Установка системы с шифрованием всего диска

0

2

Всем доброго времени суток!
Собрался наконец перенести систему на шифрованный раздел.
Не уверен что все сделал правильно, поэтому прошу знающих указать на возможные ошибки или места где могут быть проблемы.

Ноут:
HDD на 500GB.
Таблица разделов GPT.
Первый раздел: 2MB bios_grub
Второй раздел: все оставшееся место.
Второй раздел отформатировал в luksFormat, поверх него развернул lvm с тремя логическими томами: swap, root, home.

Desktop:
SSD на 120GB и HDD на 1TB.
На SSD: GPT и два раздела 2MB bios_grub и второй все оставшееся место.
На HDD: GPT и один раздел на весь диск.
В этом случае сделал уже luks поверх lvm.
Сначала в lvm объединил раздел с SSD и раздел с HDD в группу томов, затем разбил на три логических тома: swap, root, home.
При этом в lvcreate указал использовать для swap и root раздел на SSD (Спасибо ~~KRoN73~~ за этот комментарий).
Далее каждый по отдельности отформатировал в luksFormat.
Чтобы три раза не вводить пароль, home и swap подключаю через key file в /etc/crypttab.

На оба компа установил kubuntu 16.04.

Пару дней все работает нормально, буду благодарен за любые рекомендации.

Ссылка

←	Xfce некоторые вопросы

Numix circle как изменить оранжевый цвет каталогов на другой

→

У меня схема такая efi раздел, остальное под luks, в котором lvm с boot, root, swap, home and etc. В grube прописан GRUB_ENABLE_CRYPTODISK=y.

anonymous
(18.12.16 12:29:56 MSK)

Ссылка

Сначала в lvm объединил раздел с SSD и раздел с HDD в группу томов, затем разбил на три логических тома: swap, root, home.

http://lurkmore.to/Выстрелить_себе_в_ногу

ArcFi ★
(18.12.16 14:34:51 MSK)

Ответ на: комментарий от ArcFi 18.12.16 14:34:51 MSK

Почему?

isildur
(18.12.16 14:50:29 MSK) автор топика

Ответ на: комментарий от isildur 18.12.16 14:50:29 MSK

Надёжность системы понижена до уровня RAID0.
Критичные для быстрой работы данные, вместо использования SSD, размазаны по обоим дискам.

ArcFi ★
(18.12.16 15:11:49 MSK)

Ответ на: комментарий от ArcFi 18.12.16 15:11:49 MSK

Надёжность системы понижена до уровня RAID0.

Т.е если умрет любой из дисков все данные будут потеряны?
Разве не умрет просто логический том? Я при lvcreate указывал какой sdXY использовать.
Это же относится и ко второму замечанию.

isildur
(18.12.16 15:28:45 MSK) автор топика

Ответ на: комментарий от isildur 18.12.16 15:28:45 MSK

Я при lvcreate указывал какой sdXY использовать.

Держать весь хомяк на HDD нерационально.
Конфиги и кэши надо вынести на SSD, а данные — на HDD.

ArcFi ★
(18.12.16 16:02:52 MSK)

Ответ на: комментарий от ArcFi 18.12.16 16:02:52 MSK

Я думаю что использование lvm в моем случае может даже лишнее.

Конфиги и кэши надо вынести на SSD, а данные — на HDD.

Не задумывался об этом.
Как лучше это организовать?
Перенести на SSD и прописать симлинки?

isildur
(18.12.16 16:10:03 MSK) автор топика

Ответ на: комментарий от isildur 18.12.16 16:10:03 MSK

Перенести на SSD и прописать симлинки?

Да, так будет проще всего.
Для сложных случаев можно использовать бинд-маунт.

ArcFi ★
(18.12.16 16:33:46 MSK)

Ответ на: комментарий от ArcFi 18.12.16 16:33:46 MSK

Получается что разделы luks прямо на sdXY + перенос часть /home на SSD самое оптимальное решение в данном случае?

isildur
(18.12.16 16:53:02 MSK) автор топика

Ответ на: комментарий от isildur 18.12.16 16:53:02 MSK

Я бы сделал десктоп на SSD по тому же принципу, что и лэптоп, но с выносом данных из хомяка через симлинки на HDD.
LVM поверх LUKS даёт возможность в онлайне перенести тома на другой носитель через pvmove и при необходимости безболезненно переформатировать LUKS.

ArcFi ★
(18.12.16 18:24:22 MSK)

Ответ на: комментарий от ArcFi 18.12.16 18:24:22 MSK

Спасибо! Такая идея мне больше нравится.
Наверно так и сделаю.
На SSD создам luks раздел, положу в него lvm с root, swap, home. А раздел на HDD отформатирую в luks и буду в него из хомяка данные выносить.

isildur
(18.12.16 19:02:11 MSK) автор топика

Ссылка

Одобряю интерес автора топика.

Работает ли в вашей схеме suspend to disk? Не уверен. У меня работает, для этого понадобилось swap сделать физическим разделом диска, отформатированным LUKS, внутри которого уже разметка swap.

В остальном, я пользуюсь одним шифрованным разделом с rootfs. В итоге, имею три раздела: boot (в некоторых случаях он на носимой флешке), шифрованый swap, шифрованый rootfs.

Andrey_Utkin ★★
(18.12.16 21:50:23 MSK)

Ответ на: комментарий от Andrey_Utkin 18.12.16 21:50:23 MSK

Тут http://thesimplecomputer.info/full-disk-encryption-with-ubuntu пишут что для гибернации нужно в файле /etc/initramfs-tools/conf.d/resume заменить UUID на /dev/mapper/swap и пересобрать initrd.
Еще не проверял.

isildur
(18.12.16 22:11:12 MSK) автор топика

Ответ на: комментарий от isildur 18.12.16 22:11:12 MSK

Гибернация работает, проверил на ноутбуке.

# pm-hibernate

Полностью отключил питание.
При запуске запросил пароль от luks и восстановил сессию.

isildur
(18.12.16 22:25:22 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Xfce некоторые вопросы

Desktop

Numix circle как изменить оранжевый цвет каталогов на другой

→

Похожие темы