[linux-l] LVM und Verschlüsselung
Lutz Willek
lutz.willek at belug.de
Fr Jan 4 13:39:35 CET 2008
Olaf Radicke schrieb:
> Aber warum werde ich dann beim booten zweimal nach einem Passwort gefragt?
> Man ist das alles verworren.
Weil Du zwei verschlüsselte Platten hast. Für Deine Zwecke wäre für die
zweite Platte eine Schlüseldatei besser, der Schlüssel muss nur auf der
ersten verschlüsselten Platte liegen, die Du vorher natürlich
aufschließen musst. Hier am Beispiel von /dev/hdc1, ohne LVM:
# Schlüssel erzeugen
head -c2048 /dev/urandom >/etc/keys/hdc1
# Device erzeugen
cryptsetup -c aes-cbc-essiv:sha256 \
-s 256 luksFormat /dev/hdc1 /etc/keys/hdc1
# Alternativ kannst Du einen angeblich besseren, aber
# noch nicht so gut erprobten Alg. nehmen:
cryptsetup -c aes-lrw-benbi -s 256 luksFormat /dev/sdc1 /etc/keys/sdc1
# Device öffnen, hier wird kein Passwort mehr abgefragt
cryptsetup luksOpen /dev/hdc1 hdc1 --key-file /etc/keys/hdc1
# Dateisystem erzeugen, Du kannst natürlich was andres nehmen,
# ich mag aber ext3:
mkfs.ext3 -Lhdc1 /dev/mapper/hdc1
tune2fs -c0 -i0 /dev/hdc1
# Beim Systemstart automatisch einbinden:
echo '/dev/mapper/hdc1 /mnt/hdc1 ext3 \
defaults,data=writeback,noatime,nodiratime \
0 0' >>/etc/fstab
echo 'hdc1 /dev/hdc1 /etc/keys/hdc1 luks' >>/etc/crypttab
mount -a
#fertig
Das ist ein Beispiel ohne LVM. Mit LVM ist es bis zur Formatierung genau
das gleiche. Das Gerät muss nur im initvorgang aufgeschlossen werden,
danach kann LVM(2!) das Gerät als PV einbinden. Dazu musst Du nur die
initrd neu erstellen, damit die geänderte Konfiguration übernommen
werden kann. (*Nachdem* die Konfigurationn fertig ist!) Das ganze habe
ich vor Jahren mal für einen Kunden gemacht, damals gab es noch große
Probleme mit cryptsetup und LVM, die LUKS- Erweiterung war damals
brandneu. Das ist inzwischen Geschichte, Gott sei Dank. Damals habe ich
das ganze dokumentiert und ins Netz gestellt, die prinzipielle
Vorgehensweise ist die gleiche geblieben.
http://tuxmobil.de/samsung_x20_linux_lvm_encryption.html
Und dann gab es 2006 bei uns noch einen Vortrag zum Thema:
http://www.belug.de/~lutz/pub/vortrag/20060621/LVM2_cryptsetup-Luks.pdf
Eventuell helfen Dir die Links.
>
>
> Olaf
>
--
Have you tried turning it off and on again?
Freundliche Grüße / Best Regards
Lutz Willek
Mehr Informationen über die Mailingliste linux-l