geninitrd - luks na raid1? - nie raid na luks
Wieslaw Kierbedz
w.kier w farba.eu.org
Czw, 26 Lis 2009, 15:42:55 CET
Jacek Konieczny anonsuje::
> On Thu, Nov 26, 2009 at 02:25:07PM +0100, Wieslaw Kierbedz wrote:
>
>>> LUKS na md
>>>
>> Sam sobie taki zrobiłem, dlatego musiałem do geninitrd zajrzeć.
>>
>>> jak najbardziej ma sens, IMHO większy niż md na LUKS (po
>>> cholerę dwa razy szyfrować te same dane?)
>>>
>> No nie 2 razy, tylko warstwy w innej kolejności.
>>
>
> Jeżeli "md" to RAID1 na dwóch urządzeniach (zapomniałem, że dla
> niektórych "RAID" to "RAID0", który do końca RAIDem nie jest), to jeśli
> będą to dwie szyfrowane partycje, to dane będą szyfrowane dwa razy. Bez
> sensu.
>
1
>
>>> LUKS na LVM ma już mniejszy sens, ale też mogę sobie wyobrazić, że ktoś
>>> tego by chciał używać.
>>>
>>>
>> Znam przypadek odwrotny - LVM na luks.
>> Używacz sobie chwali.
>>
>
> No, LVM na LUKS to jasna sprawa. Wręcz podstawowa konfiguracja tych
> dwóch. Sam tak mam na dwóch maszynach.
>
>
>
1
Zajrzałem do rc.sysinit.
Do aktywacji używa funkcji z cryptsetup (init).
IMHO cryptsetup (skrypt) powinien zostać usunięty, a funkcje trafić do
functions.
Pierwsza powinna tylko sprawdzać czy urządzenie jest luksowe (cryptsetup
isLuks) - każde urządzenie - sd hd md lvm.
A druga ew. deszyfrować wg crypttab.
I sprawdzenie powinno być wywoływane przed każdą próbą użycia ww.
urządzeń - montowania, składania md/lvm.
W rc.sysinit widzę trzy takie miejsca, więc nie jakoś koszmarnie wiele.
Jeżeli komuś zależy na czasie, to ew. switch w /etc/sysconfig/system.
--
WK
Więcej informacji o liście dyskusyjnej pld-devel-pl