[linux-l] LVM und Verschlüsselung
Steffen Schulz
pepe_ml at gmx.net
Do Jan 3 15:49:00 CET 2008
On 080103 at 14:58, Olaf Radicke wrote:
> Am Donnerstag 03 Januar 2008 13:41:09 schrieb Steffen Schulz:
> > Bei mir sieht das so aus:
> Und bei mir so...
>
> localhost:# cat /etc/fstab
> proc /proc proc defaults 0 0
> /dev/hda1 /boot ext3 defaults 0 2
> /dev/mapper/Debian-swap_1 none swap sw 0 0
> /dev/hdb /media/cdrom0 udf,iso9660 user,noauto 0 0
> /dev/hdd /media/cdrom1 udf,iso9660 user,noauto 0 0
> /dev/fd0 /media/floppy0 auto rw,user,noauto 0 0
> /dev/Debian/root / ext3 defaults 1 2
> /dev/Debian/HDC /media/HDC ext3 defaults 1 2
>
> localhost:# cat /etc/crypttab
>
> hda5_crypt /dev/hda5 none luks
>
> localhost:# df -h
>
> Dateisystem Größe Benut Verf Ben% Eingehängt auf
> /dev/mapper/Debian-root
> 18G 9,3G 7,6G 55% /
> tmpfs 443M 0 443M 0% /lib/init/rw
> udev 10M 112K 9,9M 2% /dev
> tmpfs 443M 0 443M 0% /dev/shm
> /dev/hda1 236M 34M 190M 16% /boot
> /dev/mapper/Debian-HDC
> 209G 188M 200G 1% /media/HDC
>
> ...Also ist /dev/hdc nicht verschlüsselt - oder?
Ist nicht definitiv ersichtlich. Aber da Debian-HDC nicht in der
crypttab steht, wird sie beim start nicht von cryptdisks initialisiert,
wird also vermutlich als normale Partition(lvm logical volume) gemountet.
> elegantesten. Die Kombination LVM & cryt ist nicht so oft dokumentiert. hda5
> hat der Debian-Installer für mich gemacht. Da brauchte ich mich nicht
> kümmern.
Wenn die Daten darauf egal(oder bereits gesichert) sind:
cryptsetup luksFormat /dev/mapper/Debian-HDC
cryptsetup luksOpen /dev/mapper/Debian-HDC /dev/mapper/hdc_crypt
Jetzt ist Debian-HDC ein Luks-Container, der mit cryptsetup durch
Passwort oder Key-file geoeffnet werden kann und dann das Device
Debian-HDC-crypt bereit stellt. Das kannst du so auch in die
/etc/crypttab eintragen:
hda5_crypt /dev/hda5 none luks
hdc_crypt /dev/mapper/Debian-HDC none luks
Jetzt wirst du zweimal nach einem Passwort gefragt. Alternativ
speicherst du auf hda5 ein Key-file und laesst hdc_crypt damit
verschluesseln.
Falls hdc einfach nur komplett verschluesselt sein soll, kann das LVM
dort auch weg. Dann machst du cryptsetup mit /dev/hdc bzw hdc1.
> Gleich noch neben her: wenn ich meine /dev/Debian/root "/" auf die
> Physikalische zweite Platte erweitern will, geht das nicht - oder. Weil da
> zu müsste ich das LV ja aushängen und das es sich um "/" handelt, geht das
> nicht. Ich habe das Gefühl, mir einiges verbaut zu haben, bei der
> Installation.
Na im Zweifel kannste immer von CD booten. Oder in ein initrd.
Deine zweite Platte ist aber hdc, dort muss also was frei sein.
cryptsetup kennt ein -resize, aber verkleinern wird, wenn es ueberhaupt
erlaubt ist, das verschluesselte FS beschaedigen. Also nur mit Backup.
/pepe
--
Bildet Olsenbanden!
Mehr Informationen über die Mailingliste linux-l