LVM und Verschlüsselung

[SMHRambo]

Hallo,

ich bin gerade dabei mein Linuxsystem neu aufzusetzen und möchte es wie mein altes System verschlüsseln.
Zusätzlich will ich aber auf die Funktionalität eines LVM basierenden Systems setzen.

Nun Stellt sich die Frage:
1. HDD --> verschlüsselte Partition --> LVM
oder
2. HDD --> LVM --> verschlüsselte Partition

Die Gesichtspunkte nach dem ich das auswählen würde sind:
1. Geschwindigkeit (ich glaube das das in beiden fällen gleich sein sollte)
2. Flexibilität, Partitionen vergrößern, verkleinern, PV hinzufügen und entfernen
3. Datensicherheit, wie sieht es aus, wenn ich die Partition vergrößer, sind die Daten immer noch verschlüsselt, da der vergrößerte Bereich ja nicht mir luksFormat bearbeitet wurde.
4. BackUp-Möglichkeiten, wie mit Bacular, mondo, Acronis und anderer Software und das wieder einspielen der Daten. Wobei ich am liebsten eine Software einsetzen würde die die Daten auf einer NAS abspeichert und so wenig Speicher wie möglich verbraucht, also inkrementelle Sicherungen erstellt. Die Daten auf dem Backup müssen nicht Verschlüsselt sein, aber wenn ich das Backup irgendwie per Passwort sichern könnte wäre auch nicht schlecht.

Kennt da jemand eine Möglichkeit das zu realisieren.

Danke schon mal jetzt.

MFG

SMHRambo

[SMHRambo]

Hat dazu keiner eine idee,

ich will eigentlich nur wissen was vorteilhafter ist.
Mal abgesehen von den Punkten die ich genannt habe.

Gruß
SMHRambo

[whisper]

Wenn du kein Soft Raid hast, macht der Installer das von ganz alllein, vor allem richtig
Whisper, der beim neuaufsetzen seines SoftRaid 1 wieder mal so seine Schwierigkeiten hatte

[rhHeini]

Hier ist eine HowTo von pluvo, habe meinen Fileserver danach aufgesetzt.
http://kaoso.org/debian_installer-lenny/
Dummerweise scheint der Server down zu sein. Es gab auch mal ein PDF davon. Den hab ich aber nicht, durchsuch mal das Forum, vielleicht gibt es einen Link darauf.

Ganz grob:
- boot-Partition als primäre Partition für /boot, mit ext3-FS, Label boot, Bootflag gesetzt
- Rest der Platte als logische Partition mit physikalischem Volume zur Verschlüsselung (wird zu sda5-crypt).
In der verschlüsselten Partition ein logisches Volume anlegen, Gruppe vg00, aufteilen in 3 logische Laufwerke 1_root, 3_home, 2_swap für root, home und swap. Die logischen Laufwerke so einstellen wie unverschlüsselte root, home und swap-Partitionen.

Wenn Du es noch weiter treiben willst:
http://debianforum.de/forum/viewtopic.p ... 86#p736418

Zu 3tens: Ich habe auf dem LVM nur das OS laufen. Meine Daten liegen schön verteilt auf anderen Festplatten, einzeln verschlüsselt. Damit stellt sich mir die Frage der Erweiterung des LVM nicht.
Zu 4tens: Backup aus dem geöffneten System heraus geht z.B. mit rsync, tar, wie beliebt. Acronis kannst Du aber vergessen, ein Klon wird ewig gross. Läuft eh nicht auf Linux. Bacula sollte auch gehen, wenn das Zugriff auf die Daten hat.

Mfg rh

[SMHRambo]

Also wie ich das mache ist mir schon klar.
Also ich habe schon beide Methoden inzwischen ausprobiert.
Das man eine Boot Partition braucht das weiss ich.
Nur die Frage ist
Auf eine verschlüsselte Festplatte eine LVM aufsetzen
oder
Auf eine LVM verschlüsselte Partitionen aufsetzen

Je nach dem wie rum man nun Verschlüsselt

Mein System sah bisher so aus:
HDD1:
/boot (primäre 256MB)
/rescue (primäre 1GB)
PV oder Crypto (primäre rest)

HDD2:
PV oder Crypto (primäre rest)
--------------------------
LVM:
/
swap
/DBVM (Daten, Backup und VM-Xen)

größere Daten ligen auf einer NAS die mit schlüsselten Containern ausgestattet ist.

Das mit dem automatischen entschlüsseln per USB Stick hatte ich schon mal gemacht ist sehr praktisch.

Was ich nur festgestellt habe ist,das Debian bei, LVM auf verschlüsselten Partition, Probleme hat die erste Partition mit einem USB-Stick zu entschlüsseln, komischer weise kann er beim mounten des USB-Sticks keine Mountoptionen anwenden die ich im im Keyscript angegeben habe. mount -t vfat -o funktioniert nicht.

Ausserdem lädt er dann ein Teile des Betriebsystems und merkt später beim bootvorgang das die VG sich auf eine andere Partition ausweitet und Fragt im mitten des Bootvorgangs nach der zweiten Key Datei und nicht am anfang wo er auch nach der ersten Key Datei fragt. Das erzeugt zwar keine Fehler oder Probelme es ist aber etwas komisch, das er erst den eine Key abfragt dann einen Teil lädt, wei z.b. Grafikkarten Treiber (die Auflösung ändert sich) und dann ruft er den anderen Key ab. Ausserdem braucht er den zweiten Key nicht um vollständig zu booten was eigentlcih ein manko ist.

Sonst würde ich es wie meine erstes system machen LVM und dan verschlüsseln, die frage ist nur o ich den vorteil einer LVM dann immernoch nutzen kann, also Partitionen einfach zu vergrößern und zu verkleinern ohne das ich den neuen Teil irgenwie mit luksFormat bearbeiten muss oder so.

MFG
SMHRambo

[vitaminb]

Am Besten Du verschlüsselst die ganze Partition und legst darin das LVM an. So bist Du flexibler wenn du später die Logical Volumes in der Größe verändern möchtest. Der Debian-Installer macht das übrigens genauso.

Zu dem Problem mit dem USB-Stick:
Welche Option möchtest Du denn übergeben? "-o" alleine reicht ja nicht. Evtl. postest Du mal Dein komplettes Keyscript.

[peschmae]

Also ich habe bei mir auch immer Platte->Luks->LVM benutzt. Schon nur weil man damit beim booten [ohne wackelige Konstrukte] nur ein Passwort eingeben muss. Und weils halt viel flexibler ist.

Allerdings bin ich damit auch schon auf die Nase gefallen: Mit Swap auf Luks blieb mein System immer so richtig toll hängen, wenn er mal was dringend swappen musste (also so 20 Minuten in denen man nichts machen kann, nicht mal die Maus bewegen, bis er sich wieder erholte; das ist sicher eine Frage der Workloads, aber bei mir halt so). Darum ist Swap jetzt wieder unverschlüsselt (ist dafür nur an, wenn ichs wirklich brauche) - dafür musste ich aber mein System neu aufsetzen.

MfG Peschmä

[gemma]

Darum ist Swap jetzt wieder unverschlüsselt (ist dafür nur an, wenn ichs wirklich brauche) - dafür musste ich aber mein System neu aufsetzen.

Den Swap ohne LVM verschlüsseln und mit den /lib/cryptsetup/scripts/decrypt_derived-Script automatisch entsperren lassen ginge auch.

[vitaminb]

Um solche Systemhänger beim swappen zu vermeiden ist es ist ratsam für Swap eine eigene LUKS-Partition einzurichten denn dann läuft für diesen Container ein eigener Prozess während das System im anderen Container durch einen zweiten Prozess relativ normal weiterarbeiten kann.

Am Besten bei der Systemverschlüsselung eine Partition für /boot, einen LUKS-Container für SWAP, und einen LUKS-Container mit LVM für das Wurzelverzeichnis /.

[schwedenmann]

Hallo

Ich hab auch seit 11 Monaten eine 450Gb Partition mit luks und darin per lvm /, /home und nioch 2 andere Partitionen mit eigen mointpoints. Dann separate /boot ist klar und eine separate /swap mit luks, läuft seit der Erstellung ohne Probleme. Durch die separate /boot kan ich ext4 oder btrfs mit grub-legacy nutzen (ich mag grub2 nicht).

Einziges Problem, keine Umlaute und/oder Sonderzeichen bei der PW-Erstellung eingeben!
Ansonsten wundert man sich bei der PW-Abfrage beim Booten, warum das PW immer als incorrect angezeugt wird.

mfg
schwedenmann

[peschmae]

Um solche Systemhänger beim swappen zu vermeiden ist es ist ratsam für Swap eine eigene LUKS-Partition einzurichten denn dann läuft für diesen Container ein eigener Prozess während das System im anderen Container durch einen zweiten Prozess relativ normal weiterarbeiten kann.

Interessant, das kam mir nicht in den Sinn. Erscheint mir auch nur bedingt logisch - im Prinzip sollte doch der i/o scheduler die verfügbare Bandbreite gerecht verteilen. Aber wenns funktioniert soll mir das Recht sein; werde ich auf jeden Fall ausprobieren. Vielen Dank!

MfG Peschmä

[peschmae]

Ich hab das jetzt mal ausprobiert. Ob Partition->Cryptoloop->LVM->Swap oder Partition->Cryptoloop->Swap, nimmt sich in der Praxis bei mir nicht wirklich was.

Der Unterschied zu Partition->Swap ist für beide etwa gleich gross - ohne Verschlüsselung kann ich die Maus in jedem Fall noch (stockend) bewegen, auch wenn das System kräftig am Auslagern ist. Mit den beiden verschlüsselten Varianten muss ich warten bis der fertig geswäppelt hat (mehrere Minuten) bis sich die Maus überhaupt wieder bewegt (und/oder ich sonst eine Möglichkeit kriege die schuldige Applikation zu killen).

MfG Peschmä

[Columbus]

Hallo zusammen,
ich möchte noch einmal dieses Thema aufnehmen, da ich etwas ähnliches vorhabe.
Ich möchte eine mit LUKS verschlüsselte Partition mit btrfs formatieren. Das geht aber anscheinend vom Installer her nicht. Wenn man die LUKS dann konfigurieren möchte, wird nur ext3 als FS angeboten.

Hat jemand von Euch das schon mal gemacht?

Vielen Dank

Gruss Christian

[DeletedUserReAsG]

Du kannst doch im Container schreiben, wass du willst? mkfs.btrfs ist es egal, wo es das FS erstellt.

cu,
niemand

[Columbus]

Hallo niemand,
danke für die Antwort. Geht das auch mit dem Installer? Ja, da kann man ja eine Konsole öffnen. Aber wie der Installer damit zurecht kommt? Hmmm muss man mal probieren.

Gruss Christian

[DeletedUserReAsG]

Zum Installer kann ich nichts sagen, habe ich dieses Jahrzehnt noch nicht benutzt. Ich kann mir aber vorstellen, dass man alles vorbereiten kann, und dem Installer das dann vorsetzt.

cu,
niemand

[Columbus]

Zum Installer kann ich nichts sagen, habe ich dieses Jahrzehnt noch nicht benutzt

Weiss da jemand beischeid ob man für eine SSD immer noch 20% frei lassen muss, da das trimming sich nicht mit der Verschlüsselung verträgt?

Gruss Christian