EPOS schrieb:
Daher auch die Frage gewesen, ob es dann vom Systemlaufwerk her mit verschlüsselt wird?
Nein...
Also lässt sich beim Setup nur das Systempartition verschlüsseln und andere Volume müssen mit der LUKS-Erweiterung verschlüsselt werden, oder wie ist das zu verstehen?
Linux hat da so ein Blockgerätekonzept, das in Schichten funktioniert.
Unterste Schicht: jede Platte einzeln für sich. (Blockgerät = /dev/sda)
Wenn du die Platten partitionierst, dann hast du auf jeder Platte auf der untersten Schicht eine Partitionstabelle, und die einzelnen Partitionen sind dann ne Schicht drüber. (Blockgerät = /dev/sda1)
Wenn du aus den Partitionen dann ein RAID bastelst, ist das RAID ne Schicht drüber. (Blockgerät = /dev/md0)
Wenn du das dann mit LUKS verschlüsselst, ist das LUKS wieder ne Schicht obendrauf. (Blockgerät = /dev/mapper/luksmd0sonstwas)
Wenn du darauf dann ein LVM drauftust wieder eine Schicht (Blockgerät = /dev/mapper/vg-lv)
Und auf die oberste Schicht kommt dann eben ganz am Ende noch das Dateisystem drauf. (mkfs /dev/mapper/vg-lv, mount /dev/mapper/vg-lv /mnt/sonstwohin)
Der Aufbau ist also in Schichten bei dem Beispiel Festplatte → Partition → RAID → LUKS → LVM → Dateisystem
lsblk
zeigt diesen Aufbau dann auch entsprechend an:
sdb 8:16 0 256.2G 0 disk
├─sdb1 8:17 0 128.1G 0 part
└─sdb2 8:18 0 128.1G 0 part
└─md0 9:0 0 128.1G 0 raid1
└─luksSSD1 253:9 0 128.1G 0 crypt
├─SSD-root 253:10 0 20G 0 lvm /
├─SSD-home 253:47 0 64G 0 lvm /home
Wenn du dann mit Blockgeräten arbeitest in Linux musst du diese einzelnen Schichten respektieren.
Nur, wenn ich das Raid nach dem Start mounten möchte "sudo mount /dev/md0 /raid6" ist dieses nicht verfügbar, auch gibt es keine Fehlerausgabe. Wenn ich dann ein ext4-Dateisystem erstelle und dann wieder über ""sudo mount /dev/md0 /raid6" mounte, so ist dies eingebunden und verfügbar.
Das klingt für mich jetzt ungefähr so als hättest du auf /dev/md0 eben eine LUKS Schicht gehabt, das kann man dann nicht mounten sondern du musst den /dev/mapper/crypt
Namen verwenden. Bzw. zu Fuss:
cryptsetup luksOpen /dev/md0 luksmd0
mount /dev/mapper/luksmd0 /mnt/sonstwo
bzw wenn da noch LVM dazwischen ist:
vgchange -a y
mount /dev/vg/lv /mnt/sonstwo
Je nachdem welche Schichten du benutzt müssen die eben einzeln aktiviert werden. Wenn du ein RAID benutzt kannst du ja auch nicht /dev/sdb2 mounten sondern musst erst ein mdadm --assemble
machen und dann /dev/md0.
Wenn du dann mit mkfs auf /dev/md0 drüberbügelst, hast du die LUKS und alles andere abgesägt. LUKS ist dann weg und damit auch keine Verschlüsselung mehr vorhanden.
ich bin natürlich noch kein Profi darin, da ich überwiegend mit Windows-Server gearbeitet hab und nun umstellen möchte.
Das ganze RAID, LVM, Verschlüsselungszeugs ist halt schon was für Fortgeschrittene, da hilft nix, da musst du einfach mal ausgiebig das Wiki studieren.