Arch Linux

Zweite Festplatte in bestehendes System einbinden(Luks on LVM)

George Harvey Bone

Hallo zusammen!

Ich habe mir in der vergangenen Woche günstig eine neue SSD gekauft, die ich gleich in mein System einbinden wollte, d.h. auch nach dem Booten verfügbar haben möchte.

Die Festplatte soll zwar eher dauerhaft eingebunden sein, allerdings als eigenständige, verschlüsselte Disk und nicht bestehende Volumes erweitern. Das ist mir zu gefährlich. Es könnte sein, dass ich mich hierbei schon etwas verheddert habe. Ich habe die Platte mit luksFormat verschlüsselt und frage mich nun, wie ich den Bootloader konfigurieren müsste, um die Platte zu entschlüsseln?

Ist es möglich/sinnvoll, einen weiteren Eintrag (cryptdevice=/dev/sdX…) anzugeben und einen Eintrag in der fstab mit mountpoint? Oder hätte ich statt des physischen Volumes ein logisches Volume mit 100% der Kapazität erstellen sollen, welches ich mit einer luks-Schlüsseldatei verschlüssele und in der /etc/crypttab darauf verweise?
Hier mein Layout:

Bei der Benennung auf der 2. Disk sollte statt "lvm" eigentlich "lvm-data" stehen. Das stört mich und verwirrt nur unnötig. Kann ich das umbenennen? Bevor ich nun Veränderungen vornehme, die ich hinterher bereue, hole ich lieber ein paar Meinungen ein.

c0mm0ner

1. Ich finde ja luks-on-lvm persönlich grundsätzlich weniger sinnvoll als lvm-on-luks, wenn man nicht Volumes über mehrere Festplatten anlegen will.

2. Wenn Du die 2. Platte als Datenpartition ins System mountest, würde ich den Weg über crypttab und Schlüsseldatei gehen, das ist eine einfache und stabile Lösung. Für eine Entschlüsselung via Kernel-Commandline müsstest Du wesentlich mehr Aufwand betreiben, um das gleiche Ergebnis zu erzielen. Das lohnt sich m.E. nur, wenn man aus mehreren entschlüsselten Platten sein root-Device zusammenbaut (btrfs raid, zpool, u.ä.)

3. LVM-{VG,LV} lassen sich nach meiner Erfahrung problemfrei mit {vg,lv}rename umbennen. Ggf. müssen natürlich mounts etc angepasst werden.

George Harvey Bone

Danke für die schnelle Rückmeldung!

1. Ehrlich gesagt war ich mir bei der Installation nicht ganz sicher, was ich brauche und habe mich eben dafür entschieden. Dass z.B. tmp und swap temporär verschlüsselt sind hat mich gereizt.

2. Hatte ich vermutet, leider erst nachdem ich wieder tiefer im Thema war. Seit der Installation waren die angelesenen Kenntnisse wieder etwas versickert. Für den Weg über crypttab muss ich auf der Platte nur den Luks-header löschen, oder?

3. Danke.

c0mm0ner

1. Das ist ja in beiden Varianten der Fall, letztlich erfüllen ja auch beide ihren Zweck.

2. Du kannst einfach das Keyfile hinzufügen. Danach kannst Du die Passphrase entsprechend entfernen. Ich würde aber immer eine Passphrase aktiv haben, ansonsten sind die Daten verloren, wenn das Keyfile weg ist. Siehe: https://wiki.archlinux.org/index.php/Dm-crypt/Device_encryption#Key_management

George Harvey Bone

So 100%ig weiß ich nicht mehr, warum ich nun diese Variante gewählt hatte. Ursprünglich hatte ich keine komplexer aufgebauten Partitionen, geschweige denn Verschlüsselung. Dazu bin ich erst mit etwas mehr Erfahrung gekommen. Da brauchte es erst ein Schlüsselerlebnis, wo ich gerne meine Daten durch einen Schlüssel geschützt gesehen hätte...im Nachhinein. Das ist schon einige Jahre her und verloren gingen damals „nur“ Unisachen, aber seitdem beschäftige ich mich auch mit dem „was wäre wenn…“ Das nur am Rande.

Ich habe nun doch nochmal den luks-header gelöscht, da ich die 2. Platte analog zur ersten einrichten wollte und ich beim Versuch eine Volume Group zu erstellen, nicht weitergekommen bin („Can't open /dev/sdb1 exclusively. Mounted filesystem?“). Ich habe verschiedene Lösungsansätze gefunden, allerdings waren mir das in Summe zuviele Baustellen. Die Bezeichnung habe ich nochmal geändert, weil ich das dann eher nachvollziehen konnte,

Die Platte habe ich nun wieder analog der LUKS on LVM Anleitung eingerichtet ( https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system#LUKS_on_LVM)
und verschlüsselt und dann eine Schlüsseldatei analog zum Abschnitt „Encrypting logical volume /home“ angelegt, crypttab und fstab entsprechend ergänzt.

sdb              8:16   0 894,3G  0 disk  
└─sdb1           8:17   0 894,3G  0 part  
  └─data-media 254:3    0 894,3G  0 lvm   
    └─media    254:8    0 894,3G  0 crypt /media

Soweit so gut, die Platte wird wie gewünscht eingebunden und ist jetzt endlich verfügbar. Danke auch nochmal für den wichtigen Hinweis bezüglich der Keyfiles, denn mir ist dabei erst klar geworden, dass ich mein Keyfile zu /home noch nicht gesichert hatte.

Ich muss also entweder ein Backup der Keyfiles machen oder eine Passphrase hinzufügen.
Reicht dazu dieser Befehl?

cryptsetup luksAddKey --key-slot 1 /dev/sdb1 /etc/luks-keys/media

Habe ich das richtig verstanden, dass ich in meinem Fall den Pfad zur Schlüsseldatei mit angeben muss um einen zusätzlichen keyslot anzulegen?

c0mm0ner

Ich muss also entweder ein Backup der Keyfiles machen oder eine Passphrase hinzufügen.
Reicht dazu dieser Befehl?

Was von beidem willst Du damit machen?

George Harvey Bone

c0mm0ner schrieb Was von beidem willst Du damit machen?

Eigentlich wollte ich erstmal eine zusätzliche Passphrase hinzufügen.

c0mm0ner

Ok, dann einfach per

cryptsetup luksAddKey /dev/sdb1