[gelöst] Vorgehen bei Partitionierung

[hobbyadmin]

Hallo!
Ich bin neu hier und ich steige auch gerade neu in Debian ein.
Ich möchte mit Debian einen Backup-Server aufsetzen, scheitere aber schon bei der Installation.
Etwas Linux-Erfahrung (bei Desktop) habe ich aber das reicht scheinbar nicht. Mit dem Installer von Debian 10 komme ich leider nicht so richtig klar.

Die Ausgangslage:
Ein alter Server mit Xeon-CPU.
20 GB RAM.
1 kleine SSD (128GB)
Zwei große HDD (2 x 2 TB)

Meine Wunschinstallation:
Nur Debian 10 auf der SSD installieren
Nur die Daten auf den HDD ablegen
Die beiden HDD als RAID 1 anlegen
Das gesamte System mit LUKS verschlüsseln
Falls das ungünstig sein sollte, nur die beiden HDD im RAID verschlüsseln

Mit dem Installer schaffe ich das leider nicht. Wahrscheinlich bin ich mal wieder zu blöd dazu. Bitte gebt mir ein wenig Hilfestellung. Ich mache das zum ersten Mal.


Vielen Dank!

[mcb]

Recht einfach:

- im Installer komplette Platte verschlüsselt auswählen und die ssd angeben
- das raid 1 LUKS im laufendem System erstellen und dann unter /home einbinden (kenne ich mich nicht mit aus)

Per "Hand" kann ich das nur mit einer Platte - da müßen die Profis helfen.....

[debianoli]

Geht recht einfach. Zuerst erstellst du auf der SSD ein verschlüsseltes Debian.

Dann startest du und fasst beide HD in einem Raid 1 zusammen. Geht mit mdadm. Dann erzeugst du mit cryptsetup eine Luks- verschlüsselte Partition auf der Raid-1-Partition. Dabei wählst du das gleiche Passwort wie beim System für die Verschlüsselung.

Nun noch Mount-Punkte in die /etc/fstab eintragen. Evtl brauchst du auch noch einen Eintrag in der /etc/crypttab

[jph]

Ein Eintrag in der Crypttab wird benötigt, denn LUKS arbeitet je Block-Device. Die ganze Übung müsste folgendermaßen funktionieren:

1) Installation auf SSD mit Verschlüsselungsoption wie von mcb vorgeschlagen. Die HDD erst einmal komplett ignorieren.

2) Im installierten System das Array aus den beiden HDD zusammensetzen.

3) Auf dem Array eine Partition anlegen und diese mit LUKS verschlüsseln. Das Passwort in die /etc/crypttab eintragen, damit die Entschlüsselung beim Booten automatisch geschieht, sowie /etc entschlüsselt wurde. (Wichtig: die Partition auf dem Array verschlüsseln und nicht die Partitionen, aus denen du das Array zusammensetzt. Ansonsten verschlüsselst du nämlich 2x und hast die doppelte CPU-Last aus der Verschlüsselung.)

4) Das entschlüsselte Device als Physical Volume für eine neue Volume Group oder direkt für ein Dateisystem verwenden. LV und/oder Dateisystem anlegen.

5) Das neue Dateisystem je nach Verwendungszweck mounten, also bspw. nach /home oder /srv. Beim Mount nach /home die vorhandenen Verzeichnisse auf das neue Dateisystem verschieben.

[hobbyadmin]

Danke für Eure Hilfe!
Das werde ich mal versuchen.

Noch eine grundsätzliche Frage:
Wie sollten die HDD, bzw. das RAID 1 eingehängt werden? Als /home?
Auf den HDD sollen ja nur die Daten der Backups gespeichert werden. Die Daten der Benutzer, die ja traditionell auf /home liegen, müssen aus meiner Sicht nicht unbedingt auf die HDD/das Raid1.
Vielleicht nimmt man für so etwas ja einen anderen Einhängepunkt unter Linux.
Für eine Aufklärung wäre ich wieder sehr dankbar : )

Wie gesagt, ich mache das hier zum ersten Mal....

[jph]

Vielleicht nimmt man für so etwas ja einen anderen Einhängepunkt unter Linux.
Für eine Aufklärung wäre ich wieder sehr dankbar : )

Wie ich bereits vorschlug: /srv

Auf meinem Fileserver sieht /srv bspw. so aus:

Code: Alles auswählen

jan@proliant:~$ ls -l /srv/
insgesamt 16
drwxr-x--- 1 root   root    44 Nov  1 12:44 borgbackup
drwxr-x--- 1 root   users   32 Dez 12 13:55 duplicity
drwxr-xr-x 1 root   root    32 Dez  5 13:21 home
drwxr-xr-x 1 root   root    12 Sep 12 13:48 lxc
drwxrwxr-x 1 root   users  132 Nov  2 18:57 misc
drwxrwxr-x 1 root   users  248 Nov  8 18:23 music
drwxrwxr-x 1 root   users  290 Nov 20 16:22 photo
drwxrwxrwx 1 root   root     0 Dez  5 14:02 public
drwxr-xr-x 1 root   root   162 Nov  6 16:07 rootfs
drwsrwxr-x 1 100107 100111 256 Dez 25 13:16 transmission
drwxrwxr-x 1 root   users  160 Nov 22 22:22 video
drwxr-xr-x 1 root   root    18 Apr 28  2019 VirtualBox_VMs

Die Namen dürfen selbsterklärend sein. Dahinter stecken btrfs-Subvolumes. Das ganze wird über NFS exportiert.

Etwas Hintergrund zum Aufbau des Verzeichnisbaums: https://de.wikipedia.org/wiki/Filesyste ... y_Standard

Vielleicht hilft dir das weiter.

[hobbyadmin]

Hallo!

Ich muss mich nochmal melden, weil ich unsicher bin.
Ich habe nun Debian verschlüsselt auf der SSD installiert, es funktioniert auch.
Die Festplatte für die Daten ist auch angeschlossen aber noch nicht weiter "bearbeitet".
Ich möchte ja jetzt auch diese Festplatte formatieren, verschlüsseln, mounten und so einrichten, dass diese Festplatte beim Systemstart automatisch entschlüsselt und gemountet wird.
Wie muss ich dafür Schritt für Schritt vorgehen?
Wie lauten jeweils die einzelnen Befehle?
Gibt es vielleicht schon so eine Schritt für Schritt Anleitung für Anfänger?

Bitte nicht vergessen, ich mache das zum ersten Mal. Deshalb diese komischen Fragen.

[hobbyadmin]

Nochmal etwas genauer, damit es für Euch einfacher ist:
Debian läuft, als VM, RAID möchte ich nicht mehr einrichten.
Wenn ich lsblk eingebe, wird die Festplatte für die Daten unter "vdb" angezeigt.
Ich habe ansonsten noch nichts mit der Festplatte gemacht, weil mir die Befehle und die Reihenfolge der Befehle nicht klar sind.

Vielen Dank für Eure Hilfe!

[mcb]

Debian läuft als Virtuelle Machine ?

Hier ist ganz gut erklärt wie man eine verschlüsselt Partition erstellt:

https://cryptsetup-team.pages.debian.ne ... -boot.html

Du nimmst dann LUKS 2 (default).

Edit zeige doch mal ein

Code: Alles auswählen

lsblk

[hobbyadmin]

Hey danke!
Diese Anleitung werde ich mal ab arbeiten.

Hier die Ausgabe von lsblk. vdb ist die (virtuelle) Festplatte für die Daten.
Das Ganze läuft auf Proxmox.

Code: Alles auswählen

NAME                            MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
sr0                              11:0    1  336M  0 rom   
vda                             254:0    0   16G  0 disk  
├─vda1                          254:1    0  487M  0 part  /boot
├─vda2                          254:2    0    1K  0 part  
└─vda5                          254:5    0 15,5G  0 part  
  └─vda5_crypt                  253:0    0 15,5G  0 crypt 
    ├─debian--server--vg-root   253:1    0 14,5G  0 lvm   /
    └─debian--server--vg-swap_1 253:2    0  976M  0 lvm   [SWAP]
vdb                             254:16   0    1T  0 disk  

[mcb]

Ah ok -

also sinngemäß

vdb1 erstellen, "cryptsetup luksFormat --type luks2 /dev/vdb1" und dann dem Systen bekannt machen <-> Sorry ich komme da immer durcheinander mit LUKS, LVM ja oder nein. Vielleicht sagt noch einer der Profis was.

[hobbyadmin]

Moin Leute,

ich habe es geschafft. Alles ist verschlüsselt!
Und weil ich auch etwas für andere Anfänger zurück geben will, kommt hier mein Vorgehen. Schaut bitte mal drüber, ob ich da einen Fehler drin habe.

Das Debian Betriebsystem habe ich bereits bei der Installation veschlüsselt. Das wird ja bei der Installation angeboten, ist also sehr einfach.
Danach habe ich mich an die Festplatte für die Daten heran gewagt, die sollte ja auch verschlüsseln werden. In meinem Beispiel heißt diese Festplatte "vdb".

1. Ich habe eine Partitionstabelle auf diese Festplatte geschrieben:

Code: Alles auswählen

parted /dev/vdb "mklabel gpt"

2. Danach habe ich die Partition der Festplatte fest gelegt. In meinem Fall ist es nur eine große Partition:

Code: Alles auswählen

parted /dev/vdb "mkpart primary ext4 1M -1"

3. Als Nächstes habe ich die zu verschlüsselnde Festplatte mit Zufallszahlen beschrieben. Das dauert sau lange. Mein Rechner hat die ganze Nacht gebraucht:

Code: Alles auswählen

dd if=/dev/urandom of=/dev/vdb1 bs=10M

4. Danach habe ich die verschlüsselte Partition erstellt:

Code: Alles auswählen

cryptsetup -c aes-cbc-essiv:sha256 -y -s 256 luksFormat /dev/vdb1

5. Als Nächstes habe ich die verschlüsselte Partition geöffnet:

Code: Alles auswählen

cryptsetup	luksOpen	/dev/vdb1	crypt_vdb1

6. Nun habe ich die entschlüsselte Partition formatiert:

Code: Alles auswählen

mkfs -t ext4 /dev/mapper/crypt_vdb1

7. Dann habe ich die Festplatte wieder geschlossen:

Code: Alles auswählen

cryptsetup	luksClose	crypt_vdb1

8. Die verschlüsselte Partition habe ich dann in /etc/crypttab eingetragen:

Code: Alles auswählen

crypt_vdb1	/dev/vdb1	none	luks,tries=3

9. Danach habe ich die Partition noch in /etc/fstab eingetragen:

Code: Alles auswählen

/dev/mapper/crypt_vdb1	/media/daten	ext4	defaults	0	0

10. Als Letztes habe ich noch das Verzeichnis für den Mountpoint erstellt:

Code: Alles auswählen

mkdir	/media/daten

11. Und die Rechte noch angepasst:

Code: Alles auswählen

chown	-cR	USERNAME	/media/daten

12. Danach noch ein reboot und es war geschafft:

Code: Alles auswählen

systemctl reboot

Ich muss jetzt zwar zweimal mein Passwort eingeben, einmal für die Entschlüsselung des Betriebsystems und ein zweites Mal für die Entschlüsselung der Daten-Festplatte, aber das ist ok für mich. Der Server soll ja eh 24/7 laufen und die Verschlüsselung ist nur so ne Art Diebstahlschutz. Den kleinen Schönheitsfehler kann ich also verschmerzen.

lsblk sieht bei mir jetzt so aus:

Code: Alles auswählen

[vda                             254:0    0   16G  0 disk  
├─vda1                          254:1    0  487M  0 part  /boot
├─vda2                          254:2    0    1K  0 part  
└─vda5                          254:5    0 15,5G  0 part  
  └─vda5_crypt                  253:0    0 15,5G  0 crypt 
    ├─debian--server--vg-root   253:1    0 14,5G  0 lvm   /
    └─debian--server--vg-swap_1 253:2    0  976M  0 lvm   [SWAP]
vdb                             254:16   0    1T  0 disk  
└─vdb1                          254:17   0 1024G  0 part  
  └─crypt_vdb1                  253:3    0 1024G  0 crypt /media/daten
/code]

[Livingston]

Sieht völlig rund aus. Schritt 3 kann man sich klemmen, wenn man nicht noch alte Daten sicher grillen muss. Alles was neu ins fertige System kommt, ist sowieso verschlüsselt.
Ansonsten: Nix zu meckern

Kannste noch die Überschrift in Deinem 1. Post ändern und ein "[gelöst]" davor quetschen?