Ερώτηση περί αναγκαιότητας LVM σε LUKS encrypted setup

[paxman]

Καλησπέρα παιδιά και καλύτερη χρονιά να έχουμε.

 

Ετοιμάζομαι να γυρίσω το laptop της υπογραφής σε full Linux installation με Manjaro KDE.

Θέλω να έχω disk encryption για λόγους ασφαλείας των data σε περίπτωση κλοπής-απώλειας και έχω κάνει το homework μου για το setup.

Μου έχει δημιουργηθεί η απορία όμως γιατί παίζουν όλοι όσοι έχω διαβάσει - παρακολουθήσει με LVM;

Θεωρώ ότι δεν μου χρειάζεται στο συγκεκριμένο setup. Θα έχω δυο διακριτούς encrypted δίσκους ο SSD με το /boot/efi (unencrypted) & το / partition και ο HDD με το /home (εννοείται θα μεταφερθεί σε δεύτερο χρόνο μετά την αρχική εγκατάσταση).

Δεν έχω ξεκαθαρίσει αν το LVM είναι απαίτηση για encrypted δίσκους ή όχι.

Όσοι πιστοί ( @gdp77, @Rusty_Cookie ) προσέλθετε.

 

 

[gdp77]

Όταν γράφεις LVM μάλλον εννοείς LUKS (Linux Unified Key Setup). 

 

Δεν έχω χρησιμοποιήσει ποτέ για να ξέρω τα + και -, αλλά γιατί δεν κάνεις encrypt μόνο το home folder (με απλή επιλογή κατά την εγκατάσταση)? To να παίξεις με full disk encryption έχει και κάποιο overhead. Σου είναι απολύτως απαραίτητο;

 

Το πλεονέκτημα του LUKS όπως εγώ το καταλαβαίνω είναι η διαλειτουργικότητα, καθώς θα μπορείς να έχεις πρόσβαση στο δίσκο και από άλλο OS.

 

Επίσης δεν ξέρω τι γίνεται και με τα passwords σε αυτές τις περιπτώσεις; Δηλαδή θα δίνεις ένα password για user login και δεύτερο password για πρόσβαση στον δίσκο; Δεν το έχω δοκιμάσει ποτέ και δεν ξέρω αν ο @Rusty_Cookie μπορεί να συνεισφέρει περισσότερο.

[paxman]

Κατ' αρχάς ευχαριστώ για την άμεση απάντηση.

30 minutes ago, gdp77 said:

Όταν γράφεις LVM μάλλον εννοείς LUKS (Linux Unified Key Setup). 

Όχι, LVM είναι το Logical Volume Manager.

"

LVM is used for the following purposes:

• Creating single logical volumes of multiple physical volumes or entire hard disks (somewhat similar to RAID 0, but more similar to JBOD), allowing for dynamic volume resizing.
• Managing large hard disk farms by allowing disks to be added and replaced without downtime or service disruption, in combination with hot swapping.
• On small systems (like a desktop), instead of having to estimate at installation time how big a partition might need to be, LVM allows filesystems to be easily resized as needed.
• Performing consistent backups by taking snapshots of the logical volumes.
• Encrypting multiple physical partitions with one password.

LVM can be considered as a thin software layer on top of the hard disks and partitions, which creates an abstraction of continuity and ease-of-use for managing hard drive replacement, repartitioning and backup."

30 minutes ago, gdp77 said:

Δεν έχω χρησιμοποιήσει ποτέ για να ξέρω τα + και -, αλλά γιατί δεν κάνεις encrypt μόνο το home folder (με απλή επιλογή κατά την εγκατάσταση)? To να παίξεις με full disk encryption έχει και κάποιο overhead. Σου είναι απολύτως απαραίτητο;

Θέλω και το root καθώς θα έχω VM πάνω μιας και είναι ο SSD.

Overhead, αν κατάλαβα καλά, έχει μόνο κατά το αρχικό ξεκλείδωμα.

Σε ένα VM που το δοκίμασα ήταν αμελητέο (με 20GB βέβαια δίσκο).

 

 

 

Έγινε επεξεργασία Ιανουάριος 3, 2021 από paxman

[gdp77]

ΟΚ ξέρω τι είναι το LVM, αλλά δεν καταλαβαίνω για ποιον λόγο πρέπει να θεωρείται απαραίτητο για DISK encryption. Γι' αυτό θεώρησα ότι αναφερόσουν στο LUKS. Λεχθέντος τούτου, το full disk encryption έχει μεγάλο μείον το troubleshooting σε περίπτωση που αντιμετωπίζεις οποιοδήποτε πρόβλημα. Δεν κατάλαβα αυτό που έγραψες για το VM. Θα τρέχεις το λειτουργικό σε VM ή θέλεις μέσα από το Linux να τρέξεις άλλα VMs? Στη δεύτερη περίπτωση θα μπορούσες και αυτά να τα έχεις στο /home. Επομένως με encryption μόνο του /home να είσαι καλυμμένος.

Έγινε επεξεργασία Ιανουάριος 3, 2021 από gdp77

[paxman]

 

 

34 minutes ago, gdp77 said:

Επίσης δεν ξέρω τι γίνεται και με τα passwords σε αυτές τις περιπτώσεις; Δηλαδή θα δίνεις ένα password για user login και δεύτερο password για πρόσβαση στον δίσκο; Δεν το έχω δοκιμάσει ποτέ και δεν ξέρω αν ο @Rusty_Cookie μπορεί να συνεισφέρει περισσότερο.

By default δίνεις το password για κάθε encrypted partition όταν θέλεις να το χρησιμοποιήσεις, με το password του / να απαιτείται κατά το άνοιγμα του υπολογιστή.

Υπάρχει τρόπος όμως να ξεκλειδώνουν όλα μόλις καταχωρήσεις το pass του /.

Μπορείς να ενεργοποιήσεις το automatic login για να μην δίνεις και το user password κάθε φορά.

4 minutes ago, gdp77 said:

θέλεις μέσα από το Linux να τρέξεις άλλα VMs

Αυτό, δυστυχώς πρέπει να έχω κάπου και τα σάπια.

 

5 minutes ago, gdp77 said:

Λεχθέντος τούτου, το full disk encryption έχει μεγάλο μείον το troubleshooting σε περίπτωση που αντιμετωπίζεις οποιοδήποτε πρόβλημα.

Κάνεις export τα LUKS headers και φυσικά δεν ξεχνάς το password

Κατατοπιστικό video είναι του Lawrence Systems (γενικά έχει ενδιαφέροντα video).

 

Για να συνοψίσω, ότι tutorial έχω δει παίζουν με LVM πάνω στο encrypted partition.

Δεν έχω ξεκαθαρίσει αν απαιτείται ή όχι.

[Cyber_Cookie]

πριν 2 ώρες, το μέλος paxman έγραψε:

Δεν έχω ξεκαθαρίσει αν απαιτείται ή όχι.

 

Δεν είναι αναγκαίο.

Δες τον πίνακα εδώ με τα use cases, ζυγίζεις τα υπερ και τα κατά και διαλέγεις setup.

 

dm-crypt/Encrypting an entire system - ArchWiki

WIKI.ARCHLINUX.ORG

 

[paxman]

27 minutes ago, Rusty_Cookie said:

 

Δεν είναι αναγκαίο.

Δες τον πίνακα εδώ με τα use cases, ζυγίζεις τα υπερ και τα κατά και διαλέγεις setup.

 

dm-crypt/Encrypting an entire system - ArchWiki

WIKI.ARCHLINUX.ORG

 

Θα μπορούσες να συμπληρώσεις και "RTFM" , thanks.

[paxman]

Νενικήκαμεν!

 

 

Σεταρισμένο να ξεκλειδώνει και ο hdd αυτόματα με το boot.

Overhead ~3-5sec από την καταχώρηση του κωδικου για ξεκλείδωμα του δίσκου + ένα (γρήγορο) reboot.

Έγινε επεξεργασία Ιανουάριος 11, 2021 από paxman

[gdp77]

Αν δεν σου είναι δύσκολο, γράψε και ένα σύντομο tutorial-how to για να το στήσει όποιος ενδιαφέρεται.

[paxman]

Ευχαρίστως, αλλά αύριο κάποια στιγμή.