RAID und verschlüsselte Partitionen

classic Classic list List threaded Threaded
14 messages Options
Reply | Threaded
Open this post in threaded view
|

RAID und verschlüsselte Partitionen

Andreas Schmidt-15
Hallo!

Da meine Festplatte in letzter Zeit gelegentlich fehlerhafte Sektoren  
meldete, habe ich mir zwei neue 2-TB-Platten geholt. Die Gelegenheit  
wollte ich nutzen, meine Daten zu verschlüsseln; deshalb habe ich mir  
ein Net-Install-Image vom aktuellen Stable besorgt und möchte das  
System nun neu aufsetzen.

Auf meinem Laptop habe ich schon seit Jahren verschlüsselte  
Partitionen. Hier kommt nun als größere Hürde hinzu, dass die Platten  
als RAID-1-Verbund (Software-RAID) betrieben werden sollen --damit habe  
ich überhaupt keine praktische Erfahrung. Wie richte ich das am besten  
ein? Vorgestellt hatte ich mir den Aufbau so:

1) Auf beiden Platten (sda und sdb) liegt  /boot als eigenständige  
Primärpartition am Anfang. sda0 und sdb0 werden zu md0 (bootable)  
zusammengefasst.
2) Swap, /home und / sollen separate und jeweils verschlüsselte  
Partitionen sein. Macht es eigentlich einen Unterschied, ob ich die als  
Primär- oder Sekundärpartitionen definiere? Und wie lege ich die  
Partitionen am besten an? Ist es sinnvoll, für / auf sd[ab]1, für swap  
auf sda[ab]2 und für /home auf sda[ab]3 LUKS-Container anzulegen?  
Insgesamt hätte ich dann vier RAID-Devices (md[0..3]). Oder ist es  
besser, nur ein ganz kleines md0 (unverschlüsselt, für /boot) zu haben  
und den rest der Platten (also sd[ab]1) zu md1 zusammenzufassen, dort  
eine LVM-Group anzulegen, in der drei logische Volumes (/, /home, swap)  
liegen, auf die dann erst die Verschlüsselung angewandt wird?

Gibt es gute Argumente, die gegen die eine oder für die andere Variante  
(vier RAID-Devices + direkte Verschlüsselung vs. zwei RAID-Devices,  
aber Umweg über LVM) sprechen? Sollte ich unbedingt etwas beachten?

Mit besten Grüßen

Andreas

Reply | Threaded
Open this post in threaded view
|

Re: RAID und verschlüsselte Partitionen

Peter Blancke
Am 2019-02-06, Andreas Schmidt <[hidden email]> schrieb:

> Die Gelegenheit  wollte ich nutzen, meine Daten zu verschlüsseln;

Ein praktikabler Weg sieht so aus:

sda1 (klein, etwa 500 MB) und sda2 (Rest der Platte) anlegen, in
gleicher Groesze sdb1 und sdb2.

sda1 und sdb1 zu /dev/md0 als Raid anlegen.
sda2 und sdb2 zu /dev/md1 als Raid anlegen.

/dev/md0 als ext4 (oder ext3) formatieren, das wird die
Bootpartition.

/dev/md1 als Crypt-Filesystem anlegen.

Innerhalb des Crypt-Filesystems ein LVM anlegen, damit hast Du die
flexible Moeglichkeit, alle nachgeschalteten Partitionen inklusive
Swap variabel zu gestalten.

> Insgesamt hätte ich dann vier RAID-Devices (md[0..3]).

Und genau das halte ich fuer einen schlechten Weg, weil Du Dich in
der Kapazitaet der einzelnen Partitionen bereits am Anfang festlegen
muszt.

Ich lege immer ein LVM an und richte dann jeweils darin swap, /,
/root, /var, /usr/local und /home ein, jeweils recht "klein" (bei
mir ist / gerade 10 GB grosz, /root 512 MB, /var 10 GB).

> Oder ist es  besser, nur ein ganz kleines md0 (unverschlüsselt,
> für /boot) zu haben  und den rest der Platten (also sd[ab]1) zu
> md1 zusammenzufassen, dort  eine LVM-Group anzulegen,

Und zwischen md1 und dem LVM noch das Crypt-System einfuegen. LVM
ist immer gut und friszt keine "fuehlbare" Energie.

Grusz,

Peter Blancke

--
Hoc est enim verbum meum!

Reply | Threaded
Open this post in threaded view
|

Re: RAID und verschlüsselte Partitionen

Ulf Volmer
In reply to this post by Andreas Schmidt-15
On 06.02.19 20:51, Andreas Schmidt wrote:

> 1) Auf beiden Platten (sda und sdb) liegt  /boot als eigenständige 
> Primärpartition am Anfang. sda0 und sdb0 werden zu md0 (bootable)
> zusammengefasst.
> 2) Swap, /home und / sollen separate und jeweils verschlüsselte
> Partitionen sein. Macht es eigentlich einen Unterschied, ob ich die als
> Primär- oder Sekundärpartitionen definiere? Und wie lege ich die
> Partitionen am besten an? Ist es sinnvoll, für / auf sd[ab]1, für swap
> auf sda[ab]2 und für /home auf sda[ab]3 LUKS-Container anzulegen?
> Insgesamt hätte ich dann vier RAID-Devices (md[0..3]). Oder ist es
> besser, nur ein ganz kleines md0 (unverschlüsselt, für /boot) zu haben
> und den rest der Platten (also sd[ab]1) zu md1 zusammenzufassen, dort
> eine LVM-Group anzulegen, in der drei logische Volumes (/, /home, swap)
> liegen, auf die dann erst die Verschlüsselung angewandt wird?

Ich würde

sd[ab]1 -> md0 -> /boot
sd[ab]2 -> md1 -> dmcrypt -> LVM

einrichten. Das ist ein bewährtes Setup, das Dir spätere Änderungen der
LVM- Volumes ermöglicht. Das ist gut abgehangen und wird auch vom
Installer so klaglos eingerichtet.

Mir wurde berichtet, dass das mittlerweile auch ohne separates /boot
geht, aber da kann ich keine eigenen Erfahrungen beisteuern.

Viele Grüße
Ulf

Reply | Threaded
Open this post in threaded view
|

Re: RAID und verschlüsselte Partitionen

Sven Hartge-5
In reply to this post by Peter Blancke
Peter Blancke <[hidden email]> wrote:
> Am 2019-02-06, Andreas Schmidt <[hidden email]> schrieb:

>> Die Gelegenheit  wollte ich nutzen, meine Daten zu verschlüsseln;

> Ein praktikabler Weg sieht so aus:

> sda1 (klein, etwa 500 MB) und sda2 (Rest der Platte) anlegen, in
> gleicher Groesze sdb1 und sdb2.

500MB könnten mit der Zeit knapp werden.

Aktuell belegen drei vorgehaltene Kernel + GRUB bei mir 120MB, jede
initrd dabei ~33MB.

Wenn man, wie ich, noch ein GRML-ISO zum Starten via grml-rescueboot
liegen hat (sehr zu empfehlen!, vor allem, wenn man mit Verschlüsselung
arbeitet), kommt man auf 1,3GB an aktuellem Platzbedarf.

Bei Platten mit 2TB Größe würde ich zur Zukunftssicherheit nicht an ein
paar MB knausern und /boot gleich 2GB groß machen.

Das ist ein Promille der Gesamtkapazität der Festplatte, das tut nicht
weh.

S!

--
Sigmentation fault. Core dumped.

Reply | Threaded
Open this post in threaded view
|

Re: RAID und verschlüsselte Partitionen

Heiko Schlittermann (HS12-RIPE)
In reply to this post by Ulf Volmer
Ulf Volmer <[hidden email]> (Mi 06 Feb 2019 21:32:29 CET):
> Mir wurde berichtet, dass das mittlerweile auch ohne separates /boot
> geht, aber da kann ich keine eigenen Erfahrungen beisteuern.

Ja, das geht. Grub kann /boot im LVM verstehen, und Grub kann auch eine
dmcrypt (Luks) verschlüsseltes /boot nutzen

NAME                MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                 259:0    0 953,9G  0 disk
├─sda1              259:1    0   260M  0 part  /boot/efi

└─sda5              259:5    0 819,3G  0 part
  └─sda4_crypt      253:0    0 819,2G  0 crypt
    ├─blade-swap         253:1    0    16G  0 lvm   [SWAP]
    ├─blade-root         253:2    0    20G  0 lvm   /
    …

Das ist im Laptop, da habe ich kein Raid, wenn Du Dir aber statt sda
jetzt md0 (Raid1 aus sda1 und sdb1) denkst, dann sollte das passen.

    Best regards from Dresden/Germany
    Viele Grüße aus Dresden
    Heiko Schlittermann
--
 SCHLITTERMANN.de ---------------------------- internet & unix support -
 Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} -
 gnupg encrypted messages are welcome --------------- key ID: F69376CE -
 ! key id 7CBF764A and 972EAC9F are revoked since 2015-01 ------------ -

signature.asc (499 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: RAID und verschlüsselte Partitionen

Andreas Schmidt-15
In reply to this post by Peter Blancke
On 02/06/2019 09:13:24 PM, Peter Blancke wrote:

> Am 2019-02-06, Andreas Schmidt <[hidden email]> schrieb:
>
> > Die Gelegenheit  wollte ich nutzen, meine Daten zu verschlüsseln;
>
> Ein praktikabler Weg sieht so aus:
>
> sda1 (klein, etwa 500 MB) und sda2 (Rest der Platte) anlegen, in
> gleicher Groesze sdb1 und sdb2.
>
> sda1 und sdb1 zu /dev/md0 als Raid anlegen.
> sda2 und sdb2 zu /dev/md1 als Raid anlegen.
>
> /dev/md0 als ext4 (oder ext3) formatieren, das wird die
> Bootpartition.
So weit war ich auch gekommen.

> /dev/md1 als Crypt-Filesystem anlegen.
>
> Innerhalb des Crypt-Filesystems ein LVM anlegen, damit hast Du die
> flexible Moeglichkeit, alle nachgeschalteten Partitionen inklusive
> Swap variabel zu gestalten.
Da war etwas schiefgegangen. Irgendwie konnte ich den Installer nicht  
dazu bewegen, das LVM im Crypt-FS anzulegen. Mir schien es plausibel ,  
direkt auf md1 das LVM anzulegen und darunter jede  
Partition/Volume-Group separat zu verschlüsseln. Ich konnte damit sogar  
booten; allerdings wurde ich nicht nach dem Passwort für LUKS gefragt  
und weder als root noch als normaler User konnte ich mich einloggen.

Die umgekehrte Reihenfolge (dm-crypt --> LVM) ist natürlich insofern  
vorteilhaft, als dass man nur eine Partition verschlüsseln muss. Das  
spart später Zeit, wenn man beim Hochfahren des Rechners nur ein einmal  
ein Passwort für die Entschlüsselung eingeben muss.

> > Insgesamt hätte ich dann vier RAID-Devices (md[0..3]).
>
> Und genau das halte ich fuer einen schlechten Weg, weil Du Dich in
> der Kapazitaet der einzelnen Partitionen bereits am Anfang festlegen
> muszt.
Interessant. Ich hatte mir zwar auch vorgestellt, dass weniger  
RAID-Devices besser als mehr wären, meine Befürchtung ging aber eher  
in  Richtung Performance: mehr Devices, mehr Overhead. Ich habe ja ein  
Software-RAID -- alles, was damit zusammenhängt, muss das System ja  
zusätzlich zu allen anderen Aufgaben erledigen. Ist da etwas dran oder  
liege ich damit völlig falsch?

> Ich lege immer ein LVM an und richte dann jeweils darin swap, /,
> /root, /var, /usr/local und /home ein, jeweils recht "klein" (bei
> mir ist / gerade 10 GB grosz, /root 512 MB, /var 10 GB).
"Gerade" im Sinne von "gerade mal" oder von "zur Zeit" (wegen LVM)? Ich  
bin irgendwann dazu übergegangen, bis auf /boot und /home das ganze  
System auf einer Partition unterzubringen, weil ich mich bei den  
nötigen Größen immer verschätzt hatte. Am Ende war der freie Platz nie  
da, wo er am nötigsten gebraucht wurde. LVM bietet da zwar mehr  
Flexibilität, aber eine einzelne große Partition ist doch viel  
einfacher zu handhaben. (Das sieht im professionellen Einsatz ganz  
bestimmt anders aus! Ich betreibe aber kein Rechenzentrum, sondern nur  
einen Computer.)

>  LVM ist immer gut und friszt keine "fuehlbare" Energie.
Mal sehen… Wenn ein System erstmal eingerichtet ist und läuft, lasse  
ich lieber die Finger von allem, was mit Partitionierung zu tun hat --  
und da der Rechner mit der alten Platte fast sieben Jahre gelaufen ist,  
hatte ich  noch keinen Anlass, LVM  zu nutzen. :-)

Danke und schönen Gruß

Andreas
Reply | Threaded
Open this post in threaded view
|

Re: RAID und verschlüsselte Partitionen

Andreas Schmidt-15
In reply to this post by Sven Hartge-5
On 02/06/2019 09:34:26 PM, Sven Hartge wrote:
> Bei Platten mit 2TB Größe würde ich zur Zukunftssicherheit nicht an  
> ein
> paar MB knausern und /boot gleich 2GB groß machen.
>
> Das ist ein Promille der Gesamtkapazität der Festplatte, das tut nicht
> weh.
Hört sich sinnvoll an! Da werde ich die Partition wohl doch eher  
vergrößern als verkleinern. :-)

Schönen Gruß

Andreas
Reply | Threaded
Open this post in threaded view
|

Re: RAID und verschlüsselte Partitionen

Alexander Dahl-2
In reply to this post by Sven Hartge-5
Moin,

On Wed, Feb 06, 2019 at 09:34:26PM +0100, Sven Hartge wrote:
> 500MB könnten mit der Zeit knapp werden.

Wenn man in /boot ausschließlich Grub, Kernel und so liegen hat, kommt
man mit 500 MB gut hin.

> Aktuell belegen drei vorgehaltene Kernel + GRUB bei mir 120MB, jede
> initrd dabei ~33MB.

Drei Kernel und nur ein viertel von 500 MB belegt, sag ich ja. ;-)

> Wenn man, wie ich, noch ein GRML-ISO zum Starten via grml-rescueboot
> liegen hat (sehr zu empfehlen!, vor allem, wenn man mit Verschlüsselung
> arbeitet), kommt man auf 1,3GB an aktuellem Platzbedarf.

Das kannte ich nicht, aber das scheint mir doch _sehr_ praktisch zu
sein? Vielen Dank für den Tipp, gerade noch rechtzeitig für mich, ich
baue gerade die Platten in meinem Homeserver um. Danke!

> Bei Platten mit 2TB Größe würde ich zur Zukunftssicherheit nicht an ein
> paar MB knausern und /boot gleich 2GB groß machen.

Ja wenn man da eh Platten im TB Bereich reinschraubt, dann sind 2 GB
mehr oder weniger egal. Die SSD im alten Laptop ist aber derzeit noch
deutlich kleiner. ;-)

Grüße
Alex

--
/"\ ASCII RIBBON | »With the first link, the chain is forged. The first
\ / CAMPAIGN     | speech censured, the first thought forbidden, the
 X  AGAINST      | first freedom denied, chains us all irrevocably.«
/ \ HTML MAIL    | (Jean-Luc Picard, quoting Judge Aaron Satie)

signature.asc (849 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: RAID und verschlüsselte Partitionen

Sven Hartge-5
Alexander Dahl <[hidden email]> wrote:
> On Wed, Feb 06, 2019 at 09:34:26PM +0100, Sven Hartge wrote:

>> 500MB könnten mit der Zeit knapp werden.

> Wenn man in /boot ausschließlich Grub, Kernel und so liegen hat, kommt
> man mit 500 MB gut hin.

>> Aktuell belegen drei vorgehaltene Kernel + GRUB bei mir 120MB, jede
>> initrd dabei ~33MB.

> Drei Kernel und nur ein viertel von 500 MB belegt, sag ich ja. ;-)

Aktuell.

Vor wenigen Jahren waren 100MB für /boot noch riesig und ausreichend und
(nicht nur) der Debian-Installer haben dies so angelegt. Aktuell
bekommst du dann beim Kernel-Update oder initrd-Neubauen Probleme, weil
das Platz nicht mehr reicht.

Daher, vor allem, wenn man den Platz hat: Nicht zu sehr knausern, wer
weiß ob man sich in 3 Jahren nicht ärgert und dann erst mit größerem
Aufwand den Kram wieder gerade ziehen muss.

>> Wenn man, wie ich, noch ein GRML-ISO zum Starten via grml-rescueboot
>> liegen hat (sehr zu empfehlen!, vor allem, wenn man mit Verschlüsselung
>> arbeitet), kommt man auf 1,3GB an aktuellem Platzbedarf.

> Das kannte ich nicht, aber das scheint mir doch _sehr_ praktisch zu
> sein? Vielen Dank für den Tipp, gerade noch rechtzeitig für mich, ich
> baue gerade die Platten in meinem Homeserver um. Danke!

Es ist schade, das so wenige Leute grml-rescueboot und GRML an sich
kennen.

Ich habe es auf *allen* meinen physikalischen Systemen installiert.

S!

--
Sigmentation fault. Core dumped.

Reply | Threaded
Open this post in threaded view
|

Re: RAID und verschlüsselte Partitionen

Alexander Dahl-2
Moin,

On Thu, Feb 07, 2019 at 10:09:31AM +0100, Sven Hartge wrote:

> Alexander Dahl <[hidden email]> wrote:
> > On Wed, Feb 06, 2019 at 09:34:26PM +0100, Sven Hartge wrote:
> >> Wenn man, wie ich, noch ein GRML-ISO zum Starten via grml-rescueboot
> >> liegen hat (sehr zu empfehlen!, vor allem, wenn man mit Verschlüsselung
> >> arbeitet), kommt man auf 1,3GB an aktuellem Platzbedarf.
>
> > Das kannte ich nicht, aber das scheint mir doch _sehr_ praktisch zu
> > sein? Vielen Dank für den Tipp, gerade noch rechtzeitig für mich, ich
> > baue gerade die Platten in meinem Homeserver um. Danke!
>
> Es ist schade, das so wenige Leute grml-rescueboot und GRML an sich
> kennen.
Ich benutze GRML seit Jahren als Rettungssystem, erst auf CD, jetzt
meistens von USB-Stick, geniales System, hat mich schon mehrfach
gerettet.

Das als rescuesystem mit nach /boot zu packen ist eigentlich
naheliegend, muss man aber trotzdem erstmal drauf kommen. Schön, dass
das schon praktisch fertig in Debian drin ist, so braucht man wirklich
nur noch das GRML iso dazu kopieren und los.

Grüße
Alex

--
/"\ ASCII RIBBON | »With the first link, the chain is forged. The first
\ / CAMPAIGN     | speech censured, the first thought forbidden, the
 X  AGAINST      | first freedom denied, chains us all irrevocably.«
/ \ HTML MAIL    | (Jean-Luc Picard, quoting Judge Aaron Satie)

signature.asc (849 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: RAID und verschlüsselte Partitionen

Elimar Riesebieter
In reply to this post by Sven Hartge-5
* Sven Hartge <[hidden email]> [2019-02-07 10:09 +0100]:

[...]
> Es ist schade, das so wenige Leute grml-rescueboot und GRML an sich
> kennen.
>
> Ich habe es auf *allen* meinen physikalischen Systemen installiert.

Das aktuelle grml64-full_2018.12.iso kann beim Booten keine mdraids
zusammenbauen. Habe hier /boot -> vg0 -> md0 liegen.
grml64-full_2017.05.iso funktioniert hingegen prächtig!

Siehe auch https://github.com/grml/grml/issues/125

Elimar
--
  Numeric stability is probably not all that
  important when you're guessing;-)

Reply | Threaded
Open this post in threaded view
|

Re: RAID und verschlüsselte Partitionen

Andreas Schmidt-15
In reply to this post by Ulf Volmer
On 02/06/2019 09:32:29 PM, Ulf Volmer wrote:
> sd[ab]2 -> md1 -> dmcrypt -> LVM
>
> einrichten. Das ist ein bewährtes Setup, das Dir spätere Änderungen  
> der
> LVM- Volumes ermöglicht. Das ist gut abgehangen und wird auch vom
> Installer so klaglos eingerichtet.
Das wundert mich nun doch etwas. Der Installer zeigt im Menu für die  
Partitionierungssachen erst die Option "LVM einrichten" und danach  
"Verschlüsselung". Der Installer arbeitet ja das Menu von oben nach  
unten  ab -- von Spracheinstellungen und Keyboard-Layout über  
Hardwareerkennung, Netzwerkerkennung und -einrichtung, Partitionierung,  
Taskselect bis zur Installation der Pakete und Einrichtung von grub.  
Deshalb erschien es mir ja so logisch, das RAID-Device zuerst mit LVM  
zu erweitern (vergleichbar mit logischen Partitionen innerhalb einer  
Primärpartition) und danach die logischen Volumes separat zu  
verschlüsseln.  Kann die Variante RAID --> LVM --> dmcrypt überhaupt  
funktionieren bzw. wird sie in der Praxis häufig verwendet? Ansonsten  
wäre es wohl ratsam, die Reihenfolge der Menueinträge zu vertauschen.

> Mir wurde berichtet, dass das mittlerweile auch ohne separates /boot
> geht, aber da kann ich keine eigenen Erfahrungen beisteuern.
Das wollte ich heute eigentlich auch probieren, war dann aber doch zu  
schnell und habe wieder ein separates /boot eingerichtet. Diesmal bin  
ich tatsächlich nach der bewährten Methode sd[ab]2 --> md1 --> dmcrypt  
--> LVM vorgegangen. Grub habe ich dann erst in den MBR von sda und  
dann in den von sdb schreiben lassen, denn das  System soll ja von  
beiden Partitionen aus starten können. Nach dem Neustart lande ich dann  
wegen "error: disk 'mduuid/e411…' not found" im Rescue mode.

Mit ls sehe ich die vorhandenen Partitionen:

(hd0) (hd0,msdos2) (hd0,msdos1) --> entspricht sda
(hd1) (hd1,msdos2) (hd1,msdos1) --> entspricht sdb
(hd2) (hd2.msdos5) (hd2,msdos2) (hd2,msdos1) --> die alte Platte
(md/1) (md/0) (fd0)

Mit "ls (hd2,msdos[125])/" bekomme ich, wie erwartet, den Inhalt der  
alten Platte zu sehen. Das gleiche auf (hd0) und (hd1) angewandt ergibt  
stets -- nichts. Für (hd0,1) wird  immerhin "Filesystem is ext2"  
angezeigt (ist aber leer), für (hd0,2)  erhalte ich nur "error: unknown  
filesystem".

Scheinbar ist die Installation korrekt durchgelaufen, anscheinend ist  
dabei aber doch etwas schiefgegangen. Wahrscheinlich habe ich noch  
etwas übersehen -- nur was? Ich verstehe ja, dass grub nicht in  
verschlüsselte Partitionen mit LVM schauen kann, aber zumindest unter  
/boot müsste doch etwas zu sehen sein. Oder funktioniert das nicht,  
weil diese Partition auch Teil eines Software-RAID ist, für das grub  
keine Treiber laden konnte?

Schönen Gruß
Andreas

Reply | Threaded
Open this post in threaded view
|

Re: RAID und verschlüsselte Partitionen

Ulf Volmer
On 07.02.19 18:16, Andreas Schmidt wrote:

> verschlüsseln.  Kann die Variante RAID --> LVM --> dmcrypt überhaupt
> funktionieren bzw. wird sie in der Praxis häufig verwendet? Ansonsten
> wäre es wohl ratsam, die Reihenfolge der Menueinträge zu vertauschen.

Dann müsste man jedes verschlüsselte LVM- Volume einzeln entsperren.
Oder dazu mit Keyfiles arbeiten. Habe ich mich aber nie mit
auseinandergesetzt, da mit die andere Variante zielführender erscheint.


> Das wollte ich heute eigentlich auch probieren, war dann aber doch zu
> schnell und habe wieder ein separates /boot eingerichtet. Diesmal bin
> ich tatsächlich nach der bewährten Methode sd[ab]2 --> md1 --> dmcrypt
> --> LVM vorgegangen. Grub habe ich dann erst in den MBR von sda und dann
> in den von sdb schreiben lassen, denn das  System soll ja von beiden
> Partitionen aus starten können. Nach dem Neustart lande ich dann wegen
> "error: disk 'mduuid/e411…' not found" im Rescue mode.
>
> Mit ls sehe ich die vorhandenen Partitionen:
>
> (hd0) (hd0,msdos2) (hd0,msdos1) --> entspricht sda
> (hd1) (hd1,msdos2) (hd1,msdos1) --> entspricht sdb
> (hd2) (hd2.msdos5) (hd2,msdos2) (hd2,msdos1) --> die alte Platte
> (md/1) (md/0) (fd0)
>
> Mit "ls (hd2,msdos[125])/" bekomme ich, wie erwartet, den Inhalt der
> alten Platte zu sehen. Das gleiche auf (hd0) und (hd1) angewandt ergibt
> stets -- nichts. Für (hd0,1) wird  immerhin "Filesystem is ext2"
> angezeigt (ist aber leer), für (hd0,2)  erhalte ich nur "error: unknown
> filesystem".

Ich tippe, dass hier der neuerdings am Anfang des Devices stehende
Superblock verhindert, dass (hd0,1) und (hd1,1) direkt gelesen werden
können. Ein

ls (md/0)/

sollte aber im Normalfall Dein /boot zeigen. Wenn nicht, ist tatsächlich
bei der Installtion etwas falsch gelaufen.

Es ist dann vermutlich am Besten, mit grml o.ä. zu schauen.

Viele GRüße
Ulf

Reply | Threaded
Open this post in threaded view
|

Re: RAID und verschlüsselte Partitionen

Alexander Dahl-2
In reply to this post by Andreas Schmidt-15
Moin,

On Thu, Feb 07, 2019 at 06:16:09PM +0100, Andreas Schmidt wrote:

> On 02/06/2019 09:32:29 PM, Ulf Volmer wrote:
> > sd[ab]2 -> md1 -> dmcrypt -> LVM
> >
> > einrichten. Das ist ein bewährtes Setup, das Dir spätere Änderungen der
> > LVM- Volumes ermöglicht. Das ist gut abgehangen und wird auch vom
> > Installer so klaglos eingerichtet.
> Das wundert mich nun doch etwas. Der Installer zeigt im Menu für die
> Partitionierungssachen erst die Option "LVM einrichten" und danach
> "Verschlüsselung". Der Installer arbeitet ja das Menu von oben nach unten
> ab -- von Spracheinstellungen und Keyboard-Layout über Hardwareerkennung,
> Netzwerkerkennung und -einrichtung, Partitionierung, Taskselect bis zur
> Installation der Pakete und Einrichtung von grub. Deshalb erschien es mir ja
> so logisch, das RAID-Device zuerst mit LVM zu erweitern (vergleichbar mit
> logischen Partitionen innerhalb einer Primärpartition) und danach die
> logischen Volumes separat zu verschlüsseln.  
Also ich hab bei der letzten Installation (hab im Dezember Buster
installiert) die Voreinstellungen für "mit Verschlüsselung und LVM"
übernommen und das macht der Installer draus:

sda                      8:0    0 232,9G  0 disk  
├─sda1                   8:1    0   243M  0 part  /boot
├─sda2                   8:2    0     1K  0 part  
└─sda5                   8:5    0 232,7G  0 part  
  └─sda5_crypt         254:0    0 232,7G  0 crypt
    ├─lemmy--vg-root   254:1    0    28G  0 lvm   /
    ├─lemmy--vg-swap_1 254:2    0   5,7G  0 lvm   [SWAP]
    └─lemmy--vg-home   254:3    0 152,7G  0 lvm   /home

D.h. hier mit /boot separat, was ich auch sinnvoll finde, ich meine
die dadurch preisgegebenen Informationen sind ein akzeptabler
Kompromiss. Die zweite Partition (ja, logisches Laufwerk in
erweiterter Partition) wird dann komplett verschlüsselt und da drin
kommt dann das LVM. RAID würde ich hier auch noch vor das crypt
hängen, das soll ja bei Ausfall einer Platte noch praktikabel bleiben.

Also wie hier schon vorgeschlagen: HD → RAID → Crypto → LVM.

Man kann auch Crypto und LVM tauschen, hatte ich hier auch schon
laufen, fand es aber tatsächlich nervig dann für 5 Volumes ein
Passwort einzugeben, statt nur für eine Partition.

> Kann die Variante RAID --> LVM
> --> dmcrypt überhaupt funktionieren bzw. wird sie in der Praxis häufig
> verwendet? Ansonsten wäre es wohl ratsam, die Reihenfolge der Menueinträge
> zu vertauschen.

Funktionieren tut beides. Ich meine /etc/crypttab wird beim Boot
mehrfach durchlaufen, das geht schon.

> > Mir wurde berichtet, dass das mittlerweile auch ohne separates /boot
> > geht, aber da kann ich keine eigenen Erfahrungen beisteuern.
> Das wollte ich heute eigentlich auch probieren, war dann aber doch zu
> schnell und habe wieder ein separates /boot eingerichtet. Diesmal bin ich
> tatsächlich nach der bewährten Methode sd[ab]2 --> md1 --> dmcrypt --> LVM
> vorgegangen. Grub habe ich dann erst in den MBR von sda und dann in den von
> sdb schreiben lassen, denn das  System soll ja von beiden Partitionen aus
> starten können. Nach dem Neustart lande ich dann wegen "error: disk
> 'mduuid/e411…' not found" im Rescue mode.

Hmm, wo liegt Dein /boot denn dann? Auf md1 ja vermutlich nicht? Ist
/boot ein RAID-1 über sd[ab]1 oder noch was anderes?

Grub in den MBR von sda _und_ sdb zu schreiben ist auf jeden Fall
sinnvoll.

Aber ich muss auch zugeben, das alles korrekt manuell im Installer
hinzukonfigurieren, fand ich immer etwas tricky.

> Mit ls sehe ich die vorhandenen Partitionen:
>
> (hd0) (hd0,msdos2) (hd0,msdos1) --> entspricht sda
> (hd1) (hd1,msdos2) (hd1,msdos1) --> entspricht sdb
> (hd2) (hd2.msdos5) (hd2,msdos2) (hd2,msdos1) --> die alte Platte
> (md/1) (md/0) (fd0)
>
> Mit "ls (hd2,msdos[125])/" bekomme ich, wie erwartet, den Inhalt der alten
> Platte zu sehen. Das gleiche auf (hd0) und (hd1) angewandt ergibt stets --
> nichts. Für (hd0,1) wird  immerhin "Filesystem is ext2" angezeigt (ist aber
> leer), für (hd0,2)  erhalte ich nur "error: unknown filesystem".
Bei mdadm bzw. Linux Software RAID kommt es kommt auch auf das Format
der Metadaten an. Mit Format Version 0.9 kann man wohl auch eine
Partition unabhängig vom RAID lesen, zumindest für frühere Versionen
von Grub war das nötig, wenn man von einem RAID-1 booten wollte, d.h.
der bootete dann nicht von md0 sondern quasi von sda1 oder sdb1.

> Scheinbar ist die Installation korrekt durchgelaufen, anscheinend ist dabei
> aber doch etwas schiefgegangen. Wahrscheinlich habe ich noch etwas übersehen
> -- nur was? Ich verstehe ja, dass grub nicht in verschlüsselte Partitionen
> mit LVM schauen kann, aber zumindest unter /boot müsste doch etwas zu sehen
> sein. Oder funktioniert das nicht, weil diese Partition auch Teil eines
> Software-RAID ist, für das grub keine Treiber laden konnte?

Also ein modernes Grub kann wohl von RAID booten, auch von neuerem.
Kann aber sein, dass Grub das dann auch wissen muss, dass er das tun
soll.

Ich leg zumindest ein RAID-1 für /boot immernoch mit v0.9 an, und für
die weiteren md devices lass ich mdadm dann entscheiden, aktuell nimmt
der dann wohl v1.2 dafür.

Grüße
Alex

--
/"\ ASCII RIBBON | »With the first link, the chain is forged. The first
\ / CAMPAIGN     | speech censured, the first thought forbidden, the
 X  AGAINST      | first freedom denied, chains us all irrevocably.«
/ \ HTML MAIL    | (Jean-Luc Picard, quoting Judge Aaron Satie)

signature.asc (849 bytes) Download Attachment