Fragen zur Verschlüsselung der zweiten Festplatte
Verfasst: 24.03.2017 18:15:06
Situation:
Debian-Jessie-8.6.0-amd64.
Rechner vorhanden mit erster Festplatte (unverschlüsselte „/boot-Partition“ und Rest der Platte als verschlüsselte LVM-Partition mit „/root“, „/swap“ und „/home“).
Hinzu kommt jetzt eine zweite 4.0 TB große Festplatte als Datenlager/Arbeitsplatz.
Da das Grundsystem verschlüsselt angelegt ist, soll die neue Festplatte ebenfalls verschlüsselt werden.
Angedacht ist eine Verschlüsselung der Platte mittels LUKS-Modus.
Im Laufe der Recherchen dazu, sind jedoch ein paar Fragen aufgetaucht, die ich gerne beantwortet hätte.
Frage-1:
Wenn ich das recht verstanden habe, kann ich die Festplatte einfach als ganzes komplett per dm-crypt und LUKS verwenden, ohne vorher eine Partition (über die gesamte Größe) anlegen zu müssen.?
Also
statt extra eine Partition anzulegen und dann per
Gibt es irgendwelche Vor- Nachteile bei den jeweiligen Methoden.?
Zusatzfrage:
Festplatte hat Sektorgröße von (logical/physikal) 512 bytes / 4096 bytes,
und I/O-Size (minimal/optimal) 4096 bytes / 4096 bytes
Wenn ich jetzt die komplette Platte (ohne Partition) verwende (/dev/sdb), fängt er ja direkt am Plattenanfang beim Offset 0 an. Damit sollte es ja auch mit dem Alignment/Ausrichtung wieder passen.?
Weiter per...
Frage-2:
Standardmäßig verwendet er ja 5% für root. Bei formatierten 3.7 TiB wären dass rund 190 GiB. Gibt es einen Einsatzzweck, der solche Größen rechtfertigt, oder sollte man den Platz dafür per Parameter m begrenzen. Z.B. auf 75GiB (2%).?
Weiter per...
Da ich in einigen (älteren) Beiträgen gelesen habe, daß es mit der Schlüsselableitung und systemd Probleme geben kann, habe ich mich entschlossen einen weiteren Slot von LUKS mit einem Keyfile zu belegen, zur automatischen Einbindung der zweiten Festplatte beim Systemstart.
Die „normale“ /etc/crypttab und /etc/fstab müßten dann imo wie folgt am Ende erzänzt werden...
Frage-3a:
Wenn ich jetzt hergehen möchte, und die zweite Platte nicht gleich am Anfang einbinden will, sondern automatisch erst dann, wenn ein Zugriff darauf erfolgt,...
Passt das so.? Laut dem, was ich gefunden habe sollte zumindest die fstab das automount beim Zugriff gehen. Die Frage, ist aber, ob die crypttab-Zeile so korrekt ist, oder ob für das Automount in der fstab die Platte bereits entschlüsselt vorliegen muss. Ich sie also beim Start des Systems auf jeden Fall schon entschlüsseln muss.
Frage-3b:
Bezüglich fstab lese ich in einigen Beiträgen z.B. von Options-Angaben wie (nur als Beispiel):
In anderen Beiträgen lese ich hingegen, und auch nach meinem Verständnis müsste es aber heißen
Da noauto und user die Standardvorgeben in default überschreiben sollen, und deshalb danach kommen müssten. Oder ist es egal, in welcher Reihenfolge die Optionsangaben gemacht werden.?
Frage-4:
Ich hätte vor, die zweite Festplatte in ein Unterverzeichnis von /home einzubinden („/home/datenort“). Sollte eigentlich soweit ich das verstanden habe, möglich sein, soweit das Verzeichnis „/home/datenort“ zuvor existiert.
Oder ist es (aus mir noch unbekannten Gründen) doch besser, die zweite Festplatte auf /media oder /mnt einzubinden.?
Frage-5:
Beim Herunterfahren muß ich die Platte ja nicht aushängen, und abschließen.? Das System sollte das, wenn ich es recht gelesen habe, ja -wie beim LVM auch- selbstständig machen.
Besten Dank, Gruß
bluecat
Debian-Jessie-8.6.0-amd64.
Rechner vorhanden mit erster Festplatte (unverschlüsselte „/boot-Partition“ und Rest der Platte als verschlüsselte LVM-Partition mit „/root“, „/swap“ und „/home“).
Hinzu kommt jetzt eine zweite 4.0 TB große Festplatte als Datenlager/Arbeitsplatz.
Da das Grundsystem verschlüsselt angelegt ist, soll die neue Festplatte ebenfalls verschlüsselt werden.
Angedacht ist eine Verschlüsselung der Platte mittels LUKS-Modus.
Im Laufe der Recherchen dazu, sind jedoch ein paar Fragen aufgetaucht, die ich gerne beantwortet hätte.
Frage-1:
Wenn ich das recht verstanden habe, kann ich die Festplatte einfach als ganzes komplett per dm-crypt und LUKS verwenden, ohne vorher eine Partition (über die gesamte Größe) anlegen zu müssen.?
Also
Code: Alles auswählen
cryptsetup --cipher=aes-xts-plain64 --key-size=512 --hash=sha512 --iter-time=5000 --verify-passphrase luksFormat /dev/sdb
Code: Alles auswählen
cryptsetup --cipher=aes-xts-plain64 --key-size=512 --hash=sha512 --iter-time=5000 --verify-passphrase luksFormat /dev/sdb1
Zusatzfrage:
Festplatte hat Sektorgröße von (logical/physikal) 512 bytes / 4096 bytes,
und I/O-Size (minimal/optimal) 4096 bytes / 4096 bytes
Wenn ich jetzt die komplette Platte (ohne Partition) verwende (/dev/sdb), fängt er ja direkt am Plattenanfang beim Offset 0 an. Damit sollte es ja auch mit dem Alignment/Ausrichtung wieder passen.?
Weiter per...
Code: Alles auswählen
cryptsetup luksOpen /dev/sdb data_crypt
mkfs.ext4 /dev/mapper/data_crypt
Standardmäßig verwendet er ja 5% für root. Bei formatierten 3.7 TiB wären dass rund 190 GiB. Gibt es einen Einsatzzweck, der solche Größen rechtfertigt, oder sollte man den Platz dafür per Parameter m begrenzen. Z.B. auf 75GiB (2%).?
Weiter per...
Da ich in einigen (älteren) Beiträgen gelesen habe, daß es mit der Schlüsselableitung und systemd Probleme geben kann, habe ich mich entschlossen einen weiteren Slot von LUKS mit einem Keyfile zu belegen, zur automatischen Einbindung der zweiten Festplatte beim Systemstart.
Code: Alles auswählen
cryptsetup --iter-time=5000 luksAddKey /dev/sdb /home/key.img
Code: Alles auswählen
crypttab:
data_crypt UUID=12345-1234-12345-12345678 /home/key.img luks
fstab:
/dev/mapper/data_crypt /home/data ext4 defaults 0 2
Wenn ich jetzt hergehen möchte, und die zweite Platte nicht gleich am Anfang einbinden will, sondern automatisch erst dann, wenn ein Zugriff darauf erfolgt,...
Code: Alles auswählen
crypttab:
data_crypt UUID=12345-1234-12345-12345678 /home/key.img luks,noauto
fstab:
/dev/mapper/data_crypt /home/data ext4 defaults,noauto,x-systemd.automount 0 2
Frage-3b:
Bezüglich fstab lese ich in einigen Beiträgen z.B. von Options-Angaben wie (nur als Beispiel):
Code: Alles auswählen
noauto,user,defaults
Code: Alles auswählen
defaults,noauto,user
Frage-4:
Ich hätte vor, die zweite Festplatte in ein Unterverzeichnis von /home einzubinden („/home/datenort“). Sollte eigentlich soweit ich das verstanden habe, möglich sein, soweit das Verzeichnis „/home/datenort“ zuvor existiert.
Oder ist es (aus mir noch unbekannten Gründen) doch besser, die zweite Festplatte auf /media oder /mnt einzubinden.?
Frage-5:
Beim Herunterfahren muß ich die Platte ja nicht aushängen, und abschließen.? Das System sollte das, wenn ich es recht gelesen habe, ja -wie beim LVM auch- selbstständig machen.
Besten Dank, Gruß
bluecat