ich hab nen raid 5 device /dev/md0 und möchte das nun quasi "on the fly" verschlüsseln. (das das riskant ist, ist klar)
Lebenswichtige Sachen werde ich vorher sichern, aber leider kann ich keine 400GB mal eben wo hin schieben, also muss der Vorgang dann ohne neu Erstellen funktionieren. Ich habe irgendwann in irgendeiner ct mal gelesen das sowas möglich ist, ich habe sie aber leider nicht mehr und hab den Artikel auch nur überflogen.
Weis jemand von euch wie ich das anstellen kann?
[solved] raid device nachträglich verschlüsseln
[solved] raid device nachträglich verschlüsseln
Zuletzt geändert von Nietschy am 05.08.2005 12:02:46, insgesamt 1-mal geändert.
-
finupsen
- Beiträge: 1327
- Registriert: 21.04.2004 20:07:05
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Dortmund
-
Kontaktdaten:
Hallo,
Ein möglichkeit wäre:
ein crypt-mapping-device anlegen:
$ cryptsetup create crypt_dev /dev/mdX
ganz normal mounten:
$ mount -t <typ> /dev/mapper/crypt_dev /home
Du musst allerdings im kernel das modul AES (standard für cryptsetup) anknippsen.
Ausserdem würde ich nicht das gesamte system verschlüsseln, sondern nur gezielt
die dinge , wo auch sicherheits-empfindliches material liegt (normalerweise in /home)
MfG
Andy
Ein möglichkeit wäre:
ein crypt-mapping-device anlegen:
$ cryptsetup create crypt_dev /dev/mdX
ganz normal mounten:
$ mount -t <typ> /dev/mapper/crypt_dev /home
Du musst allerdings im kernel das modul AES (standard für cryptsetup) anknippsen.
Ausserdem würde ich nicht das gesamte system verschlüsseln, sondern nur gezielt
die dinge , wo auch sicherheits-empfindliches material liegt (normalerweise in /home)
MfG
Andy
Niemand hat vor eine zentrale Datensammelbehörde aufzubauen. Es handelt sich vielmehr um dezentrale IT-Systeme die miteinander vernetzt werden.
... und Wasser ist naß.
... und Wasser ist naß.
danke schon mal!
Ich habe dich aber nicht ganz verstanden. Was habe ich davon wenn ich ein crypt device habe welches mit meinem raid /dev/md0 aber in keiner Beziehung steht?
Ich möchte ja nur meine userdaten verschlüsseln /home/user/ dafür habe ich mein raid5 aus 6 Festplatten die etwa 400GB an Nutzdaten ergeben. das System juckt mich nicht, da ist nix lebenswichtiges drauf /var/opt/vmail vielleicht noch, aber so wichtig ist das erstmal nicht.
Ich habe nun aespipe gefunden und damit auch schon mal ein paar Dateien verschlüsselt. Nur leider fehlt mir noch der Durchblick wie ich damit nun mein raid komplett verschlüsseln soll.
Ist das wirklich so einfach:
und mounten dann einfach mit:
Ich habe dich aber nicht ganz verstanden. Was habe ich davon wenn ich ein crypt device habe welches mit meinem raid /dev/md0 aber in keiner Beziehung steht?
Ich möchte ja nur meine userdaten verschlüsseln /home/user/ dafür habe ich mein raid5 aus 6 Festplatten die etwa 400GB an Nutzdaten ergeben. das System juckt mich nicht, da ist nix lebenswichtiges drauf /var/opt/vmail vielleicht noch, aber so wichtig ist das erstmal nicht.
Ich habe nun aespipe gefunden und damit auch schon mal ein paar Dateien verschlüsselt. Nur leider fehlt mir noch der Durchblick wie ich damit nun mein raid komplett verschlüsseln soll.
Ist das wirklich so einfach:
Code: Alles auswählen
dd if=/dev/md0 bs=1M | aespipe -K /etc/fskey1.gpg | dd of=/dev/md0 bs=1M conv=notrunc
und mounten dann einfach mit:
Code: Alles auswählen
mount -t XFS /dev/md0 /home/user/raid5 -o loop=/dev/loop1,encryption=AES128,gpgkey=/etc/fskey1.gpg
Sorry erstmal. ich hatte nicht erkannt was du mitNietschy hat geschrieben: Ich habe dich aber nicht ganz verstanden. Was habe ich davon wenn ich ein crypt device habe welches mit meinem raid /dev/md0 aber in keiner Beziehung steht?
gemeint hast.$ cryptsetup create crypt_dev /dev/mdX
Ich habe nun beide Methoden probiert und kann leider mit keiner der beiden an meine Daten.
nach deiner cryptsetup Lösung bekomme ich das crypt device leider nicht gemountet (er sagt das Dateisystem wäre nicht intakt).
Code: Alles auswählen
cryptsetup create md0_crypt /dev/md0
cryptsetup status /dev/mapper/md0_crypt
/dev/mapper//dev/mapper/md0_crypt is active:
cipher: aes-plain
keysize: 256 bits
device: /dev/md0
offset: 0 sectors
size: 750636160 sectors
mode: read/write
mount -t xfs /dev/mapper/md0_crypt /home/andre/raid5/
mount: wrong fs type, bad option, bad superblock on /dev/mapper/md0_crypt,
missing codepage or other error
In some cases useful info is found in syslog - try
dmesg | tail or so
Ich habe mein Laufwerk ja mit der ersten Methode verschlüsselt, wenn ich nun an die Daten mit der 2. Methode heran will, muss ich das md0 device und das crypt device ja zusammen mit meinem Schlüssel in Verbindung bringen (sonst kann es ja auch garnicht funktionieren).
Also probierte ich dies:
eine Erstellung des crypt devices mit:
Code: Alles auswählen
gpg --quiet -d /etc/fskey1.gpg | cryptsetup -h plain create md0_crypt /dev/md0
und bei einem Versuch das über die andere methode einzubinden passiert dies:
Code: Alles auswählen
mount -t xfs /dev/md0 /home/andre/raid5 -o loop=/dev/loop1,encryption=AES128,gpgkey=/etc/fskey1.gpg
Password:
ioctl: LOOP_MULTI_KEY_SETUP_V3: Das Argument ist ungültig
Code: Alles auswählen
lsmod
dm_crypt 10888 1
aes_i586 38900 1
cryptoloop 3712 0
loop 16584 1 cryptoloop
xfs 610392 0
dm_mod 59644 1 dm_crypt
Code: Alles auswählen
cat /proc/crypto
name : md5
module : kernel
type : digest
blocksize : 64
digestsize : 16
name : aes
module : aes_i586
type : cipher
blocksize : 16
min keysize : 16
max keysize : 32
Code: Alles auswählen
losetup -a
Was tun sprach Zeus? Kann mir jemand helfen?
hab es nun selber hinbekommen. schade nur das keiner hier aus dem Forum sich wirklich um das Problem kümmern wollte.
die Lösung ist auf:
http://ldp.hughesjr.com/HOWTO/Encrypted ... ystem.html
die Lösung ist auf:
http://ldp.hughesjr.com/HOWTO/Encrypted ... ystem.html