ubuntuusers.de

Grüße,

folgendes: Ich habe ein voll verschlüsseltes Ubuntu 16.04 auf gesetzt mit LVM auf SSD1. Nun möchte ich meine zweite HDD-Festplatte verschlüsselt als Datenhort ein binden. Am liebsten möchte ich dann von verschiedenen Orten des bisherigen Dateisystems, immer dort wo große Dateien anfallen, darauf zu greifen.

Was ist der einfachste Weg dazu?

Ich bin momentan etwas verwirrt was die verschiedenen Begriffe und Möglichkeiten (LVM/LUKS/dmcrypt/Container/crypttab) an geht.

Besonders der Unterschied zwischen LUKS und einbinden mittels LVM ist mir nicht klar.

Momentan würde ich einfach die zweite Platte komplett leeren. Dann eine Partition darauf erstellen und wie in LUKS beschrieben verschlüsseln und mounten. Dann per Symlinks von verschiedenen Orten des Dateisystems auf die externe Partition verweisen. Ist das so praktikabel?

Was ist der Unterschied zum Einbinden in den bestehenden LVM?

Auch: Die zweite Platte liegt im UltraBay Schacht meines Thinkpads. Die verwendete Methode sollte also damit klar kommen, falls die Platte mal fehlt.

Danke + Grüße

Vielleicht hilft es beim Verständnis, dass du nur Dateisyteme in deine Dateisystemhierarchie einbinden kannst. Dateisyteme kann man auf Blockgeräten erstellen (also z.B. /dev/sda oder /dev/sda1, wobei ersteres die gesamte Festplatte und letzteres eine einzelne Partition bezeichnet). LUKS und LVM sind Abstraktionsschichten, die vom device mapper verwaltet werden. Wenn du also eine Platte oder Partition mit LUKS verschlüsselst, dann wird dir durch den device mapper ein neues, virtuelles Gerät zur Verfügung gestellt (z.B. /dev/mapper/geraet). Auf diesem Gerät kannst du nun ein Dateisystem erstellen. Sobald du das tust, kümmert sich der device mapper (hier: dm-crypt) darum, dass Dateien physisch (also auf /dev/sda1) nur verschlüsselt abgelegt werden, aber dir eben unverschlüsselt zum Lesen aus dem Blockgerät /dev/mapper/geraet angeboten werden. Dieses Gerät kannst du also ganz normal wie jedes andere Blockgerät auch in deine Dateisystemhierarchie einhängen.

Wir haben es bei LUKS und LVM also um I/O-Abstraktionsschichten zu tun, die man übrigens auch beliebig stapeln kann. LUKS auf LVM, LVM auf LUKS, das "Sandwich": LVM auf LUKS auf LVM... die Frage ist halt, was du brauchst. Und da du nur LUKS zu brauchen scheinst, würde ich auch nur LUKS verwenden. Also wie beschrieben ein Gerät erstellen, formatieren und einbinden. LVM taucht dann da gar nicht auf. Ich würde es dann auch gleich dort einbinden, wo ich es brauche und nicht an einer anderen Stelle und dann mit Symlink drauf verweisen. Für mehrere Orte bieten sich bind-mounts an.

Hinweis: Zu vielen Begriffen gibt es hier im Wiki Artikel. Ich habe jetzt nicht alle verlinkt, weil ich nur schnell antworten wollte.

Hi unbuntuS12,

erstmal ein dickes Danke für Deine schnelle Antwort.

Durch Deinen ersten Absatz mit den vielen Begriffen muss ich mich erstmal durch kämpfen. Macht aber die Zusammenhänge klar. Stimmt. Einbinden kann ich es natürlich an Ort und Stelle. Danke. bind-mounts schaue ich mir mal genauer an.

Danke Dir. Falls noch Fragen sind, melde ich mich hier.

Grüße

Dschungelmann schrieb:

Am liebsten möchte ich dann von verschiedenen Orten des bisherigen Dateisystems, immer dort wo große Dateien anfallen, darauf zu greifen. Was ist der einfachste Weg dazu?

Es gibt dazu verschiedene Möglichkeiten:

1. die Platte partitionieren und einzelne Partitionen an bestimten Stellen einhängen

2. die Platte mit LVM (Logical Volume Manager) verwalten, und die Volumes dann an den Stellen einhängen

3. die Platte als ganzes ins Dateisystem einbinden, und bestimmte Orte dahin versymlinken

4. ...

Ich bin momentan etwas verwirrt was die verschiedenen Begriffe und Möglichkeiten (LVM/LUKS/dmcrypt/Container/crypttab) an geht.

LVM
Logical Volume Manager. Diese Software kann Block-Devices (Festplatten, RAM-Disks, ...) verwalten und mehrere logische Volumes daraus generieren. Du kannst also aus x physischen und logischen Devices y Volumes erstellen. Diese verhalten sich dann ähnlich, wie Partitionen bei Festplatten, sind aber wesentlich flexibler und einfacher zu managen (vergrößern, verkleinern, ...).

LUKS
Linux Unified Key Setup. Diese Software stellt eine einheitliche Schnittstelle zur Verschlüsselung von logischen Block-Devices dar. Das kann eine Container-Datei, eine Partition, ein LVM-Volume oder eine gesamte Festplatte sein. Es werden verschiedene Kryptografie-Verfahren unterstützt.

dmcrypt
So nennt sich das Kryptografie-Modul im Linux-Kernel. Dieses Modul wird von LUKS benutzt. LUKS stellt gewissermaßen eine Erweiterung des dm-crypt-Moduls dar. LUKS bietet im Gegensatz zu "reinem" dm-crypt eine einfacherere Verwaltung, da zusätzlich zur Verschlüsselung noch einige Meta-Informationen (Header) auf dem Medium mit gespeichert werden, welche das Handlung vereinfachen (automatische Erkennung, ...).

Container
Mit Container im Kontext von Verschlüsselung ist meines Erachtens meistens eine Datei oder Partition gemeint, die verschlüsselt ist.

crypttab
Die crypttab ist das Pendant zur fstab. Sie kümmert sich darum, dass verschlüsselte Partitionen und Volumes korrekt eingehangen werden.

Besonders der Unterschied zwischen LUKS und einbinden mittels LVM ist mir nicht klar.

LVM ist einfach eine weitere Abstraktionsschicht zwischen dem verschlüsselten Dateisystem und dem physischen Gerät.

Dann eine Partition darauf erstellen und wie in LUKS beschrieben verschlüsseln und mounten.

Das geht. Allerdings ist das Partitionslayout einer Festplatte recht statisch, das heißt es lässt sich nicht so bequem ändern, wie wenn du LVM verwendest. Wenn du aber sowieso nur eine Partition anlegen willst, wo alles drauf ist, ist das wurst.

Um dich noch mehr zu verwirren: Wenn du nur eine Partition hast, kannst du dir die eigentlich komplett schenken, und die Festplatte gar nicht partitionieren. Dann legst du das verschlüsselte Dateisystem direkt auf die Platte.

Dann per Symlinks von verschiedenen Orten des Dateisystems auf die externe Partition verweisen. Ist das so praktikabel?

Ja, das würde gehen.

Was ist der Unterschied zum Einbinden in den bestehenden LVM?

Es gibt viele Vorteile von LVM, aber auch Nachteile. Was kann LVM?

• verschiedene Filesysteme pro Volume möglich

• "harte" Volumegrenze verhindert Vollaufen der gesamten Festplatte

• einfaches vergrößern/verkleinern der Volumes, sofern es das Dateisystem unterstützt

• ...

Die verwendete Methode sollte also damit klar kommen, falls die Platte mal fehlt.

Das kommt drauf an, welche Orte du auf diese Festplatte auslagern willst.

Hi ihr Lieben,

also: hat alles geklappt. Danke euch für eure Hilfe.

Für jeden, der Ähnliches einrichten möchte, hier mein Vorgehen:

1. Über die Laufwerksverwaltung in Ubuntu alle bestehenden Partitionen der Daten-Festplatte entfernt

2. (Ein Überschreiben der Platte mit Zufallszahlen habe ich mir gespart, da vorher bereits ein verschlüsseltes Dateisystem auf der Platte war. Andernfalls hier ausführen.)

3. Alle Schritte wie in LUKS (Abschnitt „Erstellen“) unter "Erstellen" beschrieben aus geführt.

4. Mittels chown mir selbst die Rechte dieser Partition zu gewiesen (Benutzer und Gruppe).

5. Per GUI "Verschlüsselungsoptionen verwalten" in der Laufwerksverwaltung einen Eintrag in /etc/crypttab an gestoßen. Damit der verschlüsselte Datenträger beim Systemstart automatisch entschlüsselt wird. (Über kleines Zahnradsymbol in der Partitionsansicht erreichbar)

6. Eintrag in /etc/fstab, um enthaltene Dateipartition bei Systemstart automatisch zu mounten.

7. Eintrag in /etc/fstab, um bind-mounts bei Systemstart automatisch zu setzen.

Hilfreich waren auch folgende Links:

• Was sind bind-mounts und wie funktionieren sie? http://unix.stackexchange.com/questions/198590/what-is-a-bind-mount

• Wie lege ich bind-mounts dauerhaft an?http://askubuntu.com/questions/550348/how-to-make-mount-bind-permanent

• Mehr Infos zu /etc/fstab fstab

Viel Spaß. Grüße