Назад | Перейти на главную страницу

Вопросы по настройке программного RAID, LVM и шифрования

У меня 4 жестких диска, на каждом по два раздела 10.1GB для обмена и 990.1GB что касается прочего.

Я взял это и настроил два MD-устройства с RAID10, одно для набора из 4 разделов подкачки и одно для набора из 4 других разделов.

Я установил 20.2GB Программное устройство RAID в качестве моего свопа и перешло на LVM.

Это насколько это руководство берет меня с помощью программного RAID. Теперь я хотел бы настроить LVM и шифрование на нем.

Я создал новый том и логический том; размер 1.5TB. Я зашифровал том и поставил оставшиеся 1.4TB внутри зашифрованного тома как корень (f ext4 /).

Вот мои вопросы:

Стоит ли настраивать отдельный том / логический том для 20.2GB Программное устройство RAID используется в качестве области подкачки?

Следует ли мне зашифровать и этот том, если я шифрую ext4 / площадь?

Finish partitioning and write changes to disk дает ошибку:

Вы выбрали корневую файловую систему для хранения на зашифрованном разделе. Для этой функции требуется отдельный раздел / boot, на котором можно хранить ядро ​​и initrd.

вам следует вернуться и настроить раздел / boot.

Где это /boot раздел нужно настроить? (Следует ли на каждом диске иметь для этого дополнительный раздел перед настройкой RAID?)

Сколько места ему нужно?

Должен ли он быть частью LVM?

Следует ли его зашифровать?

/boot не должен быть зашифрован, иначе загрузчик (если я не отстаю от времени и один из них поддерживает зашифрованные тома) не сможет подготовить ядро ​​и initrd. Его не нужно шифровать, так как он никогда не должен содержать ничего, кроме ядра, initrd и, возможно, нескольких других файлов поддержки.

Устройство, которое является вашим LVM PV, зашифровано, затем /boot нужно будет где-то еще: возможно, отдельный том RAID. Если устройство, используемое в качестве PV, не зашифровано (вместо этого вы зашифровали LV, который должен быть /) затем /boot может быть в LVM, за исключением проблемы GRUB-cannot-boot-off-all-RAID-types (см. ниже).

Исторически /boot должен был находиться около начала диска, но современные загрузчики обычно снимают это требование. Несколько сотен Мбайт должно быть вполне достаточно, но с такими большими дисками, которые являются стандартом в наши дни, не будет ничего плохого в том, чтобы сделать их больше на всякий случай, если вы не ограничены попыткой поместиться в очень маленькое устройство (скажем, небольшую SD-карту в Pi или аналогичном), как это может быть в случае встроенной системы.

Большинство загрузчиков не поддерживают загрузку с RAID или, если они это делают, они поддерживают загрузку только с RAID1 (где на каждом диске есть копия всех данных) "случайно", поэтому создайте небольшой раздел на всех дисках и используйте массив RAID1 поверх их. Сюда /boot доступен для чтения, пока хотя бы один диск находится в рабочем состоянии. Убедитесь, что загруженные при загрузке устанавливаются в MBR всех четырех дисков при установке, иначе, если вы загрузите BIOS с другого (например, из-за того, что первый отключен), вам придется возиться с получением MBR загрузчика на другой диск (диски) в этот момент, а не уже там.

Обновить: Согласно приведенному ниже комментарию Ника, современные загрузчики могут напрямую работать с некоторыми формами зашифрованных томов, поэтому в зависимости от вашей целевой настройки теперь меньше о чем беспокоиться.

Я не настраивал программный RAID-10 с помощью установщика, но думаю, что некоторые вещи, с которыми я столкнулся при настройке Debian с шифрованием RAID-1 + LVM +, могут помочь. Я не знаю, чем установщик консоли Debian отличается от установщика Ubuntu, поэтому я не могу подробно рассказать, как это сделать.

Для /boot, GRUB2 имеет raid и lvm модули, которые могут быть загружены insmod команда который должен обрабатывать макет md raid10 Linux. Точные детали, по-видимому, Вот но сайт не работает. Основываясь на информации, которую я получаю из их руководства (у вас может быть где-то от 31КиБ до 1МиБмой core.img уже составляет 24 КБ, а raid.mod и lvm.mod размером 6 КБ каждый), поэтому вы можете или не сможете использовать его в зависимости от того, сколько места занимает ваш инструмент разбиения. Даже если он подходит, вы не сможете получить установщик Ubuntu, чтобы настроить его для вас. Если вы не хотите тратить на это больше времени, я бы остановился на отдельном разделе Дэвида, используя RAID-1 (для которого не потребуются дополнительные модули, поскольку он «случайно» работает, пока вы устанавливаете grub на все MBR дисков. индивидуально). В любом случае его нельзя зашифровать.

Что касается данных и свопа, если вы планируете использовать RAID-10 для них обоих, ввести их в LVM и зашифровать их, то нет смысла делать их отдельными разделами. Сделайте по одному гигантскому разделу на каждом диске и обработайте разделение в LVM.

Так что, если вы не собираетесь пробовать модули raid grub2 lvm +, ваши разделы должны выглядеть примерно так:

  • sd [abcd] 1: 100 МБ
  • sd [abcd] 2: все остальное

с участием

  • sd [abcd] 1 настроен как RAID 1
  • sd [abcd] 2 настроен как RAID 10

На этом этапе вы создаете группу LVM, используя большее устройство RAID в качестве физического тома, а затем любые логические тома, которые вам нужны.

Если вам действительно нужно шифрование всего диска, я бы настроил /tmp как логический том со случайным ключом, а затем / являясь зашифрованным логическим томом, покрывающим остальное пространство. Сохранение /tmp в качестве отдельного раздела, по крайней мере, не позволяет людям заполнять файловую систему временными файлами и вызывать сбои в ведении журнала и других вещах.

В противном случае оцените, что вы хотите зашифровать. Решите, хотите ли вы иметь отдельные зашифрованные логические тома, чтобы некоторые зашифрованные данные (например, резервные копии данных) не монтировались постоянно. Если вы не скрываете наличие определенных программ, подумайте о конкретном месте (/home) зашифрованы пока / незашифрованный. Конечно, у вас может быть более одного местоположения, которое необходимо зашифровать, но вы не хотите вводить полдюжины кодовых фраз для загрузки.

Лично я создаю (полностью не соответствует требованиям FHS) /crypt файловую систему и символическую ссылку на каждый каталог, который я хочу защитить там. (примечание: этот метод делает очевидным, что у вас есть зашифрованные данные и, возможно, какие данные есть. Присвоение имени вашей символической ссылки Project_Orion_Nuclear_Spacedrive, вероятно, приводит к утечке большего количества информации, чем вам хотелось бы.) При правильном планировании система может даже загружаться без присмотра, и кто-то может ввести кодовую фразу позже. Например, мои серверы баз данных и их зашифрованные диски не настроены автоматически монтировать или запускать при загрузке, поэтому система загрузится достаточно, чтобы я мог использовать ssh, затем я могу смонтировать файловую систему и запустить сервер базы данных после перезагрузки.