sda2 bs=512 count=1
O sistema de arquivos usado para inicialização (sistema de arquivos raiz ou /boot
) não deve ser armazenado em um volume lógico do LVM. Em vez disso, armazene-o em uma partição física normal.
Para obter mais detalhes sobre LVM, consulte o Storage Administration Guide.
11.2 Criptografia do dispositivo #
O Linux Unified Key Setup (LUKS) é o padrão para criptografia de disco do Linux. Ele fornece um formato em disco padronizado e permite que os usuários transportem ou migrem os dados de maneira contínua.
O LUKS é usado para criptografar dispositivos de blocos. O conteúdo do dispositivo criptografado é arbitrário e, portanto, qualquer sistema de arquivos pode ser criptografado, incluindo partições de troca (swap). Todas as informações de configuração necessárias, como chaves criptográficas, e parâmetros, por exemplo, tipo de cifra e tamanho da chave, são armazenadas no cabeçalho da partição.
A criptografia é feita com uma abordagem de várias camadas. Primeiro, o dispositivo de blocos é criptografado usando uma chave mestra. Em seguida, essa chave mestra é criptografada com as chaves ativas de cada usuário. As chaves de usuário são derivadas de frases secretas, chaves de segurança FIDO2, TPMs ou smart cards. Essa abordagem de várias camadas permite que os usuários mudem sua frase secreta sem recriptografar o dispositivo de blocos inteiro.
Para obter mais informações sobre a LUKS, consulte o Chapter 13, Storage encryption for hosted applications with cryptctl.
11.2.1 Métodos de criptografia #
Para criptografar um dispositivo, siga as instruções na Seção 11.1.3, “Editando uma partição”.
A criptografia LUKS2 é suportada pelo Particionador do YaST a partir do SUSE Linux Enterprise 15 SP4, mas precisa ser habilitada explicitamente. Isso pode ser feito de duas maneiras:
No momento da inicialização, adicionando o parâmetro à linha de comando do kernel
YAST_LUKS2_AVAILABLE
. Para obter informações sobre os parâmetros de boot, consulte o Capítulo 8, Parâmetros de boot.Durante a instalação na configuração do YaST:
Na interface gráfica, pressione Ctrl–Alt–Shift–C.
Na interface de texto, pressione Ctrl–D e, depois, Shift–C.
Marque
Enable Experimental LUKS2 Encryption Support
e saia da tela de configuração comOK
.
Se você não habilitar o suporte a LUKS2, a seleção do
não estará visível, e você só precisará digitar a senha de criptografia.Esse método permite criptografar o dispositivo usando LUKS1. Você precisa inserir a senha de criptografia. É possível adicionar outras senhas (até oito no total) posteriormente com o comando
cryptsetup luksAddKey
.O LUKS2 usa uma versão mais recente do formato de cabeçalho, que é resiliente a corrompimento e suporta até 32 chaves de usuário e rótulos de dispositivo. Você precisa inserir a senha de criptografia e a função de derivação de chave baseada em senha (PBKDF) que serão usadas para proteger essa frase secreta (consulte a Seção 11.2.2, “Funções de derivação de chave baseada em senha”).
- (apenas no IBM Z)
Esse método permite criptografar o dispositivo usando LUKS2 com uma chave mestra segura processada por um coprocessador criptográfico Crypto Express configurado no modo CCA. Se o sistema criptográfico já incluir uma chave segura associada a esse volume, essa chave será usada. Do contrário, uma nova chave segura será gerada e registrada no sistema. Você precisa inserir uma senha de criptografia que será usada para proteger o acesso a essa chave mestra. Além disso, quando há vários APQNs no sistema, você pode selecionar os que deseja usar.
Para obter mais informações sobre criptografia pervasiva, acesse https://www.ibm.com/docs/en/linux-on-systems?topic=security-pervasive-encryption.
- (apenas para dispositivos de troca)
Esse método criptografa um dispositivo de troca com uma chave gerada aleatoriamente na inicialização e, portanto, não suporta a hibernação no disco rígido. O dispositivo de troca é recriptografado a cada inicialização, e seu conteúdo anterior é destruído. Para evitar perda de dados, desabilite a hibernação e, em vez disso, configure o sistema para ser encerrado.
Além da chave de criptografia, o rótulo e o UUID do dispositivo mudam toda vez que a troca é recriptografada, portanto, nenhuma opção é válida para montar um dispositivo de troca criptografado aleatoriamente. Verifique se o nome do dispositivo de troca é estável, sem estar sujeito a mudanças a cada reinicialização no arquivo
/etc/crypttab
. Por exemplo, para uma partição de troca, é mais seguro usar o ID ou o caminho do dispositivo udev em vez do nome do dispositivo da partição, pois esse nome de dispositivo pode ser atribuído a uma partição diferente durante a próxima inicialização. Se isso acontecer, um dispositivo errado poderá ser criptografado no lugar do dispositivo de troca.O YaST tenta usar nomes estáveis em
/etc/crypttab
, a menos que ele esteja configurado para sempre usar nomes de dispositivos (consulte a seção do particionador). No entanto, para alguns dispositivos, talvez não seja possível encontrar um nome totalmente estável. Use a criptografia com chaves voláteis apenas se tiver certeza das implicações.- (apenas para dispositivos de troca)
Esse método criptografa um dispositivo de troca com uma chave AES protegida e volátil, sem exigir um coprocessador criptográfico. Trata-se de uma melhoria em relação ao método
Encryption with Volatile Random Key
, e todas as considerações referentes a esse método ainda se aplicam.- (apenas para dispositivos de troca)
Esse método criptografa um dispositivo de troca com uma chave AES segura e volátil, gerada de um coprocessador criptográfico. Trata-se de uma melhoria em relação ao método
Encryption with Volatile Random Key
, e todas as considerações referentes a esse método ainda se aplicam.
11.2.2 Funções de derivação de chave baseada em senha #
A função de derivação de chave baseada em senha (PBKDF) a ser usada depende do contexto, dos recursos de hardware e do nível necessário de compatibilidade com outros componentes do sistema:
- PBKDF2
PBKDF2
é a função usada por LUKS1. Ela é definida em RFC 2898.- Argon2i
Argon2 é uma função desenvolvida para ser mais segura e exigir muita memória para ser processada. Ela é definida em RFC 9106. Argon2i é uma variante de Argon2 otimizada para resistir a ataques de canal lateral por meio do acesso à matriz de memória em uma ordem independente de senha.
- Argon2id
Argon2id é uma versão híbrida de Argon2. Ele segue a abordagem do Argon2i para a primeira metade da passagem de memória, e a abordagem do Argon2d (não suportado pelo YaST) para limitar os ataques de cracking de GPU para as passagens subsequentes. O RFC 9106 recomenda o uso do Argon2id se você não sabe a diferença entre os tipos ou se considera os ataques de canal lateral uma ameaça viável.
O Argon2
é mais seguro, mas ainda há casos de uso para o PBKDF2
:
Como um recurso de segurança intencional, o Argon2 requer muito mais memória para ser processado. Alguns sistemas podem ter problemas por causa disso. Se for possível garantir totalmente a força da senha, o uso do PBKDF2 ainda poderá ser seguro e economizar memória.
O
grub2
oferece suporte limitado para boot de dispositivos criptografados com LUKS2, mas apenas quando o PBKDF2 é usado. Isso significa que você não pode usar o Argon2 em um sistema de arquivos que contém o diretório/boot
. Mesmo que o PBKDF2 seja usado, observe que talvez seja necessária uma configuração manual dogrub2
para boot de um dispositivo LUKS2.
Para obter mais informações sobre como configurar a criptografia de dispositivo com LUKS, use o botão Help
no instalador e consulte o Chapter 13, Storage encryption for hosted applications with cryptctl.
11.3 Configuração do LVM #
Esta seção explica as etapas específicas para seguir ao configurar o LVM. Se você precisar de informações gerais sobre o Gerente de Volume Lógico, consulte o Section 5.1, “Understanding the logical volume manager”.
O uso do LVM é algumas vezes associado a um risco mais elevado, como perda de dados. O risco também inclui falhas de aplicativo, de energia e em comandos. Grave os dados antes de implementar o LVM ou reconfigurar volumes. Nunca trabalhe sem backup.
A configuração do YaST LVM pode ser feita através do Particionador Técnico do YaST (consulte a Seção 11.1, “Usando o ) no item ” do painel . O permite gerenciar discos rígidos e partições, além de definir configurações de RAID e LVM.
11.3.1 Criar volume físico #
A primeira tarefa consiste em criar volumes físicos que forneçam espaço para um grupo de volumes:
Selecione um disco rígido em
.Mude para a guia
.Clique em
e digite o tamanho desejado do PV neste disco.Use
e mude o para . Não monte essa partição.Repita esse procedimento até definir todos os volumes físicos desejados nos discos disponíveis.
11.3.2 Criando grupos de volume #
Se não houver nenhum grupo de volume no sistema, adicione um (veja a Figura 11.3, “Criando um grupo de volume”). É possível criar grupos adicionais clicando em no painel e depois clicando em . Um único grupo de volume geralmente é suficiente.
Digite um nome para o VG, por exemplo,
system
.Selecione o
desejado. O valor define o tamanho de um bloco físico no grupo de volumes. Todo o espaço em disco no grupo de volume é trabalhado em blocos desse tamanho.Adicione os PVs preparados ao VG, selecionando o dispositivo e clicando em Ctrl e, ao mesmo tempo, selecionando os dispositivos.
. É possível selecionar vários dispositivos pressionandoSelecione
para disponibilizar o VG para mais etapas de configuração.
Se tiver vários grupos de volume definidos e quiser adicionar ou remover PVs, selecione o grupo de volume na lista
e clique em . Na janela a seguir, é possível adicionar ou remover PVs do grupo de volume selecionado.11.3.3 Configurando volumes lógicos #
Depois que o grupo de volume for preenchido com PVs, defina os LVs que o sistema operacional usará na próxima caixa de diálogo. Escolha o grupo de volumes atual e mude para a guia
, , e LVs conforme necessário até todo o espaço no grupo de volume ser ocupado. Atribua pelo menos um LV a cada grupo de volumes.Clique em
e percorra o popup semelhante a um assistente que é aberto:Digite o nome do LV. Para uma partição que deve ser montada em
/home
, é possível usar um nome comoHOME
.Selecione o tipo de LV. Ele pode ser
, ou . Observe que você precisa criar primeiro o pool dinâmico, que é capaz de armazenar volumes dinâmicos individuais. A grande vantagem do aprovisionamento dinâmico é que a soma de todos os volumes dinâmicos armazenados no pool dinâmico pode exceder o tamanho do próprio pool.Selecione o tamanho e o número de distribuições do LV. Se você tem apenas um PV, não é útil selecionar mais de uma distribuição.
Escolha o sistema de arquivos para usar no LV e o ponto de montagem.
O uso de distribuições permite distribuir o fluxo de dados no LV entre vários PVs (distribuição). Entretanto, a remoção de um volume pode ser feita apenas por PVs diferentes, cada um fornecendo pelo menos a quantidade de espaço do volume. O número máximo de distribuições é igual ao número de PVs, em que Distribuição "1" significa "sem distribuição". Distribuir só faz sentido com PVs em discos rígidos diferentes; do contrário, o desempenho será reduzido.
O YaST não pode verificar suas entradas referentes à distribuição neste ponto. Os erros cometidos aqui serão mostrados posteriormente, quando o LVM for implementado no disco.
Se você já tiver configurado o LVM no sistema, os volumes lógicos existentes também poderão ser usados. Antes de continuar, atribua os pontos de montagem apropriados a esses LVs. Clique em
para retornar ao do YaST e concluir seu trabalho nele.11.4 RAID de software #
Esta seção descreve as ações necessárias para criar e configurar vários tipos de RAID. Se você precisar de informações sobre o RAID, consulte o Section 7.1, “Understanding RAID levels”.
11.4.1 Configuração de RAID de software #
A configuração de Seção 11.1, “Usando o . Esta ferramenta de particionamento permite editar e apagar partições existentes e criar partições novas a serem usadas com o RAID por software: ”
do YaST pode ser obtida por meio do do YaST, descrito naSelecione um disco rígido em
.Mude para a guia
.Clique em
e digite o tamanho desejado da partição RAID neste disco.Use
e mude o para . Não monte essa partição.Repita esse procedimento até definir todos os volumes físicos desejados nos discos disponíveis.
Para o RAID 0 e o RAID 1, pelo menos duas partições são necessárias; para o RAID 1, geralmente apenas duas. Se for usado o RAID 5, pelo menos três partições serão necessárias; o RAID 6 e o RAID 10 exigem no mínimo quatro partições. É recomendável usar apenas partições do mesmo tamanho. As partições RAID devem estar localizadas em discos rígidos diferentes para diminuir o risco de perda de dados se um deles apresentar defeito (RAID 1 e 5) e para otimizar o desempenho do RAID 0. Após criar todas as partições a serem usadas com o RAID, clique em
› para iniciar a configuração do RAID.Na próxima caixa de diálogo, escolha dentre os níveis de RAID 0, 1, 5, 6 e 10. Em seguida, selecione todas as partições com o tipo “RAID Linux” ou “Linux nativo” que deve ser usado pelo sistema RAID. Não são exibidas partições do DOS ou de troca.
Para adicionar uma partição anteriormente não atribuída ao volume RAID selecionado, primeiro clique na partição e, em seguida, em
. Atribua todas as partições reservadas para o RAID. Do contrário, o espaço na partição permanecerá sem uso. Após atribuir todas as partições, clique em para selecionar as disponíveis.
Nesta última etapa, defina o sistema de arquivos a ser usado, a criptografia e o ponto de montagem para o volume RAID. Após concluir a configuração com /dev/md0
e outros dispositivos indicados com RAID no .
11.4.2 Solução de problemas #
Examine o arquivo /proc/mdstat
para saber se uma partição RAID foi danificada. Em caso de falha no sistema, encerre a máquina e substitua o disco rígido danificado por um novo, particionado da mesma maneira. Em seguida, reinicie o sistema e execute mdadm
/dev/mdX --add
/dev/sdX
. Substitua 'X' por seus próprios identificadores de dispositivo. Isso integra o disco rígido automaticamente ao sistema RAID e o reconstrói totalmente.
Observe que, embora você possa acessar todos os dados durante a reconstrução, talvez ocorram alguns problemas de desempenho até a reconstrução completa do RAID.
11.4.3 Mais informações #
Instruções de configuração e mais detalhes sobre o RAID de software podem ser encontrados em:
As listas de correio do RAID do Linux estão disponíveis, como https://marc.info/?l=linux-raid.