[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Linux: Einzelne Festplatte nach RAID1 erweitern? dm-cache? ZFS?

On Thu, May 30, 2013 at 02:04:12AM +0200, Raphael Eiselstein wrote:
> Wuerde ich das RAID1 zunaechst wie von Dir beschrieben mit der neuen Platte
> initial aufsetzen, muesste ich 2TB an Daten durch dm-crypt lesen und 2TB
> durch dm-crypt wieder schreiben.> 

das dm-crypt ist dabei ueberhaupt gar kein Problem. Die
Dateisystemoperationen sind das, was die Zeit braucht. Halbwegs
aktuelle Hardware vorausgesetzt.

> Daher war auch meine Frage, ob man verlustfrei eine bestehende Platte
> (Partition) in ein RAID umwandeln kann. Zu mindest fuer mein Experiment
>  in einer VM mit einem ext4 in der Partition hat das wunderbar geklappt
> (mit bisschen nachbessern).

Das wuerde ich niemalsnie ohne Backup versuchen.

> Die noch offene Frage ist, wo dm-crypt seine Metadaten nachher sucht: am
> Anfang oder am Ende des Volumes?

Am Anfang, so viel ich weiss.

> > Fuer die Operation am offenen Herzen der bestehenden Daten waere ich nie
> > im Leben mutig genug.
> 
> Die wirklich wichtigen Daten habe ich ohnehin nochmal auf einem
> Backup-Medium. Nicht alle Daten auf dieser Platte sind gleichermassen
> wichtig oder sensibel. Insofern ist das mit dem offenen Herz zwar
> richtig, aber nicht lebensbedrohlich.

Na dann.

> > Der kanonische Trick ist, den Schluessel fuer die anderen LVs auf der
> > ersten LV abzulegen und ein Keyscript zu verwenden, die andern LVs
> > automatisiert aufzuschliessen wenn die erste LV aufgeschlossen ist.
> Das mit den Schluesseln statt passphrase ist definitiv eine Option. Werde
> ich beim naechsten mal in Erwaegung ziehen.

Aeh, ich meine natuerlich die Passphrase. Die kann man wenigstens aendern.

Unter Debian sieht das so aus:
root /dev/disk/by-id/dm-name-swivel-c_root none luks,discard,keyscript=/etc/swivel/keyscript_swivel_root
"usr /dev/disk/by-id/dm-name-swivel-c_usr none luks,discard,keyscript=/etc/swivel/keyscript_swivel

Der kritische Abschnitt in keyscript_swivel_root ist der da:

while ! [ -e "${MAPPER}/${DEVICE}" ]; do
  if [ -x /bin/plymouth ] && plymouth --ping; then
    plymouth ask-for-password --prompt | cryptsetup --key-file=- luksOpen $CRYPTDEVICE $DEVICE
  else
    /lib/cryptsetup/askpass "Password for root key: " | cryptsetup --key-file=- luksOpen $CRYPTDEVICE $DEVICE
  fi
done

keyscript_swivel besteht hauptsaechlich aus einem echo-Befehl.

Ich verwende noch ein bisschen zusaetzliche Magie; wenn Dich das
interessiert, sprich mich mal irl an, das muss ich hier nicht in der
Mailingliste breittreten.

> > Oder man macht dm-crypt mit dem TPM, das auf dem Rechner steckt, dann
> > ist es egal dass der Schluessel n-mal ausgelesen wird.
> 
> Da hab ich null Erfahrung mit und wueste nichtmal, ob mein n36L das
> ueberhaupt hat. Tendenziell will ich die Platten auch in einem anderen 
> Rechner wieder entschluesseln koennen. Praxistipps und Erfahrungsberichte 
> willkommen.

Das in einem anderen Rechner entschluesseln ist trivial moeglich; die
mir bekannten Beschreibungen fuer dm-crypt mpt TPM nutzen LUKS, Du
kannst da jederzeit in einem anderen Keyslot eine eintippbare
Passphrase verwenden. Und sich den Schluessel fuer das unterliegende
symmetrische Cryptosystem herausdumpen geht immer (dmsetup show
--list-keys oder so).

Gruesse
Marc

-- 
-----------------------------------------------------------------------------
Marc Haber         | "I don't trust Computers. They | Mailadresse im Header
Mannheim, Germany  |  lose things."    Winona Ryder | Fon: *49 621 31958061
Nordisch by Nature |  How to make an American Quilt | Fax: *49 621 31958062
-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/