moin,
ich versuche gerade mein debian zu verschlüsseln nur ich stehe da gerade auf dem Schlauch.
Wie man es verschlüsselt installiert ist mir soweit klar nur hätte ich gerne sowas:
ssd 1 + 2 als raid 1
/ boot ( raid 1 -kein problem )
LVM
/ ( raid 1 verschlüsseld für swap und rest kein problem ) 120 GB
ssd 3 + 4 als raid 1
/ vm-storage ( verschlüsseld für Vm damit alles getrennt wird ) 512 GB
beim hochfahren wird einmal das password für das LVM gefragt auch ok nur möchte ich daa laufwerk /vm-storage auch verschlüsselt in das LVM von 1+2 einhängen.
dabei soll aber nur beim start das passwort gefragt werden und nicht wenn ich auf 3+4 zugreife.
wenn ich alle 4 ssd in ein LVM einsetze erhalte ich ein großen speicherplatz den ich nicht trennen kann.
Also 1+2 nur für das system und 3+4 für die vm's.
Ein großes LVM mit allen 4 platten kann ich das nach laufwerken trennen oder geht das nicht ?
wenn ich 3+4 unverschlüsselt einhänge ist das kein problem aber das soll so nicht sein.
wenn ich 2 LVM erstelle mit je einem password wird das passwort für 3+4 erst gefordert wenn ich auf die platten zugreife aber das soll direkt beim booten gefragt werden die das von 1+2.
habt ihr eine idee ?
habe das gefunden ist das ein möglicher weg ?
viewtopic.php?t=157523
verschlüsselte laufwerke
Re: verschlüsselte laufwerke
Die dritte Spalte der /etc/crypttab ist für eine Datei mit einem Schlüssel. Nur wenn das auf none steht, wirst du nach dem Passwort gefragt.
Ich Verstehe nicht, warum alle diese komischen LVM-Worarounds nehme um Passwortabfragen zu minimieren.
Dazu war LVM nie gedacht.
Du kannst irgend wo auf die erste verschlüsselte Platte (z.B. nach /etc/key) einen Key/Passwort legen. (Entweder selbst ein passwort rein schreiben oder halt mit head -c 16 /dev/urandom > /etc/key einen erzeugen.)
Dann wird die Platte ohne Passwortabfrage eingehängt.
Umgekehrt:
Wenn du das System schon installiert hast kannst du einfach dein Passwort in eine Datei schreiben und none in der dritten spalte der /etc/crypttab durch den Dainame ersetzen.
Wichtig: Die Datei mit dem Passwort sollte am Ende keinen Zeilenumbruch enthalten cryptsetup nimmt den als Teil des Passworts an. (Viele Editoren legen den aber automatisch an.)
Und passwort und passwort[Zeilenumbruch] sind halt zwei unterschiedliche Sachen.
Ich würde sie so anlegen:
Oder sicher auf nem Multiusersystem:
Die entsprechende Zeile in der crypttab müsste dann so aussehen:
Unter der annahme, dass deine Volume-Group VG-vm-storage heißt und dein Volume vm-storage und die entsprechende Zeile in der fstab mit vm-storage_crypt anfängt.
Ich Verstehe nicht, warum alle diese komischen LVM-Worarounds nehme um Passwortabfragen zu minimieren.
Dazu war LVM nie gedacht.
Du kannst irgend wo auf die erste verschlüsselte Platte (z.B. nach /etc/key) einen Key/Passwort legen. (Entweder selbst ein passwort rein schreiben oder halt mit head -c 16 /dev/urandom > /etc/key einen erzeugen.)
Dann wird die Platte ohne Passwortabfrage eingehängt.
Umgekehrt:
Wenn du das System schon installiert hast kannst du einfach dein Passwort in eine Datei schreiben und none in der dritten spalte der /etc/crypttab durch den Dainame ersetzen.
Wichtig: Die Datei mit dem Passwort sollte am Ende keinen Zeilenumbruch enthalten cryptsetup nimmt den als Teil des Passworts an. (Viele Editoren legen den aber automatisch an.)
Und passwort und passwort[Zeilenumbruch] sind halt zwei unterschiedliche Sachen.
Ich würde sie so anlegen:
Code: Alles auswählen
echo -n password > /etc/vnpwCode: Alles auswählen
umask 177 /etc/vnpw
cat > /etc/vnpw
passwd[Srg+D][Srg+D][Kein enter!]Code: Alles auswählen
vm-storage_crypt /dev/VG-vm-storage/vm-storage /etc/vnpw luks,nofailrot: Moderator wanne spricht, default: User wanne spricht.