Hi,
ich bin dabei mich mit LVM und verschluesselten Partitionen mittels DM-Crypt/Luks zu beschäftigen. Noch fehlt es mir aber am grundsaetzlichen Verstaendnis. Ich habe derzeit zwei Fragen:
1) Was ist besser, erst LVM und dann darin mittels DM-Crypt die verschluesselte Partition, oder erst DM-Crypt und darin LVM? Interessant ist, fuer mich, vor allem das warum!
2) Kann ich eine gecryptete Partition spaeter in der Groesse veraendern?
Danke
LVM <-> DM-Crypt/Luks grundsaetzliches Verstaendnis
LVM <-> DM-Crypt/Luks grundsaetzliches Verstaendnis
Roland
"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"
"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"
Re: LVM <-> DM-Crypt/Luks grundsaetzliches Verstaendnis
Ich hab erst DM-Crypt und dann LVM. Ich vermute, dass ich, wenn mehrere Partitionen verschlüsselt sind, mehrmals ein Passwort eingeben muss. Das habe ich aber nicht ausprobiert.roli hat geschrieben:1) Was ist besser, erst LVM und dann darin mittels DM-Crypt die verschluesselte Partition, oder erst DM-Crypt und darin LVM? Interessant ist, fuer mich, vor allem das warum!
Keine Ahnung. Warum sollte man das tun?roli hat geschrieben:2) Kann ich eine gecryptete Partition spaeter in der Groesse veraendern?
Zusätzliche Platte rein und einmal hin und einmal herkopieren tut es doch auch.
Re: LVM <-> DM-Crypt/Luks grundsaetzliches Verstaendnis
Hi Lohengrin,
mir geht es im Moment darum grundsaetzliche Dinge zu erfahren, ob ich jemals eine Partition vergroessere/verkleinere sei mal dahingestellt.
mir geht es im Moment darum grundsaetzliche Dinge zu erfahren, ob ich jemals eine Partition vergroessere/verkleinere sei mal dahingestellt.
Roland
"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"
"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"
Re: LVM <-> DM-Crypt/Luks grundsaetzliches Verstaendnis
Hallo,
zu 1):
Daniel
zu 1):
- Das kommt darauf an was du erreichen willst.
- Letzteres hat den Vorteil, dass für das gesamte LVM das gleiche Passwort gilt und somit auch beim Booten alle darin enthaltenen LVs auf einmal (auch swap) entschlüsselt werden, weshalb dann auch suspend-to-disk funktioniert.
- Ersteres hat den Vorteil, dass du jedem LV ("Partition") ein eigenes Passwort zuteilen kannst. Allerdings funktioniert dann erstmal suspend-to-disk nicht. Angeblich soll es in dieser Konstellation auch schon zu seltsamen Problemen bei der Zusammenarbeit mit DM-Crypt gekommen sein, ob das noch so ist weiß ich nicht.
- Ja, das funktioniert.
Wenn du das gesamte LVM verschlüsselt hast und in den LVs ext2/ext3 einsetzt funktioniert das in groben Schritten so:
verkleinern:
1) umount
2) evtl. Dateisystem mit e2fsck checken
3) Dateisystem mit resize2fs verkleinern und danach das LV mit lvreduce verkleinern.
Nicht andersherum, sonst gehen die Daten im LV verloren.
4) mounten
vergrößern:
1) umount
2) evtl. Dateisystem mit e2fsck checken
3) LV mit lvextend vergrößern
4) Dateisystem mit resize2fs vergrößern
5) mounten
Daniel
Hi Danielx,
danke fuer die Info's, damit kann man doch schon mal was anfangen.
danke fuer die Info's, damit kann man doch schon mal was anfangen.
Roland
"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"
"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"
Hm, mir ist gerade aufgefallen, dass es bei der Methode "DM-Crypt und darin LVM" anscheinend nicht möglich ist die Volume Group (VG) durch Hinzufügen eines oder mehrerer Physical Volume (PV) zu erweitern.
Dies liegt daran, dass beim Booten nur die bei der Installation eingerichtete Partition (PV der VG) vor dem eigentlichen Systemstart entschlüsselt wird.
LVM kann also auf ein weiteres verschlüsseltes PV beim Systemstart nicht rechtzeitig zugreifen.
Das Verkleinern bzw. Vergrößern von LVs funktioniert aber wie ich beschrieben habe.
Da ja aber die VG nicht erweitert werden kann, muss vor dem Vergrößern eines LVs der benötigte Speicherplatz einer anderen LV (durch deren Verkleinerung) abgenommen werden.
Gruß,
Daniel
Dies liegt daran, dass beim Booten nur die bei der Installation eingerichtete Partition (PV der VG) vor dem eigentlichen Systemstart entschlüsselt wird.
LVM kann also auf ein weiteres verschlüsseltes PV beim Systemstart nicht rechtzeitig zugreifen.
Das Verkleinern bzw. Vergrößern von LVs funktioniert aber wie ich beschrieben habe.
Da ja aber die VG nicht erweitert werden kann, muss vor dem Vergrößern eines LVs der benötigte Speicherplatz einer anderen LV (durch deren Verkleinerung) abgenommen werden.
Gruß,
Daniel
Wo steht eigentlich welche das ist? Ich vermute in der Initrd.Danielx hat geschrieben:Hm, mir ist gerade aufgefallen, dass es bei der Methode "DM-Crypt und darin LVM" anscheinend nicht möglich ist die Volume Group (VG) durch Hinzufügen eines oder mehrerer Physical Volume (PV) zu erweitern.
Dies liegt daran, dass beim Booten nur die bei der Installation eingerichtete Partition (PV der VG) vor dem eigentlichen Systemstart entschlüsselt wird.
An der Stelle müsste man etwas umschreiben.
Damit sind wir bei Frage 2 von roli:Danielx hat geschrieben:Das Verkleinern bzw. Vergrößern von LVs funktioniert aber wie ich beschrieben habe.
Da ja aber die VG nicht erweitert werden kann, muss vor dem Vergrößern eines LVs der benötigte Speicherplatz einer anderen LV (durch deren Verkleinerung) abgenommen werden.
Kann man eine mit dmcrypt formatierte Partition vergrößern oder verkleinern?
Ja, genau.Lohengrin hat geschrieben:Wo steht eigentlich welche das ist? Ich vermute in der Initrd.
An der Stelle müsste man etwas umschreiben.
Um den Inhalt der initrd anzusehen kannst du diese entpacken:
Code: Alles auswählen
mkdir tmp/initrd
cd tmp/initrd
gunzip -c -9 /boot/initrd.img-2.6.18-5-686 | cpio -i -d -H newc --no-absolute-filenameDu meinst jetzt eine "echte" Partition (also kein LV oder so).Lohengrin hat geschrieben:Damit sind wir bei Frage 2 von roli:
Kann man eine mit dmcrypt formatierte Partition vergrößern oder verkleinern?
Also das Verkleinern einer verschlüsselten Partition ist sicher nicht möglich.
Vergrößern geht mit parted leider nicht, da parted kein Dateisystem auf der verschlüsselten Partition vorfindet (Daten auf der Partition sind ja ohne Entschlüsselung scheinbar nur Datenmüll) und deshalb abbricht.
Allerdings scheint es mit fdisk möglich zu sein eine verschlüsselte Partition zu vergrößern indem man sich den Start- und End-Zylinder der Partition merkt, diese dann löscht und eine neue Partition mit demselben Start-Zylinder aber einem größeren End-Zylinder anlegt.
Siehe dazu auch hier:
http://www.enigmacurry.com/2007/04/28/r ... ilesystem/
Aber bitte nicht ohne Backup ausprobieren.Run fdisk (or your favorite clone), and jot down the start and end block of the partition you want to keep. In my case it was the first partition and it was on block 1.
Now delete all of the partitions you want to delete as well as the encrypted partition. "WTF?" I hear you say? Yes, that's right, DELETE the encrypted partition. This doesn't actually delete any data mind you, and as long as you correctly remembered the start and end block of the partition you are perfectly safe in doing this.
Now create a NEW partition with the same start block as you originally had. Make the end block anything larger than the original end block. Save your changes.
Gruß,
Daniel
edit: g von gunzip ergänzt
-
minimike
- Beiträge: 5616
- Registriert: 26.03.2003 02:21:19
- Lizenz eigener Beiträge: neue BSD Lizenz
- Wohnort: Köln
-
Kontaktdaten:
Ich benutze auf dem Desktop ein normales LVM mit 3 mal 400 GB Platten wo die Logical Volumes verschlüsselt sind. Vorteile, ich habe z.B. /usr nicht verschlüsselt was mehr an Performance hat, Physical Volumes lassen sich erweitern bzw Partitionen entfernen was anders herum nicht geht. Das ist wichtig wenn man ein Physical Volume stückweise auf grössere Datenträger migrieren möchte. Die Grössen von verschlüsselten Partitionen/Datenträgern lassen sich nachträglich ändern. Bei Physical Volumes klappte das nicht.
"Lennart Poettering is one of those typical IT leaders..." "like Linus Torvalds and Theo de Raadt?" "more like Bozo the Clown" After all, now a good employee of Microsoft
Danke. Das habe ich gesucht.Danielx hat geschrieben:Ja, genau.Lohengrin hat geschrieben:Wo steht eigentlich welche das ist? Ich vermute in der Initrd.
An der Stelle müsste man etwas umschreiben.
Um den Inhalt der initrd anzusehen kannst du diese entpacken:Das dort enthaltene Skript "cryptoroot" hat damit etwas zu tun, habe es mir aber noch nicht genau angesehen.Code: Alles auswählen
mkdir tmp/initrd cd tmp/initrd gunzip -c -9 /boot/initrd.img-2.6.18-5-686 | cpio -i -d -H newc --no-absolute-filename
Bei mir steht in (initrd)/conf/conf.d/cryptroot
Code: Alles auswählen
target=hdc6_crypt,source=/dev/hdc6,key=none,lvm=wupp-schwuppIch dachte, dmcrypt sei ein Dateisystem, so wie ext3, was man mit resize anpassen müsste. Aber es ist wohl anders (su).Danielx hat geschrieben:Du meinst jetzt eine "echte" Partition (also kein LV oder so).Lohengrin hat geschrieben:Damit sind wir bei Frage 2 von roli:
Kann man eine mit dmcrypt formatierte Partition vergrößern oder verkleinern?
Wie kommst du darauf (su)?Danielx hat geschrieben:Also das Verkleinern einer verschlüsselten Partition ist sicher nicht möglich.
Sehr interessant. Damnach kann ich in der entschlüsselten /dev/mapper/root genauso herummachen, als sei es die /dev/sda1. Hängt der neue Platz auch auf /dev/mapper/root genauso hinten dran wie er es auf /dev/sda1 tut? Wie sonst könnte resize2fs ihn finden?Danielx hat geschrieben:Allerdings scheint es mit fdisk möglich zu sein eine verschlüsselte Partition zu vergrößern indem man sich den Start- und End-Zylinder der Partition merkt, diese dann löscht und eine neue Partition mit demselben Start-Zylinder aber einem größeren End-Zylinder anlegt.
Siehe dazu auch hier:
http://www.enigmacurry.com/2007/04/28/r ... ilesystem/
Das müsste dann aber auch andersherum gehen: Entschlüsseln und das Dateisystem auf /dev/mapper/root verkleinern. Später den hinteren Platz von /dev/sda1 mit fdisk freigeben.
Hatte mich getäuscht, funktioniert doch (siehe unten).Lohengrin hat geschrieben:Wie kommst du darauf (su)?
Ja.Lohengrin hat geschrieben:Hängt der neue Platz auch auf /dev/mapper/root genauso hinten dran wie er es auf /dev/sda1 tut?
Richtig, ich habe das auch gleich mal getestet:Lohengrin hat geschrieben:Das müsste dann aber auch andersherum gehen: Entschlüsseln und das Dateisystem auf /dev/mapper/root verkleinern. Später den hinteren Platz von /dev/sda1 mit fdisk freigeben.
Partition Nr.8 (sda8) verchlüsseln, ext3-Dateisystem erstellen und mounten:
Code: Alles auswählen
cryptsetup luksFormat /dev/sda8
cryptsetup luksOpen /dev/sda8 test
mkfs.ext3 /dev/mapper/test
mount /dev/mapper/test /mnt/testmd5-Summen der Dateien berechnen und speichern, um nachher festzustellen, ob alle Daten noch ok sind.
Unmounten und Dateisystem auf 400000KB verkleinern:
Code: Alles auswählen
umount /mnt/test
resize2fs -p /dev/mapper/test 400000K
cryptsetup luksClose testStart-Zylinder: 465
End-Zylinder: 522
fdisk sagt:
=> Ein Zylinder hat also 8225280 Bytecylinders of 16065 * 512 = 8225280 bytes
Ausrechnen, wie viele Zylinder 400000KB sind:
Code: Alles auswählen
400000*1024/8225280 = 49,79Neuen End-Zylinder ausrechnen:
Code: Alles auswählen
465 + 50 - 1 = 514
514 + 1 = 515 (zur Sicherheit)Von 465 bis 515 sind es 51 Zylinder, da sowohl der erste als auch der letzte Zylinder mitzählt.
Mit fdisk Partition Nr. 8 löschen und neu anlegen:
Start-Zylinder: 465
End-Zylinder: 515
Dann habe ich im freigewordenen Platz wieder eine neu Partition Nr. 9 (Zylinder 516 bis 522) angelegt und diese formatiert.
Dann mit Dateien gefüllt und deren md5-Summen berechnet.
Jetzt wieder zu Partition Nr. 8:
Da ich ja etwas Luft (etwas mehr als 1 Zylinder) zwischen Partitionsgröße und Dateisystemgröße gelassen hatte, habe ich das Dateisystem wieder bis zum Maximum vergrößert:
Code: Alles auswählen
cryptsetup luksOpen /dev/sda8 test
resize2fs -p /dev/mapper/testJetzt wird es spannend:
Code: Alles auswählen
mount /dev/mapper/test /mnt/testUm letzte Gewissheit zu haben, dass wirklich alles funktioniert hat, habe ich dann noch auf den beiden Partitionen (Nr. 8 und dahinterliegend Nr. 9) Dateien erstellt, gelöscht und die Partitionen vollständig gefüllt und jeweils auf beiden Partitionen immer wieder die md5-Summen überprüft.
=> Alles OK.
Also sowohl das Verkleinern als auch das Vergrößern einer Partition auf der sich ein dm-crypt-verschlüsseltes Volume (LUKS) befindet (darin dann eine ext3-Dateisystem) ist ohne Datenverlust möglich!
Gruß,
Daniel
-
Elbenfreund
- Beiträge: 7
- Registriert: 10.07.2006 15:50:27
Hallo Forum,
da ich mich nach wie vor noch nciht so recht in LVM eingearbeitet habe bin ich etwas verunsichert. Stoße ich im Zweifelsfall auf Probleme wenn ich die Platte ausbaue und die Platte bzw. Partitionen (z. B. extern) anderweitig auf einem anderen System einbinden möchte? Bedarf es in einem solchen Fall des ganz großen LVM-Voodozaubers (z-B. wenn Rechner kaputt) oder kommt man im zweifelsfall recht gut an die Daten (wenn dm_crypt support und pw vorhanden natürlich)
Danke und Gruß; Eric.
da ich mich nach wie vor noch nciht so recht in LVM eingearbeitet habe bin ich etwas verunsichert. Stoße ich im Zweifelsfall auf Probleme wenn ich die Platte ausbaue und die Platte bzw. Partitionen (z. B. extern) anderweitig auf einem anderen System einbinden möchte? Bedarf es in einem solchen Fall des ganz großen LVM-Voodozaubers (z-B. wenn Rechner kaputt) oder kommt man im zweifelsfall recht gut an die Daten (wenn dm_crypt support und pw vorhanden natürlich)
Danke und Gruß; Eric.
Ich habe das vor ein paar Monaten ausprobiert. Mit Knoppix 5.1.1 (CD) kommt man an die Daten ran.Elbenfreund hat geschrieben:da ich mich nach wie vor noch nciht so recht in LVM eingearbeitet habe bin ich etwas verunsichert. Stoße ich im Zweifelsfall auf Probleme wenn ich die Platte ausbaue und die Platte bzw. Partitionen (z. B. extern) anderweitig auf einem anderen System einbinden möchte? Bedarf es in einem solchen Fall des ganz großen LVM-Voodozaubers (z-B. wenn Rechner kaputt) oder kommt man im zweifelsfall recht gut an die Daten (wenn dm_crypt support und pw vorhanden natürlich)
Ich habe das primäre Volumen mit cryptsetup luksOpen /dev/sda8 doof entschlüsselt. Danach hat lvscan alles gefunden, und ich konnte mit zB mount /dev/mapper/schnipp-schnapp /tmp/irgendwas mounten.