[linux-l] S: Empfehlung für verschluesseltes Setup

Boris Kirkorowicz borisbelug at kirk.de
So Sep 27 22:31:38 CEST 2020 

Hallo,

Am 27.09.20 um 16:21 schrieb Hauke Laging via linux-l:
>> Da der Server nur alle Jahre mal neu gestartet
>> wird, kann ich da auch schon mal runter in den Keller (wo beides steht),
>> um das Passwort einzutippen.
> 
> Das könnte man ja auch per SSH tun.

Da hatte ich das Setup meines Laptops vor Augen: da ist alles, also auch
System und Swap, im LUKS Volume drin. Und wenn der Server startet, stehe
ich zumeist ohnehin direkt davor.


> Wozu? Warum die Netztrennung? Welchen Vorteil bringt das gegenüber einer
> Deaktivierung der entsprechenden Dienste (NFS/CIFS)?

Bequemlichkeit: ich kann nichts vergessen. ;-)



> Wozu die VM? Wenn der Backup-iSCSI-Zugriff auf eine VM beschränkt werden
> kann, dann kann er auch auf den Server beschränkt werden.

Die Idee ist, so auch auf einfache Weise ein Image des Systems zu
ziehen. Jetzt, wo ich das schreibe, klingt es nicht mehr ganz so
logisch, darüber sinne ich noch mal nach.


> Der vergessliche USB-Stick heißt /run, aber das ist ja nicht nötig, weil
> die fragliche Information in dem LUKS-Volume untergebracht werden kann.

Das kenne ich noch nicht: ist das dann eine selbstentschlüsselnde
Verschlüsselung, sowas wie der Wohnungsschlüssel unter der Fußmatte?
Nee, kann ja gar nicht sein, aber wie ist das zu verstehen?


> Das LUKS-Volume (ich empfehle, denselben LUKS-Header für das reguläre
> und das Backup-Volume zu verwenden, mit neu gesetzter UUID) sollte neben
> dem Passwort einen key slot bekommen, der für eine Schlüsseldatei
> verwendet wird.

Darüber muss ich mich noch belesen (bislang habe ich nur die Methode mit
eingetipptem Passwort verwendet). Aber wie kann das sicher sein, wenn
der Schlüssel gleich mitgeliefert wird? Oder was verstehe ich da nicht?


> - Dienst beenden (das stellt sicher, dass vor dem Backup alle Buffer
> geleert werden)
> - Dienst in der Firewall sperren

Da muss ich ja praktisch alle Netzwerkdienste so behandeln; da könnte
ich auch gleich das NIC runterfahren. Was einfacher wäre, v.a. auch bei
eventuellen späteren Änderungen, muss ich mir noch mal genauer ansehen.


>> Wo bringe ich die Scripte (auch in der VM) am besten unter?
> Auf dem LUKS-Volume? Dann hast Du sie automatisch im Backup.
> Ansonsten: /opt

Thx.


> Ich empfehle, das mit btrfs-Snapshots zu machen. Auf diese Weise wird
> die Verfügbarkeit der Dienste nur für eine Sekunde unterbrochen. Anders
> als (AFAIK) bei LVM lassen sich die Snapshots auch sauber differentiell
> übertragen, und man kann den Snapshots entnehmen, welche Daten sich
> geändert haben.

Daran hatte ich auch schon gedacht, habe mich aber durch böse Berichte
noch böserer Zwischenfälle abschrecken lassen. Angeblich sei btrfs noch
immer nicht ganz ausgereift und gebe gelegentlich Anlass zur
Beschäftigung mit Totalverlusten. Wobei ich zu spät bemerkte
Teilverluste schlimmer fände. Brauche ich aber beides nicht. Da erinnere
ich mich an eine Meldung von JFS, seinerzeit unter OS/2 auf einem
kritischen System, das nach einem simplen CHKDSK-Lauf lakonisch
mitteilte, man möge auf sein Backup zurückgreifen: alles weg, nicht
wiederherstellbar. Dummerweise war das direkt vor der Datensicherung...
Das kriege ich nicht mehr aus dem Kopf.

Mache ich mir zu viel Sorgen, oder sollte ich das durchaus berücksichtigen?


-- 
Mit freundlichem Gruß                                 Best regards
                                 Kirkorowicz

Mehr Informationen über die Mailingliste linux-l