[linux-l] LVM und Verschlüsselung

Steffen Schulz pepe_ml at gmx.net
Do Jan 3 15:49:00 CET 2008 

On 080103 at 14:58, Olaf Radicke wrote:
> Am Donnerstag 03 Januar 2008 13:41:09 schrieb Steffen Schulz:
> > Bei mir sieht das so aus:
> Und bei mir so...
> 
> localhost:# cat  /etc/fstab
> proc                 /proc                  proc    defaults        0       0
> /dev/hda1       /boot                   ext3    defaults        0       2
> /dev/mapper/Debian-swap_1 none            swap    sw              0       0
> /dev/hdb        /media/cdrom0   udf,iso9660 user,noauto     0       0
> /dev/hdd        /media/cdrom1   udf,iso9660 user,noauto     0       0
> /dev/fd0        /media/floppy0    auto    rw,user,noauto  0       0
> /dev/Debian/root                /               ext3    defaults        1 2
> /dev/Debian/HDC         /media/HDC              ext3    defaults        1 2
> 
> localhost:# cat /etc/crypttab 
> 
> hda5_crypt /dev/hda5 none luks
> 
> localhost:# df -h
> 
> Dateisystem          Größe Benut  Verf Ben% Eingehängt auf
> /dev/mapper/Debian-root
>                            18G  9,3G  7,6G  55% /
> tmpfs                 443M     0  443M   0% /lib/init/rw
> udev                   10M  112K  9,9M   2% /dev
> tmpfs                 443M     0  443M   0% /dev/shm
> /dev/hda1             236M   34M  190M  16% /boot
> /dev/mapper/Debian-HDC
>                       209G  188M  200G   1% /media/HDC
> 
> ...Also ist /dev/hdc nicht verschlüsselt - oder?

Ist nicht definitiv ersichtlich. Aber da Debian-HDC nicht in der
crypttab steht, wird sie beim start nicht von cryptdisks initialisiert,
wird also vermutlich als normale Partition(lvm logical volume) gemountet.

> elegantesten. Die Kombination LVM & cryt ist nicht so oft dokumentiert. hda5 
> hat der Debian-Installer für mich gemacht. Da brauchte ich mich nicht 
> kümmern.

Wenn die Daten darauf egal(oder bereits gesichert) sind:

cryptsetup luksFormat /dev/mapper/Debian-HDC

cryptsetup luksOpen /dev/mapper/Debian-HDC /dev/mapper/hdc_crypt

Jetzt ist Debian-HDC ein Luks-Container, der mit cryptsetup durch
Passwort oder Key-file geoeffnet werden kann und dann das Device
Debian-HDC-crypt bereit stellt. Das kannst du so auch in die
/etc/crypttab eintragen:

hda5_crypt /dev/hda5 none luks
hdc_crypt  /dev/mapper/Debian-HDC none luks

Jetzt wirst du zweimal nach einem Passwort gefragt. Alternativ
speicherst du auf hda5 ein Key-file und laesst hdc_crypt damit
verschluesseln.

Falls hdc einfach nur komplett verschluesselt sein soll, kann das LVM
dort auch weg. Dann machst du cryptsetup mit /dev/hdc bzw hdc1.

> Gleich noch neben her: wenn ich meine /dev/Debian/root   "/" auf die 
> Physikalische  zweite Platte erweitern will, geht das nicht - oder. Weil da 
> zu müsste ich das LV ja aushängen und das es sich um "/" handelt, geht das 
> nicht. Ich habe das Gefühl, mir einiges verbaut zu haben, bei der 
> Installation. 

Na im Zweifel kannste immer von CD booten. Oder in ein initrd.

Deine zweite Platte ist aber hdc, dort muss also was frei sein.
cryptsetup kennt ein -resize, aber verkleinern wird, wenn es ueberhaupt
erlaubt ist, das verschluesselte FS beschaedigen. Also nur mit Backup.

/pepe
-- 
Bildet Olsenbanden!

Mehr Informationen über die Mailingliste linux-l