Re: jessie, cryptsetup, swap und systemd

To: debian-user-german@lists.debian.org
Subject: Re: jessie, cryptsetup, swap und systemd
From: Christian Knoke <chrisk@cknoke.de>
Date: Tue, 16 Feb 2016 11:13:16 +0100
Message-id: <[🔎] 20160216101316.GA5001@localhost.localdomain>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 20160215232727.GB10196@unser.net>
References: <[🔎] 20160215232727.GB10196@unser.net>

Juergen Christoffel schrieb am 16. Feb um 00:27 Uhr:

> da ich vor kurzem eine Maschine mit einer neuen SSD erweiter habe, habe ich
> den zusätzlichen Platz heute mal genutzt, um mit Debian 8 und systemd etwas
> zu experimentieren. Bisher komme ich mit Debian 7 noch ganz gut aus.
> 
> Das neue System habe ich verschlüsselt aufgesetzt, auch swap ist
> verschlüsselt. Nun fragt mich das System beim Start nicht nur nach dem Key
> für /, sondern immer auch nach dem Key für Swap, was früher nicht der Fall
> war.

Für Swap reicht doch ein zufälliger Schlüssel, der beim Systemstart erzeugt
und beim Herunterfahren vergessen wird. Mit Suspend to disk wird es dann
aber schwierig.

Das Problem ist, dass sowohl Wheezy als auch Jessie Verschlüsselungen ohne
LUKS-Container nur sehr schlecht unterstützt; da sind einige Fehler vor
allem in der initrd-Erzeugung.

Ich verzichte aber ohnehin auf swap space, bei 2 GB RAM habe ich den in 7
Jahren noch nie gebraucht. Wenn du mehrere VMs betreibst, mag es anders
aussehen.

> Aufgesetzt habe ich das System mit manueller Partitionierung. Nicht zuletzt
> deshalb, weil Debian-Install immer die ganze Platte überschreiben will,
> auch wenn sie neu ist. Da das Zeit bei 1TB reichlich Zeit braucht

weil die Erzeugung der Zufallszahlen so lange braucht.

> und da
> man ja SSDs nicht unnötig bis zum Anschlag voll schreiben soll, also
> manuell mit
> 
>  /boot als ex4, unverschlüsselt
> 
>  / verschlüsselt, probeweise btrfs
> 
>  swap verschlüsselt
> 
> Das manuelle Partitionieren verlangte auch für das Swap-Device eine
> Passphrase, vermutlich weil's beim Verschlüsseln noch nicht weiss, dass es
> Swap wird.
> 
> Die Einträge in /etc/crypttab sehen aus wie bei Debian 7, also sollte der
> Key "on the fly" und zufällig sein, aber beim Booten werde ich nun nach der
> Passphrase erst für / und dann für Swap gefragt. Wer macht das (initrd?)
> und wie gewöhne ich ihm das ab?

Das geht imho nur ohne LUKS, oder eben, wenn es im lvm mit drin ist.

> Für sachdienliche Hinweise dankt, JC

Gruß
Christian


-- 
Christian Knoke            * * *            http://cknoke.de
* * * * * * * * *  Ceterum censeo Microsoft esse dividendum.

Reply to:

References:
- jessie, cryptsetup, swap und systemd
  - From: Juergen Christoffel <jc.debian16@unser.net>

Prev by Date: Re: Merkwürdige Locale-Effekte in Bash (war: Re: Wohin mit den eigenen init-Skripten?)
Next by Date: Re: [OT]Englisch oder Deutsch? (War Re: Wohin mit den eigenen init-Skripten?)
Previous by thread: Re: jessie, cryptsetup, swap und systemd
Next by thread: Re: jessie, cryptsetup, swap und systemd
Index(es):
- Date
- Thread