Partitions Layout mit Software Raid und Encryption

Re(10): Partitions Layout mit Software Raid und Encryption

Testpilot — Sat, 08 Sep 2012 11:10:29 GMT

Mir fehlen halt so Sachen wie Update Notifications oder eine brauchbare Netzwerkconfig.

Da ich mit der Partitionierung under Debian* z.z. eh nicht zurecht kommt bleibt mit atm eh nur Fedora/Centos. Wobei es bis jetzt so richtig nur in Centos funktioniet hat. Fedora 16 hab ich noch nicht probiert.

Re(9): Partitions Layout mit Software Raid und Encryption

A national Acrobat — Sat, 08 Sep 2012 10:21:44 GMT

Xfce ist halt teilw. sehr, wie soll man sagen, traurig.

Also ich steh auf den XFCE, afaik bester Desktop momentan unter Linux.
Man sollte sich nur die GNOME Services dazuinstallieren, dann wirds wirklich sehr userfriendly.

Re(9): Partitions Layout mit Software Raid und Encryption

kombipaket — Fri, 07 Sep 2012 15:37:36 GMT

Disk load sollte eigentlich gering sein, ab und an Musik hören o.Ä.

Dann Swappiness sehr nahe bei 0.

Re(8): Partitions Layout mit Software Raid und Encryption

Testpilot — Fri, 07 Sep 2012 14:52:17 GMT

Vorab: Kenne mich nur mit Debian aus...

Ich würde ihn installieren lassen und mich vor dem Reboot selbst um den MBR
kümmern... Notfalls nach dem reboot mit einer Rescue CD hochfahren und
händisch agieren.

Plymouth kenne ich gar nicht - probier mal GRUB aus oder LILO, wenn angeboten.

Ok, funktioniert doch. Wenn ich den boot loader nach /dev/sda1 schreiben lasse (anstatt /dev/md0) lässt sich die Installation beenden. Entferne ich eine Platte und boote von einer anderen fährt das system hoch.

Den Default - gnome3. Du wolltest XFCE, oder? Gibt es jedenfalls.

[tab] desktop = xfce Aber ich bin da noch nicht sold. Xfce ist halt teilw. sehr, wie soll man sagen, traurig.

Yup. Default ist 60.
Wenn höher, will er mehr Swappen (um mehr Memory für Buffer freizubekommen).
Wenn niedriger, will er weniger Swappen (auf Kosten von Buffern).

Bei deinem Anwendungsfall wissen wir, dass
- SWAP immer teuer ist (weil crypt)
- andere Diskzugriffe "nur" oft teuer sind (weil nicht alles gecrypted).

Daher würde ich aus dem Bauch raus vermuten, dass Swappen nachteilig ist.
Ausser natürlich wenn [fast] alle deine Diskzugriffe auf crypted Files
losgehen - dann kann Buffer schon wieder praktisch sein.

Disk load sollte eigentlich gering sein, ab und an Musik hören o.Ä.

Re(7): Partitions Layout mit Software Raid und Encryption

kombipaket — Thu, 06 Sep 2012 21:00:12 GMT

Ok das funktioniert bei F17 schon mal nicht Layout (1) Fehler (2) wenn ich
nach md0 installiere.
Gibts da noch andere möglichkeite ? Händisch auf /dev/sdb1 /dev/sdc1 schreiben
?

Vorab: Kenne mich nur mit Debian aus...

Ich würde ihn installieren lassen und mich vor dem Reboot selbst um den MBR kümmern... Notfalls nach dem reboot mit einer Rescue CD hochfahren und händisch agieren.

Plymouth kenne ich gar nicht - probier mal GRUB aus oder LILO, wenn angeboten.

Was verndest du als Desktop environment ?

Den Default - gnome3. Du wolltest XFCE, oder? Gibt es jedenfalls.

swappiness = wie viel geswapped wird vermute ich ?

Yup. Default ist 60.
Wenn höher, will er mehr Swappen (um mehr Memory für Buffer freizubekommen). Wenn niedriger, will er weniger Swappen (auf Kosten von Buffern).

Bei deinem Anwendungsfall wissen wir, dass
- SWAP immer teuer ist (weil crypt)
- andere Diskzugriffe "nur" oft teuer sind (weil nicht alles gecrypted).

Daher würde ich aus dem Bauch raus vermuten, dass Swappen nachteilig ist. Ausser natürlich wenn [fast] alle deine Diskzugriffe auf crypted Files losgehen - dann kann Buffer schon wieder praktisch sein.

Re(6): Partitions Layout mit Software Raid und Encryption

Testpilot — Thu, 06 Sep 2012 20:49:46 GMT

Yup.

Ok das funktioniert bei F17 schon mal nicht Layout (1) Fehler (2) wenn ich nach md0 installiere.
Gibts da noch andere möglichkeite ? Händisch auf /dev/sdb1 /dev/sdc1 schreiben ?
Habs vorher auch mit einem Debian probiert, da wurde der bootloader auch auf /dev/sda1 geschrieben. Kann aber sein das ich da im installer vielleicht nicht aufgepasst habe.

1: http://f.666kb.com/i/c71888q9e2h37gtcv.png
2: http://f.666kb.com/i/c7189j1b0x8ao29b3.png

Wheezy ist echt fein - habe ich seit langem im Einsatz.

Was verndest du als Desktop environment ?

Ich würde übrigens so wie andere hier _keinesfalls_ alles verschlüsseln,
sondern nur
/etc [ auch nur eventuell ]
/usr/local
/home
SWAP

Weil SWAP seeehr langsam sein wird, würde ich mich mit der swappiness
rumspielen - so von den 60 runter Richtung 0-10 ... SWAP sollte encrypted nie
verwendet werden und IMHO dann wirklich nur für Notfälle da sein.

Das mit der enrcyption werd ich wohl noch evaluieren müssen. Es handelt sich aber derzeit eh nur um ein Testsystem. Eigentlich will ich dann mal die Hardware (motherboard) wechseln und schauen ob das Teil noch bootet.

Re(6): Partitions Layout mit Software Raid und Encryption

Testpilot — Thu, 06 Sep 2012 20:49:46 GMT

Yup.

Wheezy ist echt fein - habe ich seit langem im Einsatz.

Was verndest du als Desktop environment ?

Ich würde übrigens so wie andere hier _keinesfalls_ alles verschlüsseln,
sondern nur
/etc [ auch nur eventuell ]
/usr/local
/home
SWAP

Weil SWAP seeehr langsam sein wird, würde ich mich mit der swappiness
rumspielen - so von den 60 runter Richtung 0-10 ... SWAP sollte encrypted nie
verwendet werden und IMHO dann wirklich nur für Notfälle da sein.

Re(5): Partitions Layout mit Software Raid und Encryption

kombipaket — Thu, 06 Sep 2012 20:21:13 GMT

Frostschutzens Beiträge sind jedenfalls sehr gut!

Wäre diese Vorgehensweise richtig ? 3x 250 MB Raid 1 als /boot und den
bootloader dann auf md0 und den rest auf md1 ?

Yup.

Eigentlich mag ich aber Debian am liebsten, allerdings hat stable so alte
Pakete/Kernel. Bleibt fast nur testing übrig.

Wheezy ist echt fein - habe ich seit langem im Einsatz.

Die Linux Performance von einem aktuelle Ubuntu ist sowieso schon unter alles
Sau, da kommts da auch nicht mehr drauf an.

Dann passt was nicht (möglicherweise Ubuntu). Klatsch Debian drauf .

Ich würde übrigens so wie andere hier _keinesfalls_ alles verschlüsseln, sondern nur
/etc [ auch nur eventuell ]
/usr/local
/home
SWAP

Weil SWAP seeehr langsam sein wird, würde ich mich mit der swappiness rumspielen - so von den 60 runter Richtung 0-10 ... SWAP sollte encrypted nie verwendet werden und IMHO dann wirklich nur für Notfälle da sein.

Re(5): Partitions Layout mit Software Raid und Encryption

A national Acrobat — Thu, 06 Sep 2012 20:09:42 GMT

Verschlüsselst du da den Ordner oder schon beim Setup ein eigenes Volume für
/etc und das als encrypted anlegen ? Und wie schauts da mit dem entsperren
aus, wo gibt man da den key ein ?

Also da ist der ganze Ordner verschlüsselt via cryptsetup.

Du kannst Dir eine /etc/crypttab anlegen wo Du einen Key hinterlegst:
# target name source device         key file      options
lun000  /dev/vgB/lv01           none    noauto
lun001  /dev/vgB/lv02           none    noauto

Re(4): Partitions Layout mit Software Raid und Encryption

Testpilot — Thu, 06 Sep 2012 19:47:28 GMT

Es stellt sich halt da die Frage wozu man alles verschlüsseln will, /usr z.B.
hast ja eh hauptsächlich Programme drinnen die von der Distri kommen - die
sind ja eh überall bekannt und da ist das verschlüsseln imo sinnlos.

Das stimmt natürlich schon.

Bei /etc siehts natürlich anders aus, da stehn ja u.U. Passwörter oder so im
Klartext drinnen (kommt natürlich auf das Service an).

Verschlüsselst du da den Ordner oder schon beim Setup ein eigenes Volume für /etc und das als encrypted anlegen ? Und wie schauts da mit dem entsperren aus, wo gibt man da den key ein ?

Re(4): Partitions Layout mit Software Raid und Encryption

Testpilot — Thu, 06 Sep 2012 19:45:20 GMT

Du kannst beliebig Partitionieren und Partitionen zu RAID zusammenfassen. Wenn
der GUI-Installer das nicht hinbekommt musst du dir halt überlegen, ob du auf
die Kommandozeile wechselst oder eben mit den Einschränkungen des Installers
auskommst... oder dich nach einer anderen Alternative umschaust.

Wäre diese Vorgehensweise richtig ? 3x 250 MB Raid 1 als /boot und den bootloader dann auf md0 und den rest auf md1 ?

Bei Ubuntu z.B. gibts eine Alternate CD mit der man eigene RAID-/Crypt-Setups
basteln kann. Bin da allerdings selber kein großer Fan von, da die
Alternate-CD mir auch schon Partitionen gebastelt hat die nicht richtig
aligned waren usw. Mit den Installern der meisten anderen Distros kenne ich
mich auch nicht aus. Ich ziehs vor das selber anzulegen und dann von Hand zu
installieren (bei Debian mit debootstrap, bei Ubuntu dann mit der normalen
Install-CD).

Bei der Frage der Distribution bin ich auch noch nicht sold. Unity mag ich nicht, Gnome 3 auch nicht (aber schon eher), am liebsten ist mir xfce ein bisschen gepimped wie es eben bei xbuntu ist. Eigentlich mag ich aber Debian am liebsten, allerdings hat stable so alte Pakete/Kernel. Bleibt fast nur testing übrig.

Höchstens eine Anleitung zum Initramfs selber machen:

http://en.gentoo-wiki.com/wiki/Initramfs

Ist halt Gentoo-spezifisch, aber das Prinzip ist auf anderen Distris auch das
gleiche...

Eine fertige Lösung (für mein Setup) ist mir noch nicht untergekommen, die
meisten Leute machen halt eine Standard-Cryptsetup-Installation und fertig,
reicht ja auch erstmal... für Anfänger / Einsteiger sicher auch die bessere
Methode, sich erstmal an erprobte Setups zu halten ehe man was eigenes
strickt.

Klar, hab auch nur interessehalber gefragt.

Da du im anderen Beitrag nach Performanz gefragt hast: Entweder man braucht
Verschlüsselung oder man braucht sie nicht; wenn du sie brauchst ist
Performanz egal ist aber auf aktuellen Intel-CPUs mit AES-NI eigentlich
kein Thema mehr. Auf älteren muss man halt damit leben, daß die Platten keine
100MB/s mehr liefern.

Because i can Nein ist noch ein alter Core 2 Duo. Die Linux Performance von einem aktuelle Ubuntu ist sowieso schon unter alles Sau, da kommts da auch nicht mehr drauf an.

Re(3): Partitions Layout mit Software Raid und Encryption

frostschutz — Thu, 06 Sep 2012 19:13:59 GMT

wenn ich ein raid device anlege kann ich allerdings keine partionsgröße
angeben. Wie ist da die richtige Vorgehensweise ?

Du kannst beliebig Partitionieren und Partitionen zu RAID zusammenfassen. Wenn der GUI-Installer das nicht hinbekommt musst du dir halt überlegen, ob du auf die Kommandozeile wechselst oder eben mit den Einschränkungen des Installers auskommst... oder dich nach einer anderen Alternative umschaust.

Bei Ubuntu z.B. gibts eine Alternate CD mit der man eigene RAID-/Crypt-Setups basteln kann. Bin da allerdings selber kein großer Fan von, da die Alternate-CD mir auch schon Partitionen gebastelt hat die nicht richtig aligned waren usw. Mit den Installern der meisten anderen Distros kenne ich mich auch nicht aus. Ich ziehs vor das selber anzulegen und dann von Hand zu installieren (bei Debian mit debootstrap, bei Ubuntu dann mit der normalen Install-CD).

Definitiv das pro setup. Hast du da zufällig einen Guide ?

Höchstens eine Anleitung zum Initramfs selber machen:

http://en.gentoo-wiki.com/wiki/Initramfs

Ist halt Gentoo-spezifisch, aber das Prinzip ist auf anderen Distris auch das gleiche...

Eine fertige Lösung (für mein Setup) ist mir noch nicht untergekommen, die meisten Leute machen halt eine Standard-Cryptsetup-Installation und fertig, reicht ja auch erstmal... für Anfänger / Einsteiger sicher auch die bessere Methode, sich erstmal an erprobte Setups zu halten ehe man was eigenes strickt.

Man kann bei Verschlüsselung auch leicht seine Daten verlieren wenn man nicht versteht was da passiert; muß man auch bedenken.

Da du im anderen Beitrag nach Performanz gefragt hast: Entweder man braucht Verschlüsselung oder man braucht sie nicht; wenn du sie brauchst ist Performanz egal ist aber auf aktuellen Intel-CPUs mit AES-NI eigentlich kein Thema mehr. Auf älteren muss man halt damit leben, daß die Platten keine 100MB/s mehr liefern.

Re(3): Partitions Layout mit Software Raid und Encryption

A national Acrobat — Thu, 06 Sep 2012 19:07:32 GMT

Also z.B. /home auf das crypto raid whatever und das nach dem logon mounten ?
Ob alles oder nur teile verschlüsseln ist aber imo so eine Geschmacksfrage.
Ich kenn mich allerdings auch zu wenig aus und verschlüssle deshalb alles weil
wer weiß wo jemand der sich wirklich auskennt noch interessante Sachen
abgreifen kann (bezogen auf / unverschlüsselt lassen). Oder bringt das
Performance technisch was ?

Bei Schreibzugriffen oder wenn Du es performant machen willst, wirst sicherlich bisserl was merken wenn du alles verschlüsselst - vor allem Swap.

Es stellt sich halt da die Frage wozu man alles verschlüsseln will, /usr z.B. hast ja eh hauptsächlich Programme drinnen die von der Distri kommen - die sind ja eh überall bekannt und da ist das verschlüsseln imo sinnlos.

Bei /etc siehts natürlich anders aus, da stehn ja u.U. Passwörter oder so im Klartext drinnen (kommt natürlich auf das Service an).

Ich persönlich hab bei mir nur meine Daten verschlüsselt (Fileserver), System nicht und nur /etc noch dazu.

Re(2): Partitions Layout mit Software Raid und Encryption

Testpilot — Thu, 06 Sep 2012 18:04:26 GMT

Du kannst / natürlich verschlüsseln, ich würde allerdings nur meine Daten
verschlüsseln und nicht das ganze System, oder halt zusätzlich deine
Configdateien.

Also z.B. /home auf das crypto raid whatever und das nach dem logon mounten ? Ob alles oder nur teile verschlüsseln ist aber imo so eine Geschmacksfrage. Ich kenn mich allerdings auch zu wenig aus und verschlüssle deshalb alles weil wer weiß wo jemand der sich wirklich auskennt noch interessante Sachen abgreifen kann (bezogen auf / unverschlüsselt lassen). Oder bringt das Performance technisch was ?

Re(2): Partitions Layout mit Software Raid und Encryption

Testpilot — Thu, 06 Sep 2012 18:01:22 GMT

Bei RAID sollte /boot auch ein RAID sein (RAID 1 über 3 Festplatten) und Grub
auf jeder Platte installiert sein. Dann bootet die Kiste auch noch wenn eine
Platte stirbt. Bei dir nicht der Fall (wenns die einzige Platte mit /boot
erwischt).

Genau darum gehts mir, basierend auf dem Guide oben, wenn ich ein raid device anlege kann ich allerdings keine partionsgröße angeben. Wie ist da die richtige Vorgehensweise ? Statt auf einer Platte eine Raid Partition anzulegen zwei anlegen ? Also auf jeder Platte 250 MB für Boot, das ganze zu einem Raid 1 zusammenfassen und aus dem rest ein zweites raid mit lvm für swap und / ? Und den Boot Loader dann auf md0 schreiben lassen ?

Die RAID-md* sind dann verschlüsselt mit zufällig erzeugten Keyfiles. Die
Keyfiles wiederum liegen in einem verschlüsselten Container (LUKS-Loopfile)
auf /boot. Beim Booten wird dann nach einem Passwort gefragt, das den
Container aufmacht, und die Keyfiles darin machen wiederum die RAID-md* auf.

Wer also in meiner Abwesenheit am PC einen HW-Keylogger anklemmt hat von dem
mitgeloggten Passwort nichts, es sei denn er zieth sich auch gleich noch eine
Kopie vom USB-Stick. Da man für die Festplatten ja kein Passwort sondern die
Keyfiles braucht.

Auf dem USB-Stick sind dann auch gleich noch ein paar Linux-Live-CDs für
etwaige Reparaturarbeiten oder wenn man irgendwo unterwegs Zugriff auf einen
Rechner hat und den mit einem Reboot für die Dauer der Benutzung ins Linux
schicken will...

Definitiv das pro setup. Hast du da zufällig einen Guide ?

Re: Partitions Layout mit Software Raid und Encryption

frostschutz — Thu, 06 Sep 2012 17:50:52 GMT

Bei RAID sollte /boot auch ein RAID sein (RAID 1 über 3 Festplatten) und Grub auf jeder Platte installiert sein. Dann bootet die Kiste auch noch wenn eine Platte stirbt. Bei dir nicht der Fall (wenns die einzige Platte mit /boot erwischt).

Das RAID (außer /boot) kann dann mit cryptsetup/LUKS verschlüsselt werden. Darauf dann LVM und du kannst die LVs anlegen die du brauchst (root, swap, home, ...). Das ist dann die komplette Verschlüsselung (boot ausgenommen).

Bei mir sieht es noch etwas anders aus: Mein /boot ist ein USB-Stick am Schlüsselbund. Läßt sich schwerer kompromittieren als eine Boot-Partition auf der Festplatte.

Die Festplatten sind dann in 250GB-Partitionen aufgeteilt die jeweils ein RAID 5 bilden. Da ein RAID-Resync oder -Check über mehrere Terabyte einfach viel zu lange dauert, mit Partitionen ist das leichter zu verdauen. LVM fasst den verfügbaren Speicherplatz dann ja sowieso wieder zusammen, so daß man bei der Platzvergabe an die Dateisysteme keine Nachteile deswegen hat.

Die RAID-md* sind dann verschlüsselt mit zufällig erzeugten Keyfiles. Die Keyfiles wiederum liegen in einem verschlüsselten Container (LUKS-Loopfile) auf /boot. Beim Booten wird dann nach einem Passwort gefragt, das den Container aufmacht, und die Keyfiles darin machen wiederum die RAID-md* auf.

Wer also in meiner Abwesenheit am PC einen HW-Keylogger anklemmt hat von dem mitgeloggten Passwort nichts, es sei denn er zieth sich auch gleich noch eine Kopie vom USB-Stick. Da man für die Festplatten ja kein Passwort sondern die Keyfiles braucht.

Auf dem USB-Stick sind dann auch gleich noch ein paar Linux-Live-CDs für etwaige Reparaturarbeiten oder wenn man irgendwo unterwegs Zugriff auf einen Rechner hat und den mit einem Reboot für die Dauer der Benutzung ins Linux schicken will...

Re: Partitions Layout mit Software Raid und Encryption

A national Acrobat — Thu, 06 Sep 2012 17:45:19 GMT

Jetzt zu meinen Fragen, es sieht so aus als ob ich die /boot patition nicht in
einem lvm anlegen kann, was dazu führt das /boot jetzt auf sda liegt, sollte
diese platte also defekt werden wird die boot partition nicht
wiederhergestellt. Wie macht man das richtig ?

Bei /boot bleibt einem (grub2 vorausgesetzt) nur den Weg von einem Mirror. Von allem anderen kann grub2 nicht booten afaik.

Zur crypto, /boot lässt man unverschlüsselt, swap und / wird verschlüsselt
oder ?

Du kannst / natürlich verschlüsseln, ich würde allerdings nur meine Daten verschlüsseln und nicht das ganze System, oder halt zusätzlich deine Configdateien.

Partitions Layout mit Software Raid und Encryption

Testpilot — Thu, 06 Sep 2012 17:34:31 GMT

Hallo, stehe zur zeit ewtas an. Ich würde gerne eine Software Raid 5 mit 3 Platten erstellen, und das ganze noch encryped.
Größtenteils habe ich mich an diesen Guide (1) gehalten, mit dem Unterschied das ich die Raid Partitions mit fixed size formatiert habe. Alles andere hat zu einem Fehler geführt.

Mein aktuelles Partitionslayout sieht so aus (2), es fährt sogar hoch, was mich sehr verwundert.
Jetzt zu meinen Fragen, es sieht so aus als ob ich die /boot patition nicht in einem lvm anlegen kann, was dazu führt das /boot jetzt auf sda liegt, sollte diese platte also defekt werden wird die boot partition nicht wiederhergestellt. Wie macht man das richtig ?

Zur crypto, /boot lässt man unverschlüsselt, swap und / wird verschlüsselt oder ?
Danke für eure Tipps!

1: http://www.optimiz3.com/installing-fedora-11-and-setting-up-a-raid-0-1-5-6-or-10-array
2: http://f.666kb.com/i/c713dx01vknvj3o2n.png