LVM 2 getrennte Festplatten verschlüsselt 1 Passwort

[debfreak]

Hallo,

ich habe vor einen neues Debian System unter Nutzung von LVM aufzusetzen wobei ich /home auf eine zweite Festplatte installieren möchte. Das Ganze soll bis auf /boot komplett verschlüsselt sein. Doch davor hab ich noch eine Frage: Muss man beim Start für beide Festplatten ein Entschlüsselungspasswort eingeben oder nicht ? Ich dachte es sollte nur eines sein denn Logisch ist es ja nur einen Volume Gruppe. Doch bin mir da nicht ganz sicher .

Danke für die Hilfe.

Gruß
debfreak

[pluvo]

Hi debfreak!

Kannst du das genauer beschreiben? So wie ich das jetzt verstanden habe, hast du zwei Festplatten.

Festplatte 1

• /dev/sda1 - ext3 - /boot
• /dev/sda2 - Crypto - PV
  • vg00 - lv_system - ext3 - /
  • vg00 - lv_swap - swap - swap

Festplatte 2

• /dev/sdb1 - Crypto - PV
  • vg01 - lv_home - ext3 - /home

Wenn du das so machen würdest, hättest du zwei Passphrasen.

PS: Anstatt Passphrasen kann man auch Key-Files benutzen.

[schwedenmann]

Hallo

Wenn du erst das cryptodevice anlegst (also jeweils für 1 Platte), erhälst du 2 cryptodevices mit jeweils 1 Passphrase, du kannst erst ein lvm erzeugen und darauf das cryptdevice anlegen, dann hättest du nur 1 PW , aber dann ist das LVM im Grunde nutzlos.

Bei 2 cryptdevices (wenn 1 davon /home ist), kannst du die passphrase von /home auch in / speichern. Dann mußt du nur 1 PW für / beim Booten eintippen, /home sollte dann automatsich entsperrt werden, wenn / entsperrt wurde.

mfg
schwedenmann

[debfreak]

@pluvo

So wie du es beschrieben hast wollte ich es machen . Nur möchte ich halt nicht zweimal ein Passwort eingeben. Aber vielleicht versuch ich das mal was mir schwedenmann vorgeschlagen hat.
Danke für eure Antworten ....

Gruß
debfreak

[smiler]

Hallo debfreak,

Das Problem hatte ich auch. meines Wissen gibt es da keine Lösung.
Ich habe letztendlich root (/) aus dem LVM herausgelöst und auf eine Extrapartition gelegt. Da man weitere Keys nach /etc/crypttab kopieren kann können weitere verschlüsselte Partitionen dann automatisch entschlüsselt werden.

gruss

Smiler

[pluvo]

Das Problem hatte ich auch. meines Wissen gibt es da keine Lösung.

Ich setze das zwar nicht ein, aber Keyfiles sollten doch gehen?

Ich habe letztendlich root (/) aus dem LVM herausgelöst und auf eine Extrapartition gelegt.

Wieso?

[smiler]

Hi Pluvo,

naja, ganz einfach

Ich nehme einfach an, dass die Verschlüsselungsschicht für beide Platten "unterhalb" des PV liegt. Und wenn die VG sich über beide PVs hinzieht. müssen erst einmal beide Partitionen entschlüsselt werden, um die in der VG liegenden LVs zu aktivieren. Und wenn dort auch root "/" liegt, dann nützen keyfiles erstmal wenig, denn die liegen in /etc und sind erst lesbar, wenn root lesbar ist und root ist erst lesbar, wenn die VG bereit ist, und die ist erst bereit, wenn beide PVs lesbar sind, und dafür müssen beide Partitionen (bzw.Platten) entschlüsselt werden.

Oder es gibt die Möglichkeit beim booten 2 mal das Passwort für beide verschlusselte Partitionen einzugeben. Ob das geht weiss ich nicht, glaube es aber nicht.

Aus diesem Grund habe ich root aus dem LVM herausgelöst und als extra Partition angelegt. Der Rest ist dann in einem LVM. So kann, wenn ich root entschlüsselt habe der Rest per keyfile in /etc/crypttab entschlüsselt werden.

Alles Klar?

Viele Grüsse

Smiler