[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Linux: Einzelne Festplatte nach RAID1 erweitern? dm-cache? ZFS?
[Thread Prev] | [Thread Next]
[Date Prev] | [Date Next]
- Subject: Re: Linux: Einzelne Festplatte nach RAID1 erweitern? dm-cache? ZFS?
- From: Marc Haber <mh+uugrn@xxxxxxxxxxxx>
- Date: Thu, 30 May 2013 10:52:58 +0200
- To: uugrn@xxxxxxxxxxxxxxx
On Thu, May 30, 2013 at 02:04:12AM +0200, Raphael Eiselstein wrote: > Wuerde ich das RAID1 zunaechst wie von Dir beschrieben mit der neuen Platte > initial aufsetzen, muesste ich 2TB an Daten durch dm-crypt lesen und 2TB > durch dm-crypt wieder schreiben.> das dm-crypt ist dabei ueberhaupt gar kein Problem. Die Dateisystemoperationen sind das, was die Zeit braucht. Halbwegs aktuelle Hardware vorausgesetzt. > Daher war auch meine Frage, ob man verlustfrei eine bestehende Platte > (Partition) in ein RAID umwandeln kann. Zu mindest fuer mein Experiment > in einer VM mit einem ext4 in der Partition hat das wunderbar geklappt > (mit bisschen nachbessern). Das wuerde ich niemalsnie ohne Backup versuchen. > Die noch offene Frage ist, wo dm-crypt seine Metadaten nachher sucht: am > Anfang oder am Ende des Volumes? Am Anfang, so viel ich weiss. > > Fuer die Operation am offenen Herzen der bestehenden Daten waere ich nie > > im Leben mutig genug. > > Die wirklich wichtigen Daten habe ich ohnehin nochmal auf einem > Backup-Medium. Nicht alle Daten auf dieser Platte sind gleichermassen > wichtig oder sensibel. Insofern ist das mit dem offenen Herz zwar > richtig, aber nicht lebensbedrohlich. Na dann. > > Der kanonische Trick ist, den Schluessel fuer die anderen LVs auf der > > ersten LV abzulegen und ein Keyscript zu verwenden, die andern LVs > > automatisiert aufzuschliessen wenn die erste LV aufgeschlossen ist. > Das mit den Schluesseln statt passphrase ist definitiv eine Option. Werde > ich beim naechsten mal in Erwaegung ziehen. Aeh, ich meine natuerlich die Passphrase. Die kann man wenigstens aendern. Unter Debian sieht das so aus: root /dev/disk/by-id/dm-name-swivel-c_root none luks,discard,keyscript=/etc/swivel/keyscript_swivel_root "usr /dev/disk/by-id/dm-name-swivel-c_usr none luks,discard,keyscript=/etc/swivel/keyscript_swivel Der kritische Abschnitt in keyscript_swivel_root ist der da: while ! [ -e "${MAPPER}/${DEVICE}" ]; do if [ -x /bin/plymouth ] && plymouth --ping; then plymouth ask-for-password --prompt | cryptsetup --key-file=- luksOpen $CRYPTDEVICE $DEVICE else /lib/cryptsetup/askpass "Password for root key: " | cryptsetup --key-file=- luksOpen $CRYPTDEVICE $DEVICE fi done keyscript_swivel besteht hauptsaechlich aus einem echo-Befehl. Ich verwende noch ein bisschen zusaetzliche Magie; wenn Dich das interessiert, sprich mich mal irl an, das muss ich hier nicht in der Mailingliste breittreten. > > Oder man macht dm-crypt mit dem TPM, das auf dem Rechner steckt, dann > > ist es egal dass der Schluessel n-mal ausgelesen wird. > > Da hab ich null Erfahrung mit und wueste nichtmal, ob mein n36L das > ueberhaupt hat. Tendenziell will ich die Platten auch in einem anderen > Rechner wieder entschluesseln koennen. Praxistipps und Erfahrungsberichte > willkommen. Das in einem anderen Rechner entschluesseln ist trivial moeglich; die mir bekannten Beschreibungen fuer dm-crypt mpt TPM nutzen LUKS, Du kannst da jederzeit in einem anderen Keyslot eine eintippbare Passphrase verwenden. Und sich den Schluessel fuer das unterliegende symmetrische Cryptosystem herausdumpen geht immer (dmsetup show --list-keys oder so). Gruesse Marc -- ----------------------------------------------------------------------------- Marc Haber | "I don't trust Computers. They | Mailadresse im Header Mannheim, Germany | lose things." Winona Ryder | Fon: *49 621 31958061 Nordisch by Nature | How to make an American Quilt | Fax: *49 621 31958062 -- UUGRN e.V. http://www.uugrn.org/ http://mailman.uugrn.org/mailman/listinfo/uugrn Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste Archiv: http://lists.uugrn.org/