ubuntuusers.de

Eine Frage nur Vollverschlüsselung.

Auf meinen Server habe ich UbuntuServer installiert und muss beim booten encrypt (Passwort) werden. Soweit so gut.

Wenn ich nun darunter ein erstelltes Raid6 md0 (ext4) mounte, ist dies dann auch verschlüsselt? Kann das md0 von jemand auf einem anderen System gemountet werden?

EPOS schrieb:

Wenn ich nun darunter ein erstelltes Raid6 md0 (ext4) mounte, ist dies dann auch verschlüsselt?

Du musst doch wissen, ob du das Device verschlüsselt hast oder nicht!?

Kann das md0 von jemand auf einem anderen System gemountet werden?

Mounten kann prinzipiell nur root.

Verschlüsselt werden die Volumes für welche du eine Verschlüsselung eingerichtet hast. Die anderen logischerweise nicht, als Administrator solltest du aber auch wissen was du eingerichtet hast, wir haben hier leider gerade keine funktionierende Glaskugel.

Wenn du Ubuntu auf deinen USB Stick (aus dem anderen Thread) installiert hast, dann ist nur dieses Volume verschlüsselt, außer du hast dem Installer auch explizit gesagt er möge dein RAID auch verschlüsseln. Ob /dev/md0 verschlüsselt ist (per LUKS) beantwortet dir der Befehl sudo cryptsetup isLuks -v /dev/md0.

mfg Stefan

Hallo zusammen, ich bin natürlich noch kein Profi darin, da ich überwiegend mit Windows-Server gearbeitet hab und nun umstellen möchte. Verzeiht daher meine Unwissenheit darüber, ich gelobe Besserung.

Zum Thema. Die Systempartition wurde als verschlüsseltes LVM erstellt, sowie auch das Raid6. Nur, wenn ich das Raid nach dem Start mounten möchte "sudo mount /dev/md0 /raid6" ist dieses nicht verfügbar, auch gibt es keine Fehlerausgabe. Wenn ich dann ein ext4-Dateisystem erstelle und dann wieder über ""sudo mount /dev/md0 /raid6" mounte, so ist dies eingebunden und verfügbar. Daher auch die Frage, ob es dann vom Systemlaufwerk her mit verschlüsselt wird? Bei der Installation ließ sich kein verschlüsseltes Raid-Volume erstellen, so wie es aussieht!?

Also lässt sich beim Setup nur das Systempartition verschlüsseln und andere Volume müssen mit der LUKS-Erweiterung verschlüsselt werden, oder wie ist das zu verstehen?

EPOS schrieb:

Daher auch die Frage gewesen, ob es dann vom Systemlaufwerk her mit verschlüsselt wird?

Nein...

Also lässt sich beim Setup nur das Systempartition verschlüsseln und andere Volume müssen mit der LUKS-Erweiterung verschlüsselt werden, oder wie ist das zu verstehen?

Linux hat da so ein Blockgerätekonzept, das in Schichten funktioniert.

Unterste Schicht: jede Platte einzeln für sich. (Blockgerät = /dev/sda)

Wenn du die Platten partitionierst, dann hast du auf jeder Platte auf der untersten Schicht eine Partitionstabelle, und die einzelnen Partitionen sind dann ne Schicht drüber. (Blockgerät = /dev/sda1)

Wenn du aus den Partitionen dann ein RAID bastelst, ist das RAID ne Schicht drüber. (Blockgerät = /dev/md0)

Wenn du das dann mit LUKS verschlüsselst, ist das LUKS wieder ne Schicht obendrauf. (Blockgerät = /dev/mapper/luksmd0sonstwas)

Wenn du darauf dann ein LVM drauftust wieder eine Schicht (Blockgerät = /dev/mapper/vg-lv)

Und auf die oberste Schicht kommt dann eben ganz am Ende noch das Dateisystem drauf. (mkfs /dev/mapper/vg-lv, mount /dev/mapper/vg-lv /mnt/sonstwohin)

Der Aufbau ist also in Schichten bei dem Beispiel Festplatte → Partition → RAID → LUKS → LVM → Dateisystem

lsblk zeigt diesen Aufbau dann auch entsprechend an:

sdb                               8:16   0 256.2G  0 disk  
├─sdb1                            8:17   0 128.1G  0 part  
└─sdb2                            8:18   0 128.1G  0 part  
  └─md0                           9:0    0 128.1G  0 raid1 
    └─luksSSD1                  253:9    0 128.1G  0 crypt 
      ├─SSD-root                253:10   0    20G  0 lvm   /
      ├─SSD-home                253:47   0    64G  0 lvm   /home

Wenn du dann mit Blockgeräten arbeitest in Linux musst du diese einzelnen Schichten respektieren.

Nur, wenn ich das Raid nach dem Start mounten möchte "sudo mount /dev/md0 /raid6" ist dieses nicht verfügbar, auch gibt es keine Fehlerausgabe. Wenn ich dann ein ext4-Dateisystem erstelle und dann wieder über ""sudo mount /dev/md0 /raid6" mounte, so ist dies eingebunden und verfügbar.

Das klingt für mich jetzt ungefähr so als hättest du auf /dev/md0 eben eine LUKS Schicht gehabt, das kann man dann nicht mounten sondern du musst den /dev/mapper/crypt Namen verwenden. Bzw. zu Fuss:

cryptsetup luksOpen /dev/md0 luksmd0
mount /dev/mapper/luksmd0 /mnt/sonstwo

bzw wenn da noch LVM dazwischen ist:

vgchange -a y
mount /dev/vg/lv /mnt/sonstwo

Je nachdem welche Schichten du benutzt müssen die eben einzeln aktiviert werden. Wenn du ein RAID benutzt kannst du ja auch nicht /dev/sdb2 mounten sondern musst erst ein mdadm --assemble machen und dann /dev/md0.

Wenn du dann mit mkfs auf /dev/md0 drüberbügelst, hast du die LUKS und alles andere abgesägt. LUKS ist dann weg und damit auch keine Verschlüsselung mehr vorhanden.

ich bin natürlich noch kein Profi darin, da ich überwiegend mit Windows-Server gearbeitet hab und nun umstellen möchte.

Das ganze RAID, LVM, Verschlüsselungszeugs ist halt schon was für Fortgeschrittene, da hilft nix, da musst du einfach mal ausgiebig das Wiki studieren.

Danke frostschutz für deine ausführliche Anleitung/Erklärung, die sehr verstädlich ist. Auch lese ich die Wikis dazu, nur führen diese nicht immer zum gewünschten Ergebnis im eigenen Gesamtprojekt, aber es wird schon besser.

Zwei Fragen dazu noch:

- Verwendet Ubuntu-Server im Setup eine andere Verschlüsselung/Methode als LUKS für verschlüsselte Datenträger, oder ist dies das Gleiche?

- LUKS wird als Erweiterung zum Bestand beschrieben. Wenn ja, wo ist da der Unterschied?

Für Verschlüsselung wird eigentlich immer LUKS verwendet, Ausnahme ist die /home/user/.Private Verschlüsselung mit ecryptfs.

ext4 hat auch eine eigene Verschlüsselung aber die wird eigentlich noch nicht benutzt (auf Desktop/Server), vielleicht bei Android...

LUKS arbeitet eben anders als RAID, LVM nicht geräteübergreifend. Es ist ein LUKS pro Blockgerät (wobei Blockgerät selber natürlich auch von RAID, LVM bereitgestellt werden kann).

Also sollte man das Raid erst nach der Installation mit LUKS verschlüsseln und einbinden, und nicht beim Setup das ja "nur" ecryptfs für /home/user/.Private Verschlüsselung bietet, verstehe ich das so richtig?

EPOS schrieb:

Also sollte man das Raid erst nach der Installation mit LUKS verschlüsseln und einbinden, und nicht beim Setup das ja "nur" ecryptfs für /home/user/.Private Verschlüsselung bietet, verstehe ich das so richtig?

Äähm, mit dem Installer kenne ich mich ehrlich gesagt nicht so aus. (Ich setze das immer selbst auf und installiere dann auf die vorhandene Struktur.) Sorry wenn das jetzt konfus wird... die Homeverschlüsselung ist eigentlich das, was der Desktop-Installer anbietet (zusätzlich zur Vollverschlüsselung mit LUKS). Man sagt da bei der Homeverschlüsselung dann einfach nein.

Was genau der Installer gemacht hast, kannst du nach Abschluss der Installation mit lsblk schauen. Oder zu Fuss mit parted -l, file -sL /dev/* /dev/mapper/*, ...

Kurz: Wenn du /dev/md0 direkt mit ext4 formatierst, dann ist es unverschlüsselt. Es sei den du hast die Bestandteile von md0 vorher Verschlüsselt, durch das Konzept von Linux kann man das in jeder beliebigen Reihenfolge machen, was je nach Zweck unterschiedlich sinnvoll ist (oder eben auch nicht).

mfg Stefan

frostschutz schrieb:

(Ich setze das immer selbst auf und installiere dann auf die vorhandene Struktur.) Sorry wenn das jetzt konfus wird...

Des einen Freud ist des anderen Leid ☺

Wie ich annehme machst Du das Gleiche wie eben beschrieben, nur ohne geführtem Setup. Also eben nach der Installation selbst, in meinem Fall dann nach dem Setup. Das Setup scheint schlussfolgernd darauf beschränkt zu sein. Darin wird auch beschrieben, das man nur den persönlichen Ordner verschlüsselt. Derweil verschlüsselt man aber das komplette System-Laufwerk, abgesehen von boot und esp. Hier handelt es sich offensichtlich um eine Fehlinterpretation.

encbladexp schrieb:

Kurz: Wenn du /dev/md0 direkt mit ext4 formatierst, dann ist es unverschlüsselt...

Soweit einleuchtend. Ich werde mich daher mit https://wiki.ubuntuusers.de/LUKS/ beschäftigen. Leider sind nun schon gut 10TB an Daten drarauf. Ich hoffe es ohne Datenverlust, bzw. ohne großen Aufwand noch verschlüsseln zu können.

Nein, man kann nicht nachträglich verschlüsseln.

mfg Stefan

Wenn dem so sein soll, dann werde ich den 2.Server mit LUKS einrichten und den 1.Server nach dem rüberschaufeln nochmal aufsetzen müssen. 😕

Es gibt cryptsetup-reencrypt --new nur wenn der Vorgang unterbrochen wird ist Essig

USV ist zwar dran, aber ich möchte das schon sauber mit LUKS installieren. Das "System" richtet man ja nur einmal ein, hab ich gehört. 😊

Vielen Dank euch für die Hilfe zum Thema.