Hallo,

System Linux Mint 14 x64

ich habe ein Problem oder vielleicht einen Denkfehler.

Ich habe insgesamt 5 Festplatten in meinem Rechner.

Die erste Platte ist in einer Volumen Group (vg1) mit insgesamt 4 Logical Volumes verschlüsselt. (aes-xts-plain)
Booten und abfrage des PWD funktionieren perfekt.

Die übrigen 4 Festplatten würde ich jetzt gerne auch mit dm-crypt verschlüsseln und dabei auf den Schlüssel der vg1 zugreifen, so dass ich nicht immer für jedes Laufwerk die PWDs eingeben muss.
Ich möchte aber auch nicht die 4 PVs der vg1 zu einem riesigem VG zusammenfügen bzw. möchte ich dies nicht, da ich gelesen habe, dass wenn dann eines von den 5PVs ausfällt alles futsch ist.

Frage 1)
(ist dies richtig) bei einer riesigen VG und dem Verlust einer Festplatte daraus, dürfte ohne ein Backup doch der gesamte Inhalt der VG unbrauchbar sein?

Frage 2)
Gibt es eine andere Möglichkeit, alle anderen Festplatten mit dem selben PWD wie mit dem der VG1 zu verschlüsseln und quasi nur einmal beim Start das PWD eingeben zu müssen. Ohne das beim Verlust einer Platte direkt die Daten aller Platten futsch sind?

geht das irgendwie?

Gruss
Micha

zu 1) ja, der verlust eines pvs eines quasi raid0 ist der tot der daten darauf... backup unbedingt mit einplanen

zu 2) eine möglichkeit könnte sein, dass ein verschlüsseltes keyfile verwendet wird, und das passwort des keyfiles den key preisgibt, wie das aber einzurichten ist, weiß ich nicht.

erster Denkansatz:
hatte eventuell daran gedacht, für jede Festplatte eine VG zu erstellen.
dies wäre ja auch kein Problem, nur dann wäre da ja wieder das Problem, dass ich 5 mal das PWD eingeben muss, da ja dann jedes PV ein PWD bekommen würde. Dies möchte ich aber wenn möglich vermeiden.
Ein Keyfile wäre nicht schlecht, jedoch beim Ausfall des Laufwerks mit dem Keyfile wären dann die Daten ja auch wieder futsch....., auf einen USB Stick die Files zwischenspeichern möchte ich nicht.

oder zweiter Denkansatz:
die 4 Festplatten alle der vg1 zufügen aber darauf achten, das jede HD zu 100% als ein LV formatiert wird. Somit würden die Daten dann nicht in der VG verteilt werden. Geht dies?

Es muss doch irgend eine Möglichkeit geben?

LG
Micha

warum denn kein raid5 oder raid6 und darauf dann das verschlüsselte pv machen? ein backup muss natürlich trotzdem regelmäßig her

LUKS kann auch mehrere Passwörter verwalten.
Du könntest also die Platten per Keyfile entschlüsseln, und für den Fall der Fälle auch noch ein Passwort vergeben, worüber Du beim Ausfall des Devices mit dem Keyfile immernoch an die Daten kommen würdest.

Ich hatte es irgendwann mal so eingerichtet, dass beim Anstecken eines bestimmten USB-Sticks die Platten entschlüsselt und eingebunden wurden.
Mit ein bisschen udev-Magie ist das nicht das Thema. ;)

Und eben - wie gesagt - ein Passwort für den Fall, dass der Stick kaputt geht, das Keyfile gelöscht wird, ...

hm...dann könnte ich aber doch auch die Keyfiles auf die schon verschlüsselte platte legen? und wie vorgeschlagen noch ein normales PWD für den Fall der Fälle als Backup verwenden?

dachte immer es würde nur entweder oder geben, mir war nicht bewusst, dass ich sowohl ein Keyfile als auch ein PWD vergeben kann.

Wäre doch eine Möglichkeit oder???

Hi,

du kannst sowohl ein Keyfile als auch ein Passwort vergeben (mache ich bei mir). Ich habe "/" verschlüsselt sowie zwei weitere Partitionen (eine Raid1-Partition sowie eine normal). Die beiden letztgenannten werden automatisch entschlüsselt, sobald "/" entschlüsselt wurde. Da Mint ja sehr ähnlich zu Ubuntu ist, könnte der folgende Link für dich interessant sein:

http://wiki.ubuntuusers.de/LUKS/Schl%C3%BCsselableitung

Sollte die erste Platte den Geist aufgeben, kann ich immer noch per Passwort auf die beiden anderen Platten zugreifen.

-hanky-

P.S.: LUKS kennt übrigens insgesamt bis zu acht Slots die du für Passwörter/Keyfiles verwenden kannst.