[linux-l] LVM und Verschlüsselung

Lutz Willek lutz.willek at belug.de
Fr Jan 4 13:39:35 CET 2008 

Olaf Radicke schrieb:

> Aber warum werde ich dann beim booten  zweimal nach einem Passwort gefragt?
> Man ist das alles verworren.

Weil Du zwei verschlüsselte Platten hast. Für Deine Zwecke wäre für die 
zweite Platte eine Schlüseldatei besser, der Schlüssel muss nur auf der 
  ersten verschlüsselten Platte liegen, die Du vorher natürlich 
aufschließen musst. Hier am Beispiel von /dev/hdc1, ohne LVM:

# Schlüssel erzeugen
head -c2048 /dev/urandom >/etc/keys/hdc1

# Device erzeugen
cryptsetup -c aes-cbc-essiv:sha256 \
  -s 256 luksFormat /dev/hdc1 /etc/keys/hdc1

# Alternativ kannst Du einen angeblich besseren, aber
# noch nicht so gut erprobten Alg. nehmen:
cryptsetup -c aes-lrw-benbi -s 256 luksFormat /dev/sdc1 /etc/keys/sdc1

# Device öffnen, hier wird kein Passwort mehr abgefragt
cryptsetup luksOpen /dev/hdc1 hdc1 --key-file /etc/keys/hdc1

# Dateisystem erzeugen, Du kannst natürlich was andres nehmen,
# ich mag aber ext3:
mkfs.ext3 -Lhdc1 /dev/mapper/hdc1
tune2fs -c0 -i0 /dev/hdc1

# Beim Systemstart automatisch einbinden:
echo '/dev/mapper/hdc1        /mnt/hdc1       ext3 \
    defaults,data=writeback,noatime,nodiratime \
       0       0' >>/etc/fstab

echo 'hdc1    /dev/hdc1       /etc/keys/hdc1  luks' >>/etc/crypttab
mount -a

#fertig

Das ist ein Beispiel ohne LVM. Mit LVM ist es bis zur Formatierung genau 
das gleiche. Das Gerät muss nur im initvorgang aufgeschlossen werden, 
danach kann LVM(2!) das Gerät als PV einbinden. Dazu musst Du nur die 
initrd neu erstellen, damit die geänderte Konfiguration übernommen 
werden kann. (*Nachdem* die Konfigurationn fertig ist!) Das ganze habe 
ich vor Jahren mal für einen Kunden gemacht, damals gab es noch große 
Probleme mit cryptsetup und LVM, die LUKS- Erweiterung war damals 
brandneu. Das ist inzwischen Geschichte, Gott sei Dank. Damals habe ich 
das ganze dokumentiert und ins Netz gestellt, die prinzipielle 
Vorgehensweise ist die gleiche geblieben.

http://tuxmobil.de/samsung_x20_linux_lvm_encryption.html

Und dann gab es 2006 bei uns noch einen Vortrag zum Thema:

http://www.belug.de/~lutz/pub/vortrag/20060621/LVM2_cryptsetup-Luks.pdf

  Eventuell helfen Dir die Links.
> 
> 
> Olaf
> 

-- 
Have you tried turning it off and on again?

Freundliche Grüße / Best Regards

         Lutz Willek

Mehr Informationen über die Mailingliste linux-l