verschlüsseltes Soft-Raid beim booten erstellen

[BBR]

Hey,

ich habe folgendes Problem:

ich habe mir ein verschlüsseltest Test Raid 5 gebaut. Jeder ist dabei einzeln verschlüsselt. Aus den einzelnen /dev/mapper/xxx wurden dann ein Raid 5 erstellt (/dev/md0).

Ein normales Raid wird ja bei booten wird ganz normal erstellt. In meiner Setup kann das auch nicht gehen, weil beim booten erst das Raid gebaut werden will und dann ersten die Platten entschlüsselt.

Ich habe das Problem dadurch gelöst, dass ich die Reihenfolge von mdadm und cryptsetup beim booten geändert haben.

Jetzt stell ich mir die Frage, ob es da nichts besseres gibt um so einem Problem aus dem Wege zu gehen oder ob es nicht besser ist das /dev/md0 zu verschlüsseln. Wobei ich gelesen haben, dass man dann das Raid nicht mehr erweitern kann.

 

[koschi]

du schreibst ein wenig konfus, ist nicht ganz einfach zu verstehen...

Ich habe das bei meinem Fileserver so gelöst dass mdadm beim boot aus den 3 Platten das RAID5 zusammenbaut. In dem md0 habe ich dann einen cryptsetup/luks Container in dem sich wiederum ein LVM2 befindet, so dass auch bei mehreren "Partitionen" auf dem RAID nur einmal das Passwort eingegeben werden muss.

Erweiterung des ganzen (sprich Platte hinzufügen) klappt beim Cryptocontainer direkt auf dem RAID folgendermaßen:
http://www.berenbrink.net/node/12

Beim LVM bin ich mir noch so recht sicher wie da die Vergrößerung von statten geht...

edit:

easy :-D
pvresize /dev/md0, dann normal die Dateisysteme vergrößern...

 

[ICHdasICH]

der gute bbr hat es einfach falsch rum gemacht ;-)

BBR: erst raid, dann crypto. kommt mit xts auf das selbe raus, und es zieht weniger performance. probier mal `mdadm --assemble /dev/md0 /dev/mapper...`. weitere informationen unter man mdadm.

Mfg ich

 

[BBR]

falsch rum ist das nicht, nur anderes.

Ich hab beide wegen schon ausprobiert. Wobei ich irgendwie meine Weg besser finde.

Bei eurem Wege wird ja nur das zusammengebaut /dev/mdx verschlüsselt. Wenn ich die Platten Ausbau, kann ich aber immer noch was damit anfangen.

Beim meinem wegen kann man mit dem Platten an sich nicht mehr anfangen.

 

[ulukay]

aehm? was genau sollst mit den platten anfangen koennen?

dein weg ist obsolet. den hat man frueher benutzt als dm-crypt noch kein multithreading unterstuetzte.

 

[BBR]

die Daten sind doch nur dann komplett verschlüsselt, wenn das Raid zusammengebaut ist.

Also habe ich nur eine Phassphrase bzw Keyfile.

Beim anderen Weg hat man unterschiedliche Phassphrase bzw Keyfile. (ok, man kann auch immer die Gleiche nehmen).

 

[ulukay]

hae?
ich glaub du weisst nicht ganz wovon du redest
nur weil das raid array nicht laeuft heisst das nicht dass die daten ploetzlich unverschluesselt rumliegen

 

[BBR]

das ist schon klar. Nur ich geh einfach vom "worst case" aus.

Kommt jmd an die Platten ran, kann er sich das Raid nicht zusammen bauen, weil er mehrere Phassphrase knacken müsste.

 

[ulukay]

aehm, der kann sowieso keine einzige passphrase knacken - so what?

 

[koschi]

RAID zusammenbauen heißt ja nicht zwangsläufig auf die Daten Zugriff haben. Ne verschlüsselte Festplatte in der Hand haben ist vergleichbar, man hat die Daten in der Hand, kann sie aber nicht entschlüsseln, ist beim RAID nicht anders, nur eben auf >3 Platten verteilt...

Auf der Platte oder dem zusammengefügten md device liegt der verschlüsselte Container, nicht auf jeder Platte n Stück davon das man dann mal eben "leichter" knackt...