Moin, On Thu, Feb 07, 2019 at 06:16:09PM +0100, Andreas Schmidt wrote: > On 02/06/2019 09:32:29 PM, Ulf Volmer wrote: > > sd[ab]2 -> md1 -> dmcrypt -> LVM > > > > einrichten. Das ist ein bewährtes Setup, das Dir spätere Änderungen der > > LVM- Volumes ermöglicht. Das ist gut abgehangen und wird auch vom > > Installer so klaglos eingerichtet. > Das wundert mich nun doch etwas. Der Installer zeigt im Menu für die > Partitionierungssachen erst die Option "LVM einrichten" und danach > "Verschlüsselung". Der Installer arbeitet ja das Menu von oben nach unten > ab -- von Spracheinstellungen und Keyboard-Layout über Hardwareerkennung, > Netzwerkerkennung und -einrichtung, Partitionierung, Taskselect bis zur > Installation der Pakete und Einrichtung von grub. Deshalb erschien es mir ja > so logisch, das RAID-Device zuerst mit LVM zu erweitern (vergleichbar mit > logischen Partitionen innerhalb einer Primärpartition) und danach die > logischen Volumes separat zu verschlüsseln. Also ich hab bei der letzten Installation (hab im Dezember Buster installiert) die Voreinstellungen für "mit Verschlüsselung und LVM" übernommen und das macht der Installer draus: sda 8:0 0 232,9G 0 disk ├─sda1 8:1 0 243M 0 part /boot ├─sda2 8:2 0 1K 0 part └─sda5 8:5 0 232,7G 0 part └─sda5_crypt 254:0 0 232,7G 0 crypt ├─lemmy--vg-root 254:1 0 28G 0 lvm / ├─lemmy--vg-swap_1 254:2 0 5,7G 0 lvm [SWAP] └─lemmy--vg-home 254:3 0 152,7G 0 lvm /home D.h. hier mit /boot separat, was ich auch sinnvoll finde, ich meine die dadurch preisgegebenen Informationen sind ein akzeptabler Kompromiss. Die zweite Partition (ja, logisches Laufwerk in erweiterter Partition) wird dann komplett verschlüsselt und da drin kommt dann das LVM. RAID würde ich hier auch noch vor das crypt hängen, das soll ja bei Ausfall einer Platte noch praktikabel bleiben. Also wie hier schon vorgeschlagen: HD → RAID → Crypto → LVM. Man kann auch Crypto und LVM tauschen, hatte ich hier auch schon laufen, fand es aber tatsächlich nervig dann für 5 Volumes ein Passwort einzugeben, statt nur für eine Partition. > Kann die Variante RAID --> LVM > --> dmcrypt überhaupt funktionieren bzw. wird sie in der Praxis häufig > verwendet? Ansonsten wäre es wohl ratsam, die Reihenfolge der Menueinträge > zu vertauschen. Funktionieren tut beides. Ich meine /etc/crypttab wird beim Boot mehrfach durchlaufen, das geht schon. > > Mir wurde berichtet, dass das mittlerweile auch ohne separates /boot > > geht, aber da kann ich keine eigenen Erfahrungen beisteuern. > Das wollte ich heute eigentlich auch probieren, war dann aber doch zu > schnell und habe wieder ein separates /boot eingerichtet. Diesmal bin ich > tatsächlich nach der bewährten Methode sd[ab]2 --> md1 --> dmcrypt --> LVM > vorgegangen. Grub habe ich dann erst in den MBR von sda und dann in den von > sdb schreiben lassen, denn das System soll ja von beiden Partitionen aus > starten können. Nach dem Neustart lande ich dann wegen "error: disk > 'mduuid/e411…' not found" im Rescue mode. Hmm, wo liegt Dein /boot denn dann? Auf md1 ja vermutlich nicht? Ist /boot ein RAID-1 über sd[ab]1 oder noch was anderes? Grub in den MBR von sda _und_ sdb zu schreiben ist auf jeden Fall sinnvoll. Aber ich muss auch zugeben, das alles korrekt manuell im Installer hinzukonfigurieren, fand ich immer etwas tricky. > Mit ls sehe ich die vorhandenen Partitionen: > > (hd0) (hd0,msdos2) (hd0,msdos1) --> entspricht sda > (hd1) (hd1,msdos2) (hd1,msdos1) --> entspricht sdb > (hd2) (hd2.msdos5) (hd2,msdos2) (hd2,msdos1) --> die alte Platte > (md/1) (md/0) (fd0) > > Mit "ls (hd2,msdos[125])/" bekomme ich, wie erwartet, den Inhalt der alten > Platte zu sehen. Das gleiche auf (hd0) und (hd1) angewandt ergibt stets -- > nichts. Für (hd0,1) wird immerhin "Filesystem is ext2" angezeigt (ist aber > leer), für (hd0,2) erhalte ich nur "error: unknown filesystem". Bei mdadm bzw. Linux Software RAID kommt es kommt auch auf das Format der Metadaten an. Mit Format Version 0.9 kann man wohl auch eine Partition unabhängig vom RAID lesen, zumindest für frühere Versionen von Grub war das nötig, wenn man von einem RAID-1 booten wollte, d.h. der bootete dann nicht von md0 sondern quasi von sda1 oder sdb1. > Scheinbar ist die Installation korrekt durchgelaufen, anscheinend ist dabei > aber doch etwas schiefgegangen. Wahrscheinlich habe ich noch etwas übersehen > -- nur was? Ich verstehe ja, dass grub nicht in verschlüsselte Partitionen > mit LVM schauen kann, aber zumindest unter /boot müsste doch etwas zu sehen > sein. Oder funktioniert das nicht, weil diese Partition auch Teil eines > Software-RAID ist, für das grub keine Treiber laden konnte? Also ein modernes Grub kann wohl von RAID booten, auch von neuerem. Kann aber sein, dass Grub das dann auch wissen muss, dass er das tun soll. Ich leg zumindest ein RAID-1 für /boot immernoch mit v0.9 an, und für die weiteren md devices lass ich mdadm dann entscheiden, aktuell nimmt der dann wohl v1.2 dafür. Grüße Alex -- /"\ ASCII RIBBON | »With the first link, the chain is forged. The first \ / CAMPAIGN | speech censured, the first thought forbidden, the X AGAINST | first freedom denied, chains us all irrevocably.« / \ HTML MAIL | (Jean-Luc Picard, quoting Judge Aaron Satie)
Attachment:
signature.asc
Description: PGP signature