Crypt Laufwerk mit Raid erweitern

[Overon]

Hallo,

habe leider nichts gefunden.

Aktuell habe ich bei der Installation meines Servers die /dev/sda Platte verschlüsselt, welche beim boot per Passwort eingabe freigegeben wird.

Jetzt wollte ich meine Daten (Dokumente, Musik, Filme, Bilder) auf einen Software Raid 1 auslagern. Das Raid sollte aus 2x3TB bestehen.

Nun zur Frage, kann ich das Raid in die Verschlüsselung der Bootplatte mit aufnehmen? Oder muss ich das Raid gesondert verschlüsseln?

Vielen dank

VG
Overon

[NAB]

Du musst das Raid gesondert verschlüsseln. Also erst das Raid erstellen, dann einen Crypt-Container in dem Raid, und dann ein Dateisystem in dem Crypt-Container.

Da das Raid aber anscheinend keine zum Booten benötigten Daten enthalten soll, kannst du das Raid nach dem Booten automatisch entschlüsseln und einhängen lassen, musst also keine zwei Passworte eingeben, falls es dir darum ging.

[Overon]

D.h. ich könnte jetzt die aktuell Verschlüsselte Partition nicht um eine Raid Partition erweitern?

[wanne]

Also erst das Raid erstellen, dann einen Crypt-Container in dem Raid, und dann ein Dateisystem in dem Crypt-Container.

Die cryptsetup Leute empfehlen genau das Gegenteil. Also viele crypt container und dann darein das RAID. (Multithreading ist per default glaube ich immer noch ausgerschaltet. Und entsprechend kann man mit mehreren devices mehr Kerne auslasten.)
Ist aber glaube ich auch ein bisschen Wurst.

@Overon ich verstehe die Frage nicht so richtig.
So ein paar Sachen: /boot kannst du nicht verschlüsseln.
Typischerweise legt man nur als root lesbare Dateien unter /etc an, wo die Passwörter der anderen Partitionen enthalten sind. Dann kann man alle anderen crypto devices automatisch öffnen lassen.
Für LUKS kann man auch einfach überall das gleiche Passwort nutzen. (Zum einen öffnen sich die dann beim booten alle nach der ersten Eingabe des Passworts, zum anderen kann man da auch einfach überall die gleiche Datei zum entschlüsseln nehmen.) Für plain-Devices ist das nicht zu empfehlen.

[NAB]

Die cryptsetup Leute empfehlen genau das Gegenteil. Also viele crypt container und dann darein das RAID. (Multithreading ist per default glaube ich immer noch ausgerschaltet. Und entsprechend kann man mit mehreren devices mehr Kerne auslasten.)

Also man verschlüsselt dann identische Daten zwei mal, um mehr Kerne auszulasten? Das ist dann als Heizmaßnahme für den Winter gedacht, ja?

D.h. ich könnte jetzt die aktuell Verschlüsselte Partition nicht um eine Raid Partition erweitern?

Dann hättest du ein Dateisystem, das über deine sda und das Raid geht. Wenn deine sda kaputt geht, wäre das gesamte Dateisystem kaputt. Für so viel Unsicherheit musst du nun wirklich kein Raid1 aufsetzen.

[dirk11]

Also erst das Raid erstellen, dann einen Crypt-Container in dem Raid, und dann ein Dateisystem in dem Crypt-Container.

Die cryptsetup Leute empfehlen genau das Gegenteil. Also viele crypt container und dann darein das RAID.

Kannst Du das mit irgendeiner Quelle belegen? Der Debian-Installer geht nämlich genauso vor, wie NAB es beschreibt:
Erst RAID(1), dann cryptdevice, und darin dann das filesystem. Alles andere wäre IMO auch unlogisch.

[NAB]

Alles andere wäre IMO auch unlogisch.

Zum Beispiel bei einem Raid0 ist es logisch. Da könnte es ein Nadelöhr sein, wenn alle Daten, die parallel geschrieben werden könnten, erst durch eine einzige Verschlüsselungskette hindurch müssen. Bei einem Raid1 auf SSDs hättest du eventuell noch Vorteile in der Lesegeschwindigkeit, aber auf Kosten höherer CPU-Auslastung und geringerer Datensicherheit, ist also ne blöde Idee.

[wanne]

Also man verschlüsselt dann identische Daten zwei mal, um mehr Kerne auszulasten? Das ist dann als Heizmaßnahme für den Winter gedacht, ja?

Erst RAID(1), dann cryptdevice, und darin dann das filesystem. Alles andere wäre IMO auch unlogisch.

Ihr habt natürlich recht für RAID 1 macht das keinen Sinn. Sorry. Für RAID 0 durchaus. Drin war das glaube ich für LVMs. Finde es aber auch nicht mehr.

[Overon]

@Overon ich verstehe die Frage nicht so richtig.
So ein paar Sachen: /boot kannst du nicht verschlüsseln.
Typischerweise legt man nur als root lesbare Dateien unter /etc an, wo die Passwörter der anderen Partitionen enthalten sind. Dann kann man alle anderen crypto devices automatisch öffnen lassen.
Für LUKS kann man auch einfach überall das gleiche Passwort nutzen. (Zum einen öffnen sich die dann beim booten alle nach der ersten Eingabe des Passworts, zum anderen kann man da auch einfach überall die gleiche Datei zum entschlüsseln nehmen.) Für plain-Devices ist das nicht zu empfehlen.

@wanne: Danke für deine Infos. Ich bin noch komplett neu im Bereich LVM und crypto. Da ich meinen Server derzeit neu aufsetze, möchte ich es halt gleich richtig machen. Der Hinweis mit den Passwärtern im /etc Verzeichnis hat könnte die gesuchte Lösung sein.

[wanne]

@wanne: Danke für deine Infos. Ich bin noch komplett neu im Bereich LVM und crypto. Da ich meinen Server derzeit neu aufsetze, möchte ich es halt gleich richtig machen. Der Hinweis mit den Passwärtern im /etc Verzeichnis hat könnte die gesuchte Lösung sein.

So als kleine Warnung. Der interpretiert alles, was in der Datei steht. D.h. zum einen, dass du einfach binären Müll aus /dev/urandom da rein pipen kannst:

Code: Alles auswählen

touch /etc/pw
chmod 400  /etc/pw
head -c32 /dev/urandom >> /etc/pw

Auf der anderen Seite muss man wie ein Luchs darauf aufpassen, dass da am ende nicht irgend welche Leerzeichen und vor allem Zeilenumbrüche stehen.

Code: Alles auswählen

echo "passwd" > /etc/pw

Hette eben das Passwort passwd und einen Zeilenumbruch, den man nicht so einfach eingeben kann. (Da Enter die Passworteingabe beendet.)
Richtig für das passwort "passwd" wäre das:

Code: Alles auswählen

echo -n "passwd" > /etc/pw

Viele Texteditoren verhalten sich ähnlich. Z.B. habe ich keine Ahnung, wie man nano dazu bringen soll eine Datei ohne Zeilenumbruch am Ende zu erstellen.