[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Verschlüsselung in Lenny

Zuallererst: stell doch bitte endlich mal einen Zeilenumbruch ein,
ständiges Umbrechen ist nervig.

On Tue, Dec 30, 2008 at 01:08:39AM +0100, Alex Maurer wrote:
> If  you  wish  to  check  the  consistency  of  an  XFS  filesystem,
>  or  repair a damaged or corrupt XFS filesystem, see xfs_check(8)
> and xfs_repair(8).

Eben. Also muss ich nach einem Problem doch Hand anlegen.

> Standard wird unter xfs aber journal-Modus verwendet, der dennoch
> zur Datenverlust führen kann (aber afair nicht zu Beschädigung des
> Dateisystems selbst). Diesen kann man afair auch nicht feststellen
> oder korrigieren. Da hilft ein xfs_check vermutlich auch nicht, aber
> ich bin mir jetzt unsicher darüber.

Doch, genau dafür ist xfs_repair da.

> Es gibt aber Journal-Moden, die langsamer und sicherer sind.
In XFS? Welche?

> 2. erst garnicht mounten lassen - ist bei einem mit dm-crypt
> verschlüsseltem Dateisystem nicht anders als bei unverschlüsselten
> und darum eher OT hier.

Entschuldige, aber ob das OT ist oder nicht, ist ja wohl eher mein
Problem. Schließlich habe ich nach den Vor- und Nachteilen und
Eigenheiten und möglichen Problemen bei Verschlüsselung gefragt, und
für mich ist die Problematik relevant und _sehr_ ON topic.
 
> Per hand geht das halt ungefähr so:
> cryptsetup luksOpen /dev/bla blub
> fsck /dev/mapper/blub
> mount /dev/mapper/blub
> ...
> umount /dev/mapper/blub
> cryptsetup luksClose blub
> Entsprechend kann man da zu dem Zustand sich bewegen, zu dem man möchte.

Aha. Also kann ich von Hand erst entschlüsseln, dann checken, dann
mounten usw.. Gut. Das heisst, wenn ich das sozusagen aus Sicht der
Festplatte betrachte, ist die Verschlüsselung eine Art filesystem, in
welchem dann das eigentliche filesystem (hier XFS) eingebettet ist.

XFS wird übrigens u.a. benutzt, weil es im Gegensatz zu ext3 keinen
Zwangscomit hat.
> 
> Noch 2 Anmerkungen:
> 1. xfs hatte noch ein Problemchen, fällt mir noch ein. Man sollte
> irgendwie sicher sein, dass Journal bereits geschrieben worden ist,
> bevor man irgendwie weitermacht.. Es hatte jedenfalls alles mit dem
> Write-Buffer von HDDs zu tun und mit zwischen-Buffers. Da hat xfs
> einen Trick, in dem da ein Befehl durchgereicht wird.. Irgendeine
> Schicht konnte das blockieren und die Situation verschlechtern. Ich
> weiß nicht mehr genau ob es LVM oder dm-crypt Schicht war und ob es
> immer noch so ist. Ich vermute, das wurde gelöst. Zu xfs gibt es eh
> auf deren Seiten ausführliche Dokumentation.
Ja, aber leider nur in Englisch. Mitunter schwierig, wenn man kein
native-speaker ist.

> 2. Es wird aus sicherheitstechnischen Gründen empfohlen bei
> Verschlüsselung eines Volumes auch noch alle swap-Volumes zu
> verschlüsseln. Das ist dann auch mit einem dynamisch generiertem
> Key möglich, wenn man auf hibernate verzichten kann.

Ok. Wobei ich mir kaum vorstellen kann, dass das swap bei 2GB RAM
überhaupt genutzt wird. Ist eh' nur eingerichtet, um suspend to disk zu
ermöglichen (was ich aber auch seltenst nutze), auf anderen Rechnern
habe ich schon lange kein swap mehr.


ciao, Dirk
Reply to: