Re: crypto-filesystem nach Debian-Art mit temporaerem weiteren crypto-fs?
Am Mon, 9 Apr 2007 22:42:13 +0200
schrieb Marc Haber <mh+debian-user-german@zugschlus.de>:
> - Auf der Plattenpartition /dev/hda5 liegt ein dm-crypt mit LUKS,
> erreichbar über /dev/mapper/hda5_crypt
> - hda5_crypt ist PV
> - darauf liegt eine VG debian
> - in dieser liegen die LVs mit den Filesystemen
>
> So weit, so gut.
>
> Jetzt möchte ich aber zusätzlich eine weitere LV haben, die ein
> eigenes LUKS-Passwort hat und die nicht bei einem normalen Systemstart
> eingehängt wird.
>
> Es erscheint mir mäßig ungeschickt, diese LV in der VG anzusiedeln,
> die schon auf PV-ebene verschlüsselt ist. Und eine eigene PV nur für
> die "Spezial-LV" anzulegen, verliert die Flexibilität, die ich mir
> eigentlich durch den LVM verschaffen wollte.
>
> Wie gehe ich mit dieser Problematik am geschicktesten um? Is es
> in diesem Kontext sinnvoll, vom Debian-Weg abzuweichen und die
> LVs einzeln zu verschlüsseln? Kann die Debian-initrd damit umgehen?
>
Hallo Marc,
im Zuge der Einrichtung eines Laptops habe ich mich auch mit der
Thematik beschäftigt.
Die Frage war 'crypt over lvm' oder 'lvm over
crypt'. Mit dem Installer kann man beides einrichten (manuelle
Partitionierung). Ich hatte mich für die Variante der Verschlüsselung
einzelner LV entschlossen (crypt over lvm [?] ;).
Natürlich muss man beim Booten für jede Partition das Passwort
eingeben, auch wenn diese übereinstimmen sollten. Im Moment kann ich
damit leben, da ich derzeit nur zwei Partitionen verschlüsselt habe,
jedoch an der Authentifizierung via GPG-Key auf USB arbeite [1] und
dann auch die anderen Partitionen zur Debatte stehen verschlüsselt zu
werden.
Mit der Variante crypt am untersten Ende zu fahren steht mir es offen
auf der VG eine unverschlüsseltes LV anzulegen (aus welchen Grund
auch immer), oder separat Zugriff auf Partitionen zu vergeben,
wasauchimmer.
Viele Grüße
Stefan
[1] http://www.debian-administration.org/articles/428
Reply to: