Hallo,
ich habe mit mdadm einen RAID-6 mit 5+1 HDD's aufgebaut, also eine Spare HDD und möchte das ganze mit Veracrypt auf Volumeebene verschlüsseln.
Ich denke dabei an zwei Optionen (meine Frage findet sich in Option #2):
1) Verschlüsseln einer jeden separaten HDD des RAID Verbunds Das Zusammenfügen des RAID Arrays würde dann voraussetzen, dass vor diesem Prozess alle Laufwerke entschlüsselt wurden. Im Falle des Defekts einer HDD würde die Spare HDD einen Rebuild abbekommen und wäre auch vorab entschlüsselt, also mMn. kein Problem. Beim Verbauen einer neuen HDD als Ersatzlaufwerk oder neue Spare HDD müsste diese vorab verschlüsselt werden (nach Kauf), dann wieder entschlüsselt und in das RAID Array eingefügt werden.
2) Verschlüsseln des RAID Laufwerks Mdadm bildet aus dem RAID Array ein einziges RAID Laufwerk /dev/md0. Reicht es hier aus dieses RAID Laufwerk zu verschlüsseln? Die Datenblöcke lägen somit unverschlüsselt verteilt auf die einzelnen Laufwerke und könnten von einem Dritten gelesen werden? - Ich frage mich an der Stelle ob ein Dritter dann nicht einfach die unverschlüsselten Laufwerke zu einem neuen RAID Array zusammenbauen und hochfahren kann und somit an die Daten kommt?
Was denkt ihr, Variante 1 zur Verschlüsselung nehmen? Stimmen meine Annahmen hinsichtlich der Verschlüsselungsproblematik aus Variante 2?
Ich bedanke mich fürs lesen und konstruktive Rückmeldungen ☺
LG