Jetzt zu meinen Fragen, es sieht so aus als ob ich die /boot patition nicht in
einem lvm anlegen kann, was dazu führt das /boot jetzt auf sda liegt, sollte
diese platte also defekt werden wird die boot partition nicht
wiederhergestellt. Wie macht man das richtig ?

Zur crypto, /boot lässt man unverschlüsselt, swap und / wird verschlüsselt
oder ?

Du kannst / natürlich verschlüsseln, ich würde allerdings nur meine Daten
verschlüsseln und nicht das ganze System, oder halt zusätzlich deine
Configdateien.

Also z.B. /home auf das crypto raid whatever und das nach dem logon mounten ?
Ob alles oder nur teile verschlüsseln ist aber imo so eine Geschmacksfrage.
Ich kenn mich allerdings auch zu wenig aus und verschlüssle deshalb alles weil
wer weiß wo jemand der sich wirklich auskennt noch interessante Sachen
abgreifen kann (bezogen auf / unverschlüsselt lassen). Oder bringt das
Performance technisch was ?

Es stellt sich halt da die Frage wozu man alles verschlüsseln will, /usr z.B.
hast ja eh hauptsächlich Programme drinnen die von der Distri kommen - die
sind ja eh überall bekannt und da ist das verschlüsseln imo sinnlos.

Bei /etc siehts natürlich anders aus, da stehn ja u.U. Passwörter oder so im
Klartext drinnen (kommt natürlich auf das Service an).

Verschlüsselst du da den Ordner oder schon beim Setup ein eigenes Volume für
/etc und das als encrypted anlegen ? Und wie schauts da mit dem entsperren
aus, wo gibt man da den key ein ?

Bei RAID sollte /boot auch ein RAID sein (RAID 1 über 3 Festplatten) und Grub
auf jeder Platte installiert sein. Dann bootet die Kiste auch noch wenn eine
Platte stirbt. Bei dir nicht der Fall (wenns die einzige Platte mit /boot
erwischt).

Die RAID-md* sind dann verschlüsselt mit zufällig erzeugten Keyfiles. Die
Keyfiles wiederum liegen in einem verschlüsselten Container (LUKS-Loopfile)
auf /boot. Beim Booten wird dann nach einem Passwort gefragt, das den
Container aufmacht, und die Keyfiles darin machen wiederum die RAID-md* auf.

Wer also in meiner Abwesenheit am PC einen HW-Keylogger anklemmt hat von dem
mitgeloggten Passwort nichts, es sei denn er zieth sich auch gleich noch eine
Kopie vom USB-Stick. Da man für die Festplatten ja kein Passwort sondern die
Keyfiles braucht.

Auf dem USB-Stick sind dann auch gleich noch ein paar Linux-Live-CDs für
etwaige Reparaturarbeiten oder wenn man irgendwo unterwegs Zugriff auf einen
Rechner hat und den mit einem Reboot für die Dauer der Benutzung ins Linux
schicken will...

wenn ich ein raid device anlege kann ich allerdings keine partionsgröße
angeben. Wie ist da die richtige Vorgehensweise ?

Definitiv das pro setup. Hast du da zufällig einen Guide ?

Du kannst beliebig Partitionieren und Partitionen zu RAID zusammenfassen. Wenn
der GUI-Installer das nicht hinbekommt musst du dir halt überlegen, ob du auf
die Kommandozeile wechselst oder eben mit den Einschränkungen des Installers
auskommst... oder dich nach einer anderen Alternative umschaust.

Bei Ubuntu z.B. gibts eine Alternate CD mit der man eigene RAID-/Crypt-Setups
basteln kann. Bin da allerdings selber kein großer Fan von, da die
Alternate-CD mir auch schon Partitionen gebastelt hat die nicht richtig
aligned waren usw. Mit den Installern der meisten anderen Distros kenne ich
mich auch nicht aus. Ich ziehs vor das selber anzulegen und dann von Hand zu
installieren (bei Debian mit debootstrap, bei Ubuntu dann mit der normalen
Install-CD).

Höchstens eine Anleitung zum Initramfs selber machen:

http://en.gentoo-wiki.com/wiki/Initramfs

Ist halt Gentoo-spezifisch, aber das Prinzip ist auf anderen Distris auch das
gleiche...

Eine fertige Lösung (für mein Setup) ist mir noch nicht untergekommen, die
meisten Leute machen halt eine Standard-Cryptsetup-Installation und fertig,
reicht ja auch erstmal... für Anfänger / Einsteiger sicher auch die bessere
Methode, sich erstmal an erprobte Setups zu halten ehe man was eigenes
strickt.

Da du im anderen Beitrag nach Performanz gefragt hast: Entweder man braucht
Verschlüsselung oder man braucht sie nicht; wenn du sie brauchst ist
Performanz egal ist aber auf aktuellen Intel-CPUs mit AES-NI eigentlich
kein Thema mehr. Auf älteren muss man halt damit leben, daß die Platten keine
100MB/s mehr liefern.

Wäre diese Vorgehensweise richtig ? 3x 250 MB Raid 1 als /boot und den
bootloader dann auf md0 und den rest auf md1 ?

Eigentlich mag ich aber Debian am liebsten, allerdings hat stable so alte
Pakete/Kernel. Bleibt fast nur testing übrig.

Die Linux Performance von einem aktuelle Ubuntu ist sowieso schon unter alles
Sau, da kommts da auch nicht mehr drauf an.

Yup.

Wheezy ist echt fein - habe ich seit langem im Einsatz.

Ich würde übrigens so wie andere hier _keinesfalls_ alles verschlüsseln,
sondern nur
/etc [ auch nur eventuell ]
/usr/local
/home
SWAP

Weil SWAP seeehr langsam sein wird, würde ich mich mit der swappiness
rumspielen - so von den 60 runter Richtung 0-10 ... SWAP sollte encrypted  nie
verwendet werden und IMHO dann wirklich nur für Notfälle da sein.

Ok das funktioniert bei F17 schon mal nicht Layout (1) Fehler (2) wenn ich
nach md0 installiere.
Gibts da noch andere möglichkeite ? Händisch auf /dev/sdb1 /dev/sdc1 schreiben
?

Was verndest du als Desktop environment ?

swappiness = wie viel geswapped wird vermute ich ?

Vorab: Kenne mich nur mit Debian aus...

Ich würde ihn installieren lassen und mich vor dem Reboot selbst um den MBR
kümmern... Notfalls nach dem reboot mit einer Rescue CD hochfahren und
händisch agieren.

Plymouth kenne ich gar nicht - probier mal GRUB aus oder LILO, wenn angeboten.

Den Default - gnome3. Du wolltest XFCE, oder? Gibt es jedenfalls.

Yup. Default ist 60.
Wenn höher, will er mehr Swappen (um mehr Memory für Buffer freizubekommen).
Wenn niedriger, will er weniger Swappen (auf Kosten von Buffern).

Bei deinem Anwendungsfall wissen wir, dass
- SWAP immer teuer ist (weil crypt)
- andere Diskzugriffe "nur" oft teuer sind (weil nicht alles gecrypted).

Daher würde ich aus dem Bauch raus vermuten, dass Swappen nachteilig ist.
Ausser natürlich wenn [fast] alle deine Diskzugriffe auf crypted Files
losgehen - dann kann Buffer schon wieder praktisch sein.

Disk load sollte eigentlich gering sein, ab und an Musik hören o.Ä.

  Xfce ist halt teilw. sehr, wie soll man sagen, traurig.