Seite 1 von 1
Crypt Laufwerk mit Raid erweitern
Verfasst: 05.03.2016 21:45:46
von Overon
Hallo,
habe leider nichts gefunden.
Aktuell habe ich bei der Installation meines Servers die /dev/sda Platte verschlüsselt, welche beim boot per Passwort eingabe freigegeben wird.
Jetzt wollte ich meine Daten (Dokumente, Musik, Filme, Bilder) auf einen Software Raid 1 auslagern. Das Raid sollte aus 2x3TB bestehen.
Nun zur Frage, kann ich das Raid in die Verschlüsselung der Bootplatte mit aufnehmen? Oder muss ich das Raid gesondert verschlüsseln?
Vielen dank
VG
Overon
Re: Crypt Laufwerk mit Raid erweitern
Verfasst: 05.03.2016 23:36:45
von NAB
Du musst das Raid gesondert verschlüsseln. Also erst das Raid erstellen, dann einen Crypt-Container in dem Raid, und dann ein Dateisystem in dem Crypt-Container.
Da das Raid aber anscheinend keine zum Booten benötigten Daten enthalten soll, kannst du das Raid nach dem Booten automatisch entschlüsseln und einhängen lassen, musst also keine zwei Passworte eingeben, falls es dir darum ging.
Re: Crypt Laufwerk mit Raid erweitern
Verfasst: 06.03.2016 10:43:10
von Overon
D.h. ich könnte jetzt die aktuell Verschlüsselte Partition nicht um eine Raid Partition erweitern?
Re: Crypt Laufwerk mit Raid erweitern
Verfasst: 06.03.2016 12:43:29
von wanne
NAB hat geschrieben:Also erst das Raid erstellen, dann einen Crypt-Container in dem Raid, und dann ein Dateisystem in dem Crypt-Container.
Die cryptsetup Leute empfehlen genau das Gegenteil. Also viele crypt container und dann darein das RAID. (Multithreading ist per default glaube ich immer noch ausgerschaltet. Und entsprechend kann man mit mehreren devices mehr Kerne auslasten.)
Ist aber glaube ich auch ein bisschen Wurst.
@Overon ich verstehe die Frage nicht so richtig.
So ein paar Sachen: /boot kannst du nicht verschlüsseln.
Typischerweise legt man nur als root lesbare Dateien unter /etc an, wo die Passwörter der anderen Partitionen enthalten sind. Dann kann man alle anderen crypto devices automatisch öffnen lassen.
Für LUKS kann man auch einfach überall das gleiche Passwort nutzen. (Zum einen öffnen sich die dann beim booten alle nach der ersten Eingabe des Passworts, zum anderen kann man da auch einfach überall die gleiche Datei zum entschlüsseln nehmen.) Für plain-Devices ist das nicht zu empfehlen.
Re: Crypt Laufwerk mit Raid erweitern
Verfasst: 06.03.2016 13:49:47
von NAB
wanne hat geschrieben:Die cryptsetup Leute empfehlen genau das Gegenteil. Also viele crypt container und dann darein das RAID. (Multithreading ist per default glaube ich immer noch ausgerschaltet. Und entsprechend kann man mit mehreren devices mehr Kerne auslasten.)
Also man verschlüsselt dann identische Daten zwei mal, um mehr Kerne auszulasten? Das ist dann als Heizmaßnahme für den Winter gedacht, ja?
Overon hat geschrieben:D.h. ich könnte jetzt die aktuell Verschlüsselte Partition nicht um eine Raid Partition erweitern?
Dann hättest du
ein Dateisystem, das über deine sda und das Raid geht. Wenn deine sda kaputt geht, wäre das gesamte Dateisystem kaputt. Für so viel Unsicherheit musst du nun wirklich kein Raid1 aufsetzen.
Re: Crypt Laufwerk mit Raid erweitern
Verfasst: 06.03.2016 14:15:27
von dirk11
wanne hat geschrieben:NAB hat geschrieben:Also erst das Raid erstellen, dann einen Crypt-Container in dem Raid, und dann ein Dateisystem in dem Crypt-Container.
Die cryptsetup Leute empfehlen genau das Gegenteil. Also viele crypt container und dann darein das RAID.
Kannst Du das mit irgendeiner Quelle belegen? Der Debian-Installer geht nämlich genauso vor, wie NAB es beschreibt:
Erst RAID(1), dann cryptdevice, und darin dann das filesystem. Alles andere wäre IMO auch unlogisch.
Re: Crypt Laufwerk mit Raid erweitern
Verfasst: 06.03.2016 15:45:37
von NAB
dirk11 hat geschrieben:Alles andere wäre IMO auch unlogisch.
Zum Beispiel bei einem Raid0 ist es logisch. Da könnte es ein Nadelöhr sein, wenn alle Daten, die parallel geschrieben werden könnten, erst durch eine einzige Verschlüsselungskette hindurch müssen. Bei einem Raid1 auf SSDs hättest du eventuell noch Vorteile in der Lesegeschwindigkeit, aber auf Kosten höherer CPU-Auslastung und geringerer Datensicherheit, ist also ne blöde Idee.
Re: Crypt Laufwerk mit Raid erweitern
Verfasst: 06.03.2016 16:25:31
von wanne
NAB hat geschrieben: Also man verschlüsselt dann identische Daten zwei mal, um mehr Kerne auszulasten? Das ist dann als Heizmaßnahme für den Winter gedacht, ja?
dirk11 hat geschrieben:Erst RAID(1), dann cryptdevice, und darin dann das filesystem. Alles andere wäre IMO auch unlogisch.
Ihr habt natürlich recht für RAID 1 macht das keinen Sinn. Sorry. Für RAID 0 durchaus. Drin war das glaube ich für LVMs. Finde es aber auch nicht mehr.
Re: Crypt Laufwerk mit Raid erweitern
Verfasst: 08.03.2016 13:11:14
von Overon
wanne hat geschrieben:
@Overon ich verstehe die Frage nicht so richtig.
So ein paar Sachen: /boot kannst du nicht verschlüsseln.
Typischerweise legt man nur als root lesbare Dateien unter /etc an, wo die Passwörter der anderen Partitionen enthalten sind. Dann kann man alle anderen crypto devices automatisch öffnen lassen.
Für LUKS kann man auch einfach überall das gleiche Passwort nutzen. (Zum einen öffnen sich die dann beim booten alle nach der ersten Eingabe des Passworts, zum anderen kann man da auch einfach überall die gleiche Datei zum entschlüsseln nehmen.) Für plain-Devices ist das nicht zu empfehlen.
@wanne: Danke für deine Infos. Ich bin noch komplett neu im Bereich LVM und crypto. Da ich meinen Server derzeit neu aufsetze, möchte ich es halt gleich richtig machen. Der Hinweis mit den Passwärtern im /etc Verzeichnis hat könnte die gesuchte Lösung sein.
Re: Crypt Laufwerk mit Raid erweitern
Verfasst: 08.03.2016 14:17:02
von wanne
Overon hat geschrieben:@wanne: Danke für deine Infos. Ich bin noch komplett neu im Bereich LVM und crypto. Da ich meinen Server derzeit neu aufsetze, möchte ich es halt gleich richtig machen. Der Hinweis mit den Passwärtern im /etc Verzeichnis hat könnte die gesuchte Lösung sein.
So als kleine Warnung. Der interpretiert alles, was in der Datei steht. D.h. zum einen, dass du einfach binären Müll aus /dev/urandom da rein pipen kannst:
Code: Alles auswählen
touch /etc/pw
chmod 400 /etc/pw
head -c32 /dev/urandom >> /etc/pw
Auf der anderen Seite muss man wie ein Luchs darauf aufpassen, dass da am ende nicht irgend welche Leerzeichen und vor allem
Zeilenumbrüche stehen.
Hette eben das Passwort passwd und einen Zeilenumbruch, den man nicht so einfach eingeben kann. (Da Enter die Passworteingabe beendet.)
Richtig für das passwort "passwd" wäre das:
Viele Texteditoren verhalten sich ähnlich. Z.B. habe ich keine Ahnung, wie man nano dazu bringen soll eine Datei ohne Zeilenumbruch am Ende zu erstellen.