Как разблокировать диск в линукс
В этой статье описывается, как разблокировать диск ОС с поддержкой Azure Disk (ADE) для автономного ремонта.
Шифрование дисков Azure можно применить к виртуальным машинам Linux с одобренным Microsoft (виртуальными машинами). Вот некоторые основные требования для обеспечения шифрования дисков Azure в VMs Linux:
- Azure Key Vault
- Лазурный CLI или Windows PowerShell-коды
Method 2: Unlock the encrypted disk by the key file in the BEK volume
To unlock and mount the encrypted disk manually, follow these steps:
You must attach the encrypted disk when you create the repair VM. This is because the system detects that the attached disk is encrypted. Therefore, it fetches the ADE key from your Azure key vault, and then creates a new volume that's named "BEK VOLUME" to store the key file.
Определение управляемости или неуправляемого диска ОС
Если вы не знаете, управляется или не управляется диск ОС, см. в этой ленте Определение, управляется ли диск ОС или неуправим.
Если диск ОС является неугодным диском, выполните действия в Методе 3 , чтобы разблокировать диск.
Установить разблокированный диск и ввести среду chroot (RAW/non-LVM)
В корневом каталоге ("/") структуры файла создайте каталог, в который можно установить корневой раздел зашифрованного диска. Вы будете использовать этот каталог позже, после разблокирования диска. Чтобы отличить его от активного раздела ОС ремонтного VM, назовем его "investigateroot".
Смонтировать недавно разблокированный раздел ("osencrypt") в каталог /investigateroot/:
Попробуйте отобразить содержимое каталога /investigateroot/, чтобы убедиться, что установленный раздел разблокирован:
Теперь корневой раздел сбойного VM разблокирован и установлен, вы можете получить доступ к корневому разделу, чтобы устранить проблемы. Дополнительные сведения см. в перек. Ремонт VM в автономном режиме.
Однако, если вы хотите использовать утилиту chroot для устранения неполадок, перейдите к следующему шагу.
Используйте команду для lsblk -o NAME,SIZE,LABEL,PARTLABEL,MOUNTPOINT просмотра доступных устройств. Определите раздел загрузки на зашифрованном диске как второй по величине раздел, который не назначен меткой.
Смонтировать раздел загрузки на зашифрованном диске в каталог "/investigateroot/boot/", как в следующем примере:
Измените активный каталог на установленный корневой раздел на зашифрованном диске:
Введите следующие команды для подготовки среды chroot:
Введите среду chroot:
Устранение неполадок в среде chroot. Вы можете читать журналы или запускать сценарий. Дополнительные сведения см. в дополнительных сведениях о выполнении исправлений в среде chroot.
Preparation
Before you unlock the encrypted OS disk for offline repair, complete the following tasks:
Смонтировать разблокированный раздел и ввести среду chroot (только LVM)
Если на дисках используется структура картографа устройства LVM, необходимо предпринять дополнительные действия для установки диска и ввода среды chroot. Чтобы использовать средство chroot вместе с зашифрованным диском, разблокированный раздел ("osencrypt") и его логические тома должны быть признаны группой томов с именем rootvg. Однако по умолчанию раздел ОС ремонтного VM и его логические тома уже назначены группе томов с именем rootvg. Мы должны разрешить этот конфликт, прежде чем мы сможем продолжить.
Нужно, чтобы только разблокированный раздел ("osencrypt") был назначен группе громкости rootvg, чтобы вы могли получить доступ к его логическим томам через утилиту chroot. Чтобы устранить эту проблему, вы временно импортируете раздел в другую группу томов и активируете эту группу тома. Затем переименуем текущую группу томов rootvg. Только после ввода среды chroot вы переименуете группу тома зашифрованного диска в "rootvg".
Determine whether the OS disk uses ADE version 0 (dual-pass encryption) or ADE version 1 (single-pass encryption)
You can identify the ADE version in the Azure portal by opening the properties of the VM, and then selecting Extensions to open the Extensions blade. On the Extensions blade, view the version number of AzureDiskEncryptionForLinux.
- If the version number is 0.* , the disk uses dual-pass encryption.
- If the version number is 1.* or a later version, the disk uses single-pass encryption.
If your disk uses ADE version 1 (dual-pass encryption), use the Method 3 to unlock the disk.
Чтобы разблокировать диск, используйте файл ключа ADE и файл загона
Используйте команду cryptsetup luksOpen , чтобы разблокировать корневой раздел на зашифрованном диске. Например, если путь к корневому разделу с зашифрованной ОС /dev/sda4 и необходимо назначить имя "osencrypt" разблокированным разделом, запустите следующую команду:
Теперь, когда вы разблокировали диск, отсоединить раздел загрузки зашифрованного диска из каталога /investigateboot/:
Примечание: Позже вам придется установить этот раздел в другой каталог.
На следующем этапе необходимо установить только что разблокированный раздел. Метод, используемый для установки раздела, зависит от структуры картографа устройства (LVM или non-LVM), используемой на диске.
Список сведений об устройстве вместе с типом файловой системы:
Вы увидите разблокированный раздел и имя, назначенное ему (в нашем примере это имя " osencrypt"):
- Раздел LVM, например "LVM_member", см. в разделах Mount the LVM partitionRAWили non-LVM.
- Раздел Без LVM см. в разделе Mount the non-LVM.
Метод 3. Повторно шифруем диск, чтобы получить файл ключа, и разблокировать зашифрованный диск
Создайте ремонт VM и прикрепите копию заблокированного диска к ремонту VM:
- Для управляемого диска см. в выпуске Устранение неполадок vM Linux, прикрепив управляемый диск ОС к ремонту VM .
- Для неувядаемого диска Обозреватель службы хранилища создать копию осмий оси пострадавшего диска VM. Дополнительные сведения см. в статью Присоединение неугодного диска к VM для автономного ремонта.
После прикрепления зашифрованного диска в качестве диска данных к ремонту VM используйте ключ Vault и Ключ Зашифрованный ключ (KEK), который использовался для исходного VM для повторного шифрования этого диска данных. Этот процесс автоматически генерирует и смонтирует том BEK с помощью файла ключа BKE в VM-восстановлении. Нельзя использовать параметр EncryptFormatAll , так как расширение ADE может шифровать сектор загрузки на диске данных.
Если исходный VM шифруется путем упаковки BEK, запустите следующую команду.
Если исходный VM зашифрован beK, запустите следующую команду:
Чтобы определить значения для ключей шифрования диска и ключ-шифрования, запустите следующую команду:
В следующей таблице найдите значения в выходе. Если значение keyEncryptionKey пусто, ваш VM шифруется beK.
Запустите следующую команду, чтобы проверить, подключен ли новый диск:
Если новый диск присоединен, перейдите к идентификации файла ключа ADE в томе BEK, а затем продолжайте следовать предоставленным шагам, чтобы разблокировать диск.
Метод 1. Автоматически разблокировать зашифрованный диск с помощью команды восстановления az vm
Этот метод использует команды восстановления az vm , чтобы автоматически создать ремонт VM, прикрепить диск ОС неудаваемого VM Linux к этому ремонту VM, а затем разблокировать диск, если он зашифрован. Этот метод требует использования общедоступных IP-адресов для ремонта VM, и он открывает зашифрованный диск независимо от того, будет ли ключ ADE оторван или завернут с помощью ключа шифрования ключа (KEK).
Чтобы восстановить виртуальный компьютер с помощью этого автоматизированного метода, выполните действия в ремонте виртуальной машины Linux с помощью команд восстановления виртуальной машины Azure.
Если ваша инфраструктура и политика компании не позволяют назначить общедоступный IP-адрес или az vm repair если команда не разблокировала диск, перейдите к следующему методу.
Определите, использует ли диск ОС версию 0 (шифрование с двойным пропуском) или версию 1 ADE (шифрование с одним проходом)
Вы можете определить версию ADE на портале Azure, открыв свойства VM, а затем выбрав расширения для открытия лезвия Расширения. На лезвии Расширения просмотреть номер версии AzureDiskEncryptionForLinux.
- Если номер версии — 0.* диск использует шифрование с двойным пропуском.
- Если номер версии является или 1.* более поздней версией, на диске используется одноавтное шифрование.
Если на диске используется ADE версии 1 (шифрование с двойным пропуском), используйте метод 3 для разблокировки диска.
Use the ADE key file and the header file to unlock the disk
Use the cryptsetup luksOpen command to unlock the root partition on the encrypted disk. For example, if the path to the root partition that contains the encrypted OS is /dev/sda4, and you want to assign the name "osencrypt" to the unlocked partition, run the following command:
Now that you have unlocked the disk, unmount the encrypted disk's boot partition from the /investigateboot/ directory:
Note: You'll have to mount this partition to another directory later.
The next step is to mount the partition that you have just unlocked. The method that you use to mount the partition depends on the device mapper framework (LVM or non-LVM) that's used by the disk.
List the device information together with the file system type:
You'll see the unlocked partition and the name that you assigned to it (in our example, that name is "osencrypt"):
- For the LVM partition such as "LVM_member", see Mount the LVM partitionRAW or non-LVM.
- For the non-LVM partition, see Mount the non-LVM partition.
Решение
marshak, такое происходит потому, что современные версии windows выключаются не полностью, а сохраняют свое состояние для ускорения загрузки.
вам нужно загрузится в Windows и выбрать "перезагрузка" - в этом случае состояние сохранятся не будет.
Max Dark, доброго суток, если винды нет? что делать?
стояла 10, было 2 логических, на обоих нтфс, снес на одном винду и форматнул для минта, поставил, теперь не подключить второй диск
пишет
Error mounting /dev/sda4 at /media/____/DATA: Command-line `mount -t "ntfs" -o "uhelper=udisks2,nodev,nosuid,uid=1000,gid=1000" "/dev/sda4" "/media/shgr-/DATA"' exited with non-zero exit status 14: The disk contains an unclean file system (0, 0).
Metadata kept in Windows cache, refused to mount.
Failed to mount '/dev/sda4': Операция не позволена
The NTFS partition is in an unsafe state. Please resume and shutdown
Windows fully (no hibernation or fast restarting), or mount the volume
read-only with the 'ro' mount option.
пытался разными способами сделать, но не получается, постоянно выдает ошибки, то нтфс3г нет файлов, то каталоги не соответствуют файлам. Короче, не знаю с какой стороны и подойти.
тогда нужен загрузочный диск с Windows PE(ERD Commander, например) - загрузится с него и запустить проверку файловой системы
Здравствуйте. Вставил в компьютер HDD с которого нужно было информацию скопировать, а он поделен на 2 раздела (предположительно на C и D). В общем до тыкался и теперь этот диск даже не отображается и перестал открываться раздел с windows. Я ничего сделать с работой не смог так как он не разрешал войти в диск (предположительно D). Что мне сделать чтобы вернуть все назад и открыть диск? Через windows не получается. Он даже не грузится когда HDD подключён.
Раздел с windows:
Не открываются диски
Привет всем! У меня такая проблема: файл autorun.vbs на дисках C и D был удален антивирусом и.
Не открываются диски С и Д
перешманал мне весь комп,и теперь не открывает диски С и Д,(антивирус AVG.7.5) ЧТО.
Жесткие диски не открываются
Здравствуйте!У меня проблема с жёсткими дисками - не открываются. При открытии пишет с помощью.
Не открываются локальные диски
не очень то разбираюсь в хард дисках, у меня есть 2 харда, 4 локалльных(С и D вроде бы от 1 харда.
Это тоже не помогает
Добавлено через 3 минуты
При изменении прав на диск пишет:
Вам нужно изменять права не на само блочное устройство, а на точку монтирования.
Но, если вам нужно только скопировать/вставить/удалить файл на разделе с NTFS, то вы можете смело монтировать его и под рутом вручную, но не забывайте про опцию -o loop
далее вы производите необходимые действия с файлами на этой примонтированной файловой системе и не забудьте после всего её отмонтировать и удалить временную папку
естественно, помогло, т.к. ntfsfix - это программа которая проверяет диски и исправляет ошибки файловой системы ntfs
а система вам сразу писала:
Ну.. Я еще ничего не делал, но у меня теперь даже флешка не открывается. Все та же самая проблема высвечивается
Не открываются лог. диски
Как устранить проблему и сохранить данные на дисках?при открытии лог. дисков винда предлагает.
Оптические диски в ноутбуке не открываются
Почему в ноутбуке не открываются диски, а появляется диалоговое окно "Подготовка диска для записи"
Не открываются диски в Мой компьютер
Добрый день. Такая проблема. Открываешь Мой компьютер, диски все видны, но открываются только через.
Не открываются диски и зависает компьютер
Всем привет, сегодня запустил как обычно компьютер и ничего нового не происходило. Как только он.
Не открываются Локальные диски и папки / Windows
ОС-Windows 7 При попытке зайти в какой либо локальный диск или в любую папку вылазит окно с.
Не открываются локальные диски через Мой компьютер
У меня следующая проблема: после того как друг дал некие патчи,и после того как я их установил.
This article describes how to unlock an Azure Disk Encryption (ADE)-enabled OS disk for offline repair.
Azure Disk Encryption can be applied to Microsoft endorsed Linux virtual machines (VMs). Here are some basic requirements to enable Azure Disk Encryption in Linux VMs:
- Azure Key Vault
- Azure CLI or Windows PowerShell cmdlets
Mount the unlocked disk, and enter the chroot environment (RAW/non-LVM)
In the root directory ("/") of the file structure, create a directory into which to mount the root partition of the encrypted disk. You'll use this directory later, after the disk is unlocked. To distinguish it from the active OS partition of the repair VM, name it to "investigateroot".
Mount the newly unlocked partition ("osencrypt") to the /investigateroot/ directory:
If mounting the partition fails and returns a "wrong fs type, bad option, bad superblock" error message, try again by using the mount -o nouuid command:
Try to display the contents of the /investigateroot/ directory to verify that the mounted partition is now unlocked:
Now the root partition of the failed VM is unlocked and mounted, you can access the root partition to troubleshoot the issues. For more information, see Repair the VM offline.
However, if you want to use the chroot utility for troubleshooting, go to the next step.
Use the command lsblk -o NAME,SIZE,LABEL,PARTLABEL,MOUNTPOINT to review the available devices. Identify the boot partition on the encrypted disk as the second largest partition that's assigned no label.
Mount the boot partition on the encrypted disk to the "/investigateroot/boot/" directory, as in the following example:
Change the active directory to the mounted root partition on the encrypted disk:
Enter the following commands to prepare the chroot environment:
Enter the chroot environment:
Troubleshoot issues in the chroot environment. You can read logs or run a script. For more information, see Perform fixes in the chroot environment.
Unmount any mounted partitions on the encrypted disk
После создания VM-восстановления SSH для вашего VM-восстановления войдите в систему с помощью соответствующих учетных данных, а затем приподняйте учетную запись на корневую:
Список подключенных устройств с помощью команды lsblk . На выходе должно быть несколько подключенных дисков. Эти диски включают активный диск ОС и зашифрованный диск. Они могут отображаться в любом порядке.
Определите зашифрованный диск с помощью следующих сведений:
- Диск будет иметь несколько разделов
- Диск не будет перечислять корневой каталог ("/") в качестве точки mountpoint для любого из его разделов.
- Диск будет соответствовать размеру, который вы заметили при его создания из снимка.
В следующем примере вывод указывает, что "sdd" — это зашифрованный диск. Это единственный диск, который имеет несколько разделов и не перечисляет "/" в качестве mountpoint.
Разбей все разделы на зашифрованном диске данных, установленных в файловой системе. Например, в предыдущем примере необходимо будет отвязать как "/boot/efi"* и "/boot".
Method 1: Unlock the encrypted disk automatically by using az vm repair command
This method relies on az vm repair commands to automatically create a repair VM, attach the OS disk of the failed Linux VM to that repair VM, and then unlock the disk if it's encrypted. This method requires using a public IP address for the repair VM, and it unlocks the encrypted disk regardless of whether the ADE key is unwrapped or wrapped by using a key encryption key (KEK).
To repair the VM by using this automated method, follow the steps in Repair a Linux VM by using the Azure Virtual Machine repair commands.
If your infrastructure and company policy don't allow you to assign a public IP address, or if the az vm repair command doesn't unlock the disk, go to the next method.
Method 3: Re-encrypt the disk to retrieve the key file, and unlock the encrypted disk
Create the repair VM, and attach a copy of the locked disk to a repair VM:
- For a managed disk, see Troubleshoot a Linux VM by attaching the managed OS disk to a repair VM.
- For an unmanaged disk, use the Storage Explorer to create a copy of the affected VM's OS disk. For more information, see Attach an unmanaged disk to a VM for offline repair.
After you attach the encrypted disk as the data disk to the repair VM, use the Key Vault and Key Encrypted key (KEK) that used for the original VM to re-encrypt this data disk. This process will automatically generate and mount a BEK volume by using a BKE key file in the repair VM. You must not use the EncryptFormatAll option because the ADE extension could encrypt the boot sector on the data disk.
If the original VM is encrypted by wrapped BEK, run the following command.
If the original VM is encrypted by BEK, run the following command:
To determine the values for disk-encryption-keyvault and key-encryption-key, run the following command:
In the following table, find the values in the output. If the keyEncryptionKey value is blank, your VM is encrypted by BEK.
Run the following command to check whether a new disk is attached:
If a new disk is attached, go to Identify the ADE key file in the BEK volume, and then continue following the provided steps to unlock the disk.
Verify that ADE is enabled on the disk
You can do this step in the Azure portal, PowerShell, or the Azure command-line interface (Azure CLI).
Azure portal
View the Overview blade for the failed VM in the Azure portal. Beneath Disk, the Azure disk encryption entry will appear as either Enabled or Not Enabled, as shown in the following screenshot.
PowerShell
You can use the Get-AzVmDiskEncryptionStatus cmdlet to determine whether the OS or data volumes for a VM are encrypted by using ADE. The following example output indicates that ADE encryption is enabled on the OS volume:
Azure CLI
You can use the az vm encryption show command to check whether ADE is enabled on VM disks:
For more information about the az vm encryption show command, see az vm encryption show.
If ADE is not enabled on the disk, see the following article to learn how to attach a disk to a repair VM: Troubleshoot a Linux VM by attaching the OS disk to a repair VM.
Assigning the unlocked partition (example)
Import the newly unlocked partition into a new volume group. In this example, we are temporarily naming the new volume group "rescuemevg". Import the newly unlocked partition into a new volume group. In this example, we are temporarily naming the new volume group "rescuemevg".
Activate the new volume group:
Rename the old rootvg volume group. In this example, we will use the name "oldvg."
Run lsblk -o NAME,SIZE,LABEL,PARTLABEL,MOUNTPOINT to review the available devices. You should now see both volume groups listed by the names that you assigned to them.
Mount the rescuemevg/rootlv logical volume to the /investigateroot/ directory without using the duplicate UUIDs:
Now, the root partition of the failed VM is unlocked and mounted, and you should be able to access the root partition to troubleshoot the issues. For more information, see Repair the VM offline.
However, if you want to use the chroot utility for troubleshooting, continue by using the following steps.
Mount the encrypted disk's boot partition to the directory /investigateroot/boot/ without using the duplicate UUIDs. (Remember that the encrypted disk's boot partition is the second largest that's assigned no partition label.) In our current example, the encrypted disk's boot partition is sda2.
Mount the encrypted disk's EFI system partition to the /investigateroot/boot/efi directory. You can identify this partition by its label. In our current example, the EFI system partition is sda1.
Mount the remaining unmounted logical volumes in the encrypted disk's volume group to subdirectories of "/investigateroot/":
Change the active directory to the mounted root partition on the encrypted disk:
Enter the following commands to prepare the chroot environment:
Enter the chroot environment:
Rename the rescuemevg volume group to "rootvg" to avoid conflicts or possible issues with grub and initramfs. Keep the same naming convention when you regenerate initramfs. Because of the vg name changes, work on the rescue VM. It will no longer be useful if you restart it. The rescue VM should be considered to be a temporary VM.
Troubleshoot issues in the chroot environment. For example, you can read logs or run a script. For more information, see Perform fixes in the chroot environment.
Выберите метод для разблокировки зашифрованного диска
Выберите один из следующих методов, чтобы разблокировать зашифрованный диск:
- Если диск управляется и шифруется с помощью версии 1 ADE, а ваша инфраструктура и политика компании позволяют назначить общедоступный IP-адрес ремонту VM, используйте метод 1: Разблокировать зашифрованный диск автоматически с помощью команды восстановления az vm.
- Если диск управляется и шифруется с помощью версии 1 ADE, но ваша инфраструктура или политика компании не позволяет назначить общедоступный IP-адрес ремонтному компьютеру, используйте метод 2: Разблокировка зашифрованного диска файлом Key в томе BEK. Другой причиной выбора этого метода является отсутствие разрешений на создание группы ресурсов в Azure.
- Если один из этих методов не работает или диск неувядаем или зашифрован с помощью ADE версии 1 (шифрование с двойным проходом), выполните действия в Методе 3 , чтобы разблокировать диск.
Next steps
If you're having problems connecting to your VM, see Troubleshoot SSH connections to an Azure VM.
Добрый день. Вопрос такой : как можно снять пароль с ssd/hdd , если человек его забыл? пароль был добавлен вот так :
снять его можно вот так :
Можно уничтожить данные и пароль снимется сам.
а если нельзя делать вайп?)
Если пароль неизвестен, и уровень защиты «Maximum», то без специальных средств не обойтись. Если пароль неизвестен, и уровень защиты «High», и Master-пароль не изменялся, то есть возможность разблокировать накопитель, зная заводской Master-пароль.
А это на что пароль?
ATA Security Feature Set
THIS FEATURE IS EXPERIMENTAL AND NOT WELL TESTED. USE AT YOUR OWN RISK.
А это та же технология что и при задании пароля через BIOS? Не очень понятно - данные при этом шифруются?
Если на диске уже установлена система то что будет если задать пароль диска? Все пропадет? Он перепишет все данные зашифровывая их?
Вроде та. Обычно такое только на ноутбучных видел. По идее данные шифруются только между контроллером самого диска и его блинами. При включении диск с паролем заблокирован, и BIOS его разблокирует. Или чем-то ещё его надо разблокировать.
Не знаю. Вроде без потерь. Как я раньше понял, данные всегда зашифрованы каким-то ключем. А ключ зашифрован Master(уже задан производителем) и User(с завода значение NUL) паролями.
Не знаю. Вроде без потерь. Как я раньше понял, данные всегда зашифрованы каким-то ключем. А ключ зашифрован Master(уже задан производителем) и User(с завода значение NUL) паролями.
Вот и я примерно так понял, что данные зашифрованы всегда, просто пока пароль не задан, ключ остается незашифрванным.
Но тогда почему все шифруют диски программными средствами, шифруют домашние каталоги пользователей, а про эту технологию я узнал например почти случайно.
Если шифруются — то нет.
Потому что в случае проблем с диском достаточно будет сделать посекторную копию, а тут уже есть шанс полностью данные потерять при проблеме с контроллером.
Программное гибче. Можно совмещать. Без поддержки в BIOS нужно будет с чего-то грузиться, а загрузчики разблокировкой не занимаются, да и придётся городить то же, что и при программном шифровании. Без поддержки имеет смысл, если целевая ОС не умеет никакое шифрование и до неё можно kexec'нуться. Разблокированный диск для системы практически не отличается от нешифрованного, но у этого есть и минусы. Вроде, по нынешним меркам шифрование совсем не устойчиво, а ещё производители хранят пароли чуть ли не в открытом виде в служебной области.
Только у накопителей с поддержкой TCG OPAL, например. ATA password у HDD обычно просто пароль, ничего он особо не защищает.
Метод 2. Разблокировка зашифрованного диска ключевым файлом в томе BEK
Чтобы разблокировать и установить зашифрованный диск вручную, выполните следующие действия:
При создании восстановленного VM необходимо прикрепить зашифрованный диск. Это потому, что система обнаруживает, что присоединенный диск зашифрован. Таким образом, он извлекает ключ ADE из хранилища ключей Azure, а затем создает новый том с именем "BEK VOLUME" для хранения ключевого файла.
Войдите в восстановленный VM, а затем отойдите от установленных разделов на зашифрованном диске.
Identify the header file
The boot partition of the encrypted disk contains the header file. You'll use this file, together with the "LinuxPassPhraseFileName" key file, to unlock the encrypted disk.
Use the following command to show selected attributes of the available disks and partitions:
On the encrypted disk, identify the OS partition (root partition). This is the largest partition on the encrypted disk. In the previous example output, the OS partition is "sda4." This partition must be specified when you run the unlock command.
In the root directory ("/") of the file structure, create a directory to which to mount the root partition of the encrypted disk. You'll use this directory later, after the disk is unlocked. To distinguish it from the active OS partition of the repair VM, give it the name "investigateroot".
On the encrypted disk, identify the boot partition, which contains the header file. On the encrypted disk, the boot partition is the second largest partition that shows no value in the LABEL or PARTLABEL column. In the previous example output, the boot partition of the encrypted disk is "sda2."
Mount the boot partition that you identified in step 4 into the /investigateboot/ directory. In the following example, the boot partition of the encrypted disk is sda2. However, the location on your system might differ.
If mounting the partition fails and returns a "wrong fs type, bad option, bad superblock" error message, try again by using the mount -o nouuid command, as in the following example:
List the files that are in the /investigateboot/ directory. The "luks" subdirectory contains the header file that you must have to unlock the disk.
List the files that are in the /investigateboot/luks/ directory. The header file is named "osluksheader."
Определение файла загона
Раздел загрузки зашифрованного диска содержит файл загона. Этот файл вместе с ключевым файлом LinuxPassPhraseFileName будет разблокировать зашифрованный диск.
Чтобы показать выбранные атрибуты доступных дисков и разделов, используйте следующую команду:
На зашифрованном диске определите раздел ОС (корневой раздел). Это самый большой раздел на зашифрованном диске. В предыдущем выпуске примера раздел ОС является "sda4". Этот раздел должен быть указан при запуске команды разблокировки.
В корневом каталоге ("/") структуры файла создайте каталог, в который можно установить корневой раздел зашифрованного диска. Вы будете использовать этот каталог позже, после разблокирования диска. Чтобы отличить его от активного раздела ОС для ремонта VM, назовем его "investigateroot".
На зашифрованном диске определите раздел загрузки, который содержит файл загона. На зашифрованном диске раздел загрузки является вторым по величине разделом, который не имеет значения в столбце LABEL или PARTLABEL. В предыдущем примере вывода раздел загрузки зашифрованного диска является "sda2".
Смонтировать раздел загрузки, который вы определили на шаге 4, в каталог /investigateboot/. В следующем примере раздел загрузки зашифрованного диска — sda2. Однако расположение в системе может отличаться.
Список файлов, которые находятся в каталоге /investigateboot/. Подтексто "luks" содержит файл загона, который необходимо разблокировать диск.
Список файлов, которые находятся в каталоге /investigateboot/luks/. Файл заголовок называется "osluksheader".
Дальнейшие действия
Если у вас возникли проблемы с подключением к VM, см. в примере SSH-подключения к Azure VM.
Пытаюсь освоить Mint Linux 17.1. Установил на отдельном диске. Пару раз загружался в Windows и вот такая беда у меня приключилась:
При обращении к «Basic data partition» произошла ошибка, ответ системы: The requested operation has failed: Error mounting /dev/sdb2 at /media/marshak/44BCF9D3BCF9C00A: Command-line `mount -t "ntfs" -o "uhelper=udisks2,nodev,nosuid,uid=1000,gid=1000,dmask=0077,f mask=0177" "/dev/sdb2" "/media/marshak/44BCF9D3BCF9C00A"' exited with non-zero exit status 14: The disk contains an unclean file system (0, 0). Metadata kept in Windows cache, refused to mount. Failed to mount '/dev/sdb2': Operation not permitted The NTFS partition is in an unsafe state. Please resume and shutdown Windows fully (no hibernation or fast restarting), or mount the volume read-only with the 'ro' mount option.
После обновления ОС нет расширенного доступа к жестким дискам (объяснения для плохо разбирающегося)
Здравствуйте. Проблема в следующем. Брат переустановил мне операционную систему с установочного.
Блокировка доступа к жестким дискам
Здравствуйте. Хочу написать программу, что-то вроде драйвера, которая бы висела как сервис(или.
Нет прав доступа к дискам
Здравствуйте. Появилась проблема: Нет прав доступа к логическим дискам из программы Archicad 16. Не.
Нет доступа к дискам и папкам в Windows 7
Доброго времени суток! Возникла такая вот проблема. Было: Win XP 32b, стало : Windows 7.
Создание VM-восстановления
Создание диска из снимка. Для нового диска выберите ту же зону расположения и доступности, что и для проблемы VM, которую необходимо отремонтировать.
Создайте VM, основанный на следующих рекомендациях:
- В Azure Marketplace выберите то же изображение для VM-восстановления, которое использовалось для сбойного VM. (Версия ОС должна быть одинаковой.)
- Выберите размер, который выделяет ВМ не менее 8 ГБ памяти.
- Назначьте этот новый VM той же группе ресурсов, региону и параметрам доступности, которые использовались для нового диска, созданного на шаге 2.
На странице Диски мастера Create a Virtual Machine прикрепить новый диск (только что созданный из снимка) в качестве диска данных.
Так как параметры шифрования обнаруживаются только во время создания VM, убедитесь, что при создании VM вы прикрепили диск. Это позволяет автоматически добавлять в VM том, содержащий файл ключа ADE.
Назначение незапертой перегородки (пример)
Импорт недавно разблокированный раздел в новую группу тома. В этом примере мы временно названим новую томовую группу "rescuemevg". Импорт недавно разблокированный раздел в новую группу тома. В этом примере мы временно названим новую томовую группу "rescuemevg".
Активируйте новую группу тома:
Переименовать старую группу тома rootvg. В этом примере мы будем использовать имя oldvg.
Запустите lsblk -o NAME,SIZE,LABEL,PARTLABEL,MOUNTPOINT , чтобы просмотреть доступные устройства. Теперь вы должны увидеть обе группы тома, перечисленные именами, которые назначены им.
Смонтируйте логический том rescuemevg/rootlv в каталог /investigateroot/directory без использования дублирующих UUIDs:
Теперь корневой раздел сбойного VM разблокирован и установлен, и вы должны иметь доступ к корневому разделу для устранения неполадок. Дополнительные сведения см. в перек. Ремонт VM в автономном режиме.
Однако, если вы хотите использовать утилиту chroot для устранения неполадок, продолжайте использовать следующие действия.
Смонтируйте раздел загрузки зашифрованного диска в каталог /investigateroot/boot/ без использования дублирующих UUID-файлов. (Помните, что раздел загрузки зашифрованного диска является вторым по величине, который не назначен меткой раздела.) В нашем текущем примере раздел загрузки зашифрованного диска — sda2.
Смонтировать раздел системы EFI зашифрованного диска в каталог /investigateroot/boot/efi. Этот раздел можно определить по метке. В нашем текущем примере раздел системы EFI — sda1.
Смонтировать оставшиеся ненаправленные логические тома в группе томов зашифрованного диска в подраздельные файлы "/investigateroot/":
Измените активный каталог на установленный корневой раздел на зашифрованном диске:
Введите следующие команды для подготовки среды chroot:
Введите среду chroot:
Переименуй группу томов rescuemevg в "rootvg", чтобы избежать конфликтов или возможных проблем с grub и initramfs. Сохраняй ту же конвенцию именования при регенерации initramfs. Из-за изменений имени vg работа над спасением VM. Это больше не будет полезно, если перезапустить его. Спасательный VM должен считаться временным VM.
Устранение неполадок в среде chroot. Например, можно читать журналы или запускать сценарий. Дополнительные сведения см. в дополнительных сведениях о выполнении исправлений в среде chroot.
Identify the ADE key file
You must have both the key file and the header file to unlock the encrypted disk. The key file is stored in the BEK volume, and the header file is in the boot partition of the encrypted OS disk.
Determine which partition is the BEK volume:
The following example output indicates that sdb1 is the BEK volume:
If no BEK volume exists, re-create the repair VM by having the encrypted disk attached. If the BEK volume still does not attach automatically, try Method 3 to retrieve the BEK volume.
Create a directory that's named "azure_bek_disk" under the "/mnt" folder:
Mount the BEK volume in the "/mnt/azure_bek_disk" directory. For example, if sdb1 is the BEK volume, enter the following command:
List the available devices again:
Note: You'll see that the partition that you determined to be the BEK volume is now mounted in "/mnt/azure_bek_disk."
View the contents in the "/mnt/azure_bek_disk/" directory:
You should see the following files in the output (the ADE key file is "LinuxPassPhraseFileName"):
You may see multiple "LinuxPassPhraseFileName" if more than one disk is attached to the encrypted VM. The "LinuxPassPhraseFileName" will be enumerated according to the number of disks in the same order as their Logical Unit Numbers (LUNs).
Определение файла ключа ADE
Чтобы разблокировать зашифрованный диск, необходимо иметь как ключевой, так и загонный файл. Файл ключа хранится в томе BEK, а заглавный файл находится в разделе загрузки зашифрованного диска ОС.
Определите, какой раздел является томом BEK:
В следующем примере вывод указывает, что sdb1 — это объем BEK:
Если нет тома BEK, повторно создайте ремонт VM, прикрепив зашифрованный диск. Если объем BEK по-прежнему не присоединяется автоматически, попробуйте метод 3 для получения тома BEK.
Создайте каталог с именем "azure_bek_disk" в папке "/mnt":
Установка тома BEK в каталоге "/mnt/azure_bek_disk". Например, если sdb1 — это том BEK, введите следующую команду:
Снова перечислить доступные устройства:
Примечание: Вы увидите, что раздел, который определен как том BEK, теперь установлен в "/mnt/azure_bek_disk".
Просмотр содержимого в каталоге "/mnt/azure_bek_disk/":
В выходе должны быть следующие файлы (ключевой файл ADE — "LinuxPassPhraseFileName"):
Вы можете увидеть несколько "LinuxPassPhraseFileName", если к зашифрованному VM подключено несколько дисков. "LinuxPassPhraseFileName" будет числоваться в соответствии с количеством дисков в том же порядке, что и их логические номера единиц (LUNs).
Symptoms
If ADE is enabled on the OS disk, you might receive the following error messages after you try to mount the disk on a repair VM:
mount: wrong fs type, bad option, bad superblock on /dev/sda2, missing codepage or helper program, or other error
mount: unknown filesystem type 'LVM2_member'
Mount the unlocked partition and enter the chroot environment (LVM only)
If the disks use the LVM device mapper framework, you have to take extra steps to mount the disk and enter the chroot environment. To use the chroot tool together with the encrypted disk, the unlocked partition ("osencrypt") and its logical volumes must be recognized as the volume group that's named rootvg. However, by default, the repair VM's OS partition and its logical volumes are already assigned to a volume group that has the name rootvg. We must resolve this conflict before we can continue.
Use the pvs command to display the properties of the LVM physical volumes. You might see warning messages, as in the following example, that indicate that the unlocked partition ("/dev/mapper/osencrypt") and another device are using duplicate universally unique identifiers (UUIDs). Alternatively, you might see two partitions assigned to rootvg.
You want only the unlocked partition ("osencrypt") to be assigned to the rootvg volume group so that you can access its logical volumes through the chroot utility. To fix this problem, you'll temporarily import the partition into a different volume group, and activate that volume group. Next, you'll rename the current rootvg volume group. Only after you enter the chroot environment will you rename the encrypted disk's volume group as "rootvg."
Unmount any mounted partitions on the encrypted disk
After the repair VM is created, SSH to your repair VM, log in by using the appropriate credentials,and then elevate the account to root:
List the attached devices by using the lsblk command. In the output, you should see multiple attached disks. These disks include the active OS disk and the encrypted disk. They can appear in any order.
Identify the encrypted disk by using the following information:
- The disk will have multiple partitions
- The disk will not list the root directory ("/") as a mountpoint for any of its partitions.
- The disk will match the size that you noted when you created it from the snapshot.
In the following example, the output indicates that "sdd" is the encrypted disk. This is the only disk that has multiple partitions and that does not list "/" as a mountpoint.
Unmount any partitions on the encrypted data disk that have been mounted in the file system. For example, in the previous example, you would have to unmount both "/boot/efi"* and "/boot".
Create a repair VM
Create a disk from the snapshot. For the new disk, choose the same location and availability zone as that of the problem VM that you want to repair.
Create a VM that's based on the following guidelines:
- In the Azure Marketplace, choose the same image for the repair VM that was used for the failed VM. (The OS version should be the same.)
- Choose a size that allocates at least 8 GB of memory to the VM.
- Assign this new VM to the same resource group, region, and availability settings that you used for the new disk that you created in step 2.
On the Disks page of the Create a Virtual Machine wizard, attach the new disk (that you just created from the snapshot) as a data disk.
Because the encryption settings are detected only during the VM creation, make sure that you attach the disk when you create the VM. This enables a volume that contains the ADE key file to be added to the VM automatically.
Подготовка
Прежде чем разблокировать зашифрованный диск ОС для автономного ремонта, выполните следующие задачи:
-
.
- Определите, использует ли диск ОС версию 0 (шифрование с двойным пропуском) или версию 1 ADE (шифрование с одним проходом).. управляется или не управляется диск ОС. .
Determine whether the OS disk is managed or unmanaged
If you don't know whether the OS disk is managed or unmanaged, see Determine if the OS disk is managed or unmanaged.
If the OS disk is an unmanaged disk, follow the steps in Method 3 to unlock the disk.
Проверка включения ADE на диске
Этот шаг можно сделать на портале Azure, PowerShell или интерфейсе командной строки Azure (Azure CLI).
Портал Azure
Просмотр лезвия Обзор для сбойного VM на портале Azure. Под диском запись шифрования диска Azure будет отображаться как включенная или не включенная , как показано на следующем скриншоте.
PowerShell
С помощью этого Get-AzVmDiskEncryptionStatus комлета можно определить, шифруются ли объемы оси или данных для VM с помощью ADE. В следующем примере вывод указывает, что шифрование ADE включено в томе ОС:
Azure CLI
Вы можете использовать команду az vm encryption show , чтобы проверить, включена ли ADE на дисках VM:
Если ADE не включен на диске, см. в следующей статье, чтобы узнать, как прикрепить диск к ремонту VM: устранение неполадок в Linux VM путем крепления диска ОС к ремонту VM.
Симптомы
mount: неправильный тип fs, плохой вариант, плохой суперблок на /dev/sda2, отсутствующий код-страницы или помощник программы или другая ошибка
mount: неизвестный тип файловой LVM2_member'
Select the method to unlock the encrypted disk
Choose one of the following methods to unlock the encrypted disk:
- If the disk is managed and encrypted by using ADE version 1, and your infrastructure and company policy allow you to assign a public IP address to a repair VM, use Method 1: Unlock the encrypted disk automatically by using az vm repair command.
- If your disk is both managed and encrypted by using ADE version 1, but your infrastructure or company policy prevent you from assigning a public IP address to a repair VM, use Method 2: Unlock the encrypted disk by the Key file in the BEK volume. Another reason to choose this method is if you lack the permissions to create a resource group in Azure.
- If either of these methods fails, or if the disk is unmanaged or encrypted by using ADE version 1 (dual-pass encryption), follow the steps in Method 3 to unlock the disk.
Читайте также: