Fórum Root.cz

Hlavní témata => Server => Téma založeno: Peter 28. 02. 2011, 11:08:48

Název: LVM a šifrování disků
Přispěvatel: Peter 28. 02. 2011, 11:08:48

Ahoj, taky dotaz, kto vie poradit ako najlepsie nahodit LVM a sifrovanie na server(webserver a fileserver):
Debian 6
1*146gb systemovy disk 10tis otackovy
2*1TB v HW RAID 1 - na data userov, home

Chce to LVM aby ked sa pripoja neskor dalsie disky sa dalo lahsie navysit home.
Moj plan bol dost divoky:
-200 mgb particia /boot ako prva cast z toho 146gb
-zvysok toho 146gb na system a swap kryptovanie a pod nim LVM(aby som si pripadne mohol menit dynamicky este rozdelenie na particie, ale nepredpokladam dake zaclenenie do skupiny dalsich diskov)
-ten 1TB LVM pod tym sifrovanie a pod tym este raz LVM (aby som vedel pridat dalsie disky do LVM ale ficalo to vsetko pod jednym klucom)

Urcite sa to da asi aj jednoduchsie, je tu niekto, kto take zrealizoval? Ide mi o to, aby som sifroval vsetko, (ale teoreticky by mi stacilo data+swap+tmp+var), pricom aby sa system a swap nachadzal na tom rychlom disku, data(home) na tom pomalsom 1TB.

Zalohu systemu budem riesit na ten datovy cez rsync.

Dikes moc! Co som googlil, tak som nenasiel odpovede na nieco lepsie..

Název: Re: LVM a sifrovanie
Přispěvatel: trubicoid2 28. 02. 2011, 11:33:42

to dvojity lvm mi prijde divny, ale nevim...

jinak na serveru by se spis hodilo zasifrovat jen /home a system nechat na nesifrovanym disku, trebas kvuli restartu, heslo k / bys musel davat z klavesnice, na heslo k /home nechas nabehnout ssh pripojis se a zadas heslo

/tmp by mohl byt tmpfs, pak se nemusi sifrovat
swap samozrejme sifrovanej
/var to nevim, je nejakej duvod ho sifrovat?

jinak dm-crypt s luks umi zasifrovat vic disku stejnym passphrase nebo stejnym klicem, nemusis delat tu slozitost se dvouma LVM

Název: Re: LVM a sifrovanie
Přispěvatel: alfi 28. 02. 2011, 12:40:27

mi to taky přijde trochu divoké :-)

zašifrovat přímo fyzické disky - co je potřeba. teoreticky klidně vše mimo /boot. podle toho, před čím/kým se šifruje, umístit klíč(e) - klávesnice, initrd, usb, web, ssh..

na dvě šifrované partition pak nasadit lvm a rozdělit podle potřeby.

Název: Re: LVM a sifrovanie
Přispěvatel: trubicoid2 28. 02. 2011, 13:42:12

jeste kvuli poradi, melo by to byt takto, ne?

disky > md RAID 1 > dm-crypt > LVM

Název: Re: LVM a sifrovanie
Přispěvatel: Peter 28. 02. 2011, 14:13:33

Ok, comu nerozumiem potom, dajme tomu, ze mam 3disky, ktore chcem mat sifrovane a v LVM, tak to potom by som mal spravit najprv LVM, aby som ich dal dokopy a az potom sifroval, aby som vedel pridavat dalsie disky do tej LVM v buducnosti napr, nie? Alebo je to jedno? Len by som pozadaval heslo/hesla k diskom a on by si vedel to LVM potom uz pomountoval? Mate niekto niekde utrzky prikazov, ako to dat dokopy?

Název: Re: LVM a sifrovanie
Přispěvatel: Peter 28. 02. 2011, 14:20:14

Ide o to, ze preto som tie LVM chcel vnarat, ze netusim ako inak by sa dali viacere disky naraz odcryptovavat.. ako tu rovnaku passphrase.. aby zozral aj dalsie v buducnosti pripojene disky.. ze vlastne to najvyssie LVM pouzivam len ako kontainer na to, aby som luks povedal, co ma kryptovat.. no a zvysok je vlastne to, co ste napisali.. Tak ak viete ako, napiste plz:)

Název: Re: LVM a sifrovanie
Přispěvatel: trubicoid2 28. 02. 2011, 14:32:04

no a proc je chces odkryptovat naraz? proc ne postupne?

a chces mit passphrase nebo key-file nebo jak?

jinak si myslim, ze proste sifrovany zarizeni nejde zvetsit, nebo se pletu?

proste zasifruj vsechny disky jak je libo a potom je sestav do LVM, opacne to asi nepujde
az pridas dalsi disk, zase ho zasifrujes cryptsetup luksFormat, pridas do /etc/dmcrypt nebo tak neco aby se ti odkryptovaval  a pridas do LVM

Název: Re: LVM a sifrovanie
Přispěvatel: Peter 28. 02. 2011, 15:26:54

oki, dik

Název: Re: LVM a sifrovanie
Přispěvatel: alfi 28. 02. 2011, 15:35:14

Citace: Peter  28. 02. 2011, 14:20:14

netusim ako inak by sa dali viacere disky naraz odcryptovavat.. ako tu rovnaku passphrase..

mít cryptování přes více hw disků, toho bych se i trochu bál - crypt neví o tom, že je na různých médiích a bude mít předpokládám nějakou délku výsledné šifry.. a když to vyjde zrovna na hranici dvou disků a jeden z nich se pokazí, kdo ví, co všechno se tím rozbije, jeden z disků nepůjde vyměnit bez dumpu původního obsahu apod..
a jak píše trubicoid2, nejspíš to ani nejde dodatečně zvětšit (to by cryptsetup musel umět resize)

Citace: Peter  28. 02. 2011, 14:20:14

ako tu rovnaku passphrase..

s klíčema do /etc/crypttab - odkóduje se automaticky při startu a nebo heslo z klávesnice přečíst skriptem do proměnné a zavolat x-krát cryptsetup ručně :-)
heslo může být všude stejné, u klíče je to asi zbytečné a může (měl by) být každý jiný :-)

Název: Re: LVM a sifrovanie
Přispěvatel: Sten 28. 02. 2011, 15:51:21

Citace: alfi .  28. 02. 2011, 15:35:14

mít cryptování přes více hw disků, toho bych se i trochu bál - crypt neví o tom, že je na různých médiích a bude mít předpokládám nějakou délku výsledné šifry.. a když to vyjde zrovna na hranici dvou disků a jeden z nich se pokazí, kdo ví, co všechno se tím rozbije, jeden z disků nepůjde vyměnit bez dumpu původního obsahu apod..
a jak píše trubicoid2, nejspíš to ani nejde dodatečně zvětšit (to by cryptsetup musel umět resize)

Šifrování přes více disků je bez problémů, protože cryptsetup o tom nic neví — takže buď to zvládne RAID (a dodá cryptsetupu i velikosti disků) nebo nezvládne. Stejně pokud se RAID pole rozpadne, tak smůla, souborový systém to nepobere (také neví nic o tom, že je na více discích).

Změnu velikosti cryptsetup (LUKS) umí.