Verschlüsseltes LVM [gelöst]

Beelzebub_ · Posted: Wed Mar 20, 2013 12:51 pm Post subject: Verschlüsseltes LVM [gelöst]

Hallo,

folgendes:

Ich habe ein LVM erstellt:

2 pv's ; 1 vg ; /root /home (ext4)

Die zwei Pv's sind verschlüsselt.
Gentoo ist bereits auf /root installiert.

Wie gelingt es mir nun die 2 Pv's zu entschlüsseln und anschließend die LVM (vg) zu laden um /root zu verfügung zu stellen?

---
Ich nutze Grub2
_________________
Ich habe keine Angst vorm Sterben, ich habe nur Angst ich habe nicht genug gelebt.

bell · Guru Joined: 27 Nov 2007 Posts: 510

Du brauchst eine intiramfs, die entschlüsselt bevor /root eingehängt wird. Am einfachsten geht es mit genkernel:

Beelzebub_ · Posted: Thu Mar 21, 2013 12:47 pm Post subject:

Auf solche ungenauen unbeschriebenen Kommentare kann ich verzichten.
_________________
Ich habe keine Angst vorm Sterben, ich habe nur Angst ich habe nicht genug gelebt.

cryptosteve · Veteran Joined: 04 Jan 2004 Posts: 1169 Location: GER

Unbeschrieben? Wie meinen?

Btw, Dir ist schon klar, dass Du mit solchen Kommentaren auch die letzten vergraulst, die hier überhaupt noch mit Dir reden?
_________________
- born to create drama -
gpg: 0x9B6C7E15
CS Virtual Travel Bug: VF6G5D

bell · Guru Joined: 27 Nov 2007 Posts: 510

@Beelzebub_, ein bischen solltest Du auch selbst was machen. Ich habe Dir die nötigen Stichwörter geliefert und sogar eine komplette Komandozeile. Aber gut, wenn Du noch mehr Infos brauchst: bitte schön

Beelzebub_ · Posted: Thu Mar 21, 2013 5:06 pm Post subject:

Ich weis wie man ein initramfs erstellt, und es einbindet. Jedoch ist das noch nicht das Ende der Fahnenstange.
Z.B muss man noch etwas in die grub2 conf eintragen, wovon du nix erwähnt hast, leider finde ich keine Seiten, welche vernümftig darstellen wie das bei verschlüsselten LVM's funktioniert.
_________________
Ich habe keine Angst vorm Sterben, ich habe nur Angst ich habe nicht genug gelebt.

bell · Guru Joined: 27 Nov 2007 Posts: 510

Genkernel sagt Dir in etwa, was man in die grub-Konfiguration in etwa eintragen muss. An sonsten steht alles im "man genkernel" unter "RAMDISK OPTIONS" was man alles in der grub-Konfiguration eintragen kann.

Beelzebub_ · Posted: Thu Mar 21, 2013 7:50 pm Post subject:

bell · Guru Joined: 27 Nov 2007 Posts: 510

die initramfs landet im /boot. In der Grub.conf musst Du eine "initrd" Zeile unter der "kernel" Zeile anlegen. zB.

bell · Guru Joined: 27 Nov 2007 Posts: 510

Sorry, hab es jetzt erst gesehen, dass zuerst die PV's verschlüsselt sind und dann dadrauf LVM aufgesetzt ist. Mir fällt jetzt auch keine Möglichkeit ein das per Genkernel hinzubiegen. Mit sys-kernel/dracut kenne ich mich nicht aus. Evtl. kriegt er eine entsprechende initramfs hin. An sonsten blebt nur noch eine eigene initramfs zu bauen. Eine initramfs ist ein cpio Archiv mit einem Mini-System (meist busybox-basiert), der nach dem Mount von /root die Kontrolle an das init abgibt. Anleitungen findest Du genug im Netz.

Beelzebub_ · Posted: Fri Mar 22, 2013 9:31 am Post subject:

Nun ich könnte die Verschlüsselung noch ändern, aber ich denke es macht mehr sinn mit verschlüsselten PV's.
Da man die Partitionen innerhalb der LVM immer noch verändern kann in der Größe. Verschlüsselte Partitionen kann man glaube ich nicht so leicht ändern.
_________________
Ich habe keine Angst vorm Sterben, ich habe nur Angst ich habe nicht genug gelebt.

bell · Guru Joined: 27 Nov 2007 Posts: 510

Verschlüsselte Partitionen lassen sich auch in der Größe verändern (cryptsetup resize..).

Das Problem ist halt wie die Verschlüsselung "gruppiert" wird. Aktuell ist ja jede PV einzeln verschlüsselt (Ein Key pro PV). Das macht wenig Sinn, da sie ja eigentlich zusammen gehören.
Umgekehrt wäre jede LV einzeln verschlüsselt (Ein Key pro LV).

Leider lässt sich eine "VG" nicht komplett verschlüsseln. Falls man also alles zusammen verschlüsseln möchte, müsste man noch eine Raid-Ebene, die die Platten zusammenfasst und zusammen verschlüsselt, hinzufügen. Aber dafür wird der Genkernel auch keine initramfs erstellen können.

Beelzebub_ · Posted: Fri Mar 22, 2013 11:15 am Post subject:

Ich habe jetzt mal die Verschlüsselung verändert, so das die PV's nicht verschlüsselt sind, sondern die LV's.

Außerdem habe ich das Initramfs und den Kernel mit Genkernel installiert und die Kernelparameter grub2 mitgeteilt.

Mir fällt auf, das der Genkernel die Bootvorgänge nicht mehr detailliert anzeigt.
Ich sehe nur noch:

bell · Guru Joined: 27 Nov 2007 Posts: 510

Nimm den Parameter "quiet" aus der grub-Konfiguration raus.

Beelzebub_ · Posted: Fri Mar 22, 2013 12:13 pm Post subject:

Beelzebub_ · Posted: Fri Mar 22, 2013 5:12 pm Post subject:

So, ich habe den Genkernel gefeuert und wieder meinen eigenen gebaut, und es klappt alles wird angezeigt.
Das verschlüsselte LV wird auch entschlüsselt, jedoch lande ich nach dem Boot wieder auf meinen alten root,home Partitionen, wie kommt das?

Die fstab Datei des verschlüsselten LV ist angepasst.
_________________
Ich habe keine Angst vorm Sterben, ich habe nur Angst ich habe nicht genug gelebt.