LINUX.ORG.RU

Debian RAID1 + CRYPT + «Boot on flash» - помогите, уже даже мат иссяк

 , ,


0

1

Приветствую, гуру. Поогите, плз, нубу разобраться в тоннах доки и сделать такую схему:

1. Два диска в RAID1, зашифровать целиком, потом поверх этого разделы для работы (swap + /) 2. /boot - загрузчик на флешке с логикой инициализации массива и дальнейшей инициализацией шифрованного диска

Я далеко не гуру, смог сделать просто шифрованный диск, смог просто собрать массив если систему не на шифрованном диске делать, смог отдельно вынести на флешку /boot... но вот подружить все это вместе - неделю стену лбом расшибаю, не выходит каменный цветок.

Debian 9.3

ЗЫ. Прошу многого, но слова вида «смотри туда/сюда, читай мануал» уже даже не воспринимаются адекватно - перекурил столько подобной «дури», что организм уже не принимает. Прошу помочь конкретными описаниями команд/директив/порядка действий =(

Питерским благодарность может измеряться универсальной «емкостной» валютой...


Что именно не получается?

перекурил столько подобной «дури»

Если ты думал, что от травы у тебя в голове появятся знания, то это не так.

anonymous ()

А не подойдет вариант зашифровать весь корень и не делать эту флешку с /boot? Перед расшифровкой корня загрузчик ожидает ключ. Его можно сделать на специальной флешке. Без ключа корень не расшифровывается, загрузка дальше не идет.

Тогда вот эти темы:

www.linux.org.ru/forum/security/10992153

www.linux.org.ru/forum/admin/13254895

Так, как ты именно хочешь с внешним /boot, я не делал, поэтому сказать, что делать по шагам не могу. Ты, наверное, должен всем рассказать, что ты делал и что получил.

Zubok ★★★★★ ()
Последнее исправление: Zubok (всего исправлений: 1)
Ответ на: комментарий от anonymous

Да я уже даже сказать затрудняюсь, что не получается... Если делать все по раздельности - все хорошо, но как только пытаюсь все вместе подружить (банально LUKS + RAID), ребут и «досвидос» - черный экран...

А по поводу «дури» - кавычки для того и есть, что речь не о траве, а о «курении мануалов»...

zuart ()
Ответ на: комментарий от Zubok

Тут дело в том, что флешка - это, как бы сказать, частный случай загрузочного варианта. Суть в том, что сервак с IPMI - и грузить его шеф будет исключительно сам (в случае каких-то там траблов с питанием).

И само собой, что бегать с флешкой он не будет, а будет просто грузить образ этой флешки через IPMI и с него стартовать железку. Вариант шифрования и /boot-а он по каким-то своим тараканам отрицает полностью (хотя честно говоря, я все-равно не знаю, как мне это поможет, то ли руки из ж...ы, то ли полоса черная).

Если можно через IMPI передавать файл ключа при загрузке, может быть и смогу уговорить, но для этого мне на виртуалке хоть какой-то вариант нужно поднять и отладить процесс...

zuart ()
Ответ на: комментарий от zuart

Для интереса поставил debian 9.4.0 amd64 в виртуалку с двумя дисками на 8 Гб и одним диском на 1 Гб (это типа флешка). Ставил в экспертном режиме. Всё, что пришлось сделать из командной строки вручную — это создать зеркало из неразмеченных дисков:

mdadm --create --verbose -n 2 -l 1 --bitmap=internal --metadata=0.9 /dev/md0 /dev/sda /dev/sdb --assume-clean
После этого в UI инсталлера появилось два диска: RAID1 volume /dev/md0 и флешка /dev/sdc. Все остальные действия делал в UI инсталлера. На флешке сделал один раздел для /boot. На массиве создал криптованный том. У криптованного тома указал использование как LVM physical volume. Создал LVM volume group, исползующую этот LVM PV. Создал LVM logical volumes под своп и корень, использующие эту LVM VG. Grub поставил в /dev/sdc.

В результате получилось:

  • /dev/sda — RAID member, formatted as MD 0.9
  • /dev/sdb — RAID member, formatted as MD 0.9
  • /dev/md0 — RAID1 volume, formatted as LUKS
  • /dev/mapper/md0_crypt — LUKS volume, formatted as LVM PV
  • /dev/mapper/vg0-swap — LVM LV, formatted as swap
  • /dev/mapper/vg0-root — LVM LV, formatted as ext4 (/)
  • /dev/sdc1 — partition, formatted as ext4 (/boot)

После установки загружается с флешки, спрашивает пароль к шифрованному тому.

iliyap ★★★ ()

Что бы все работало нужно что бы в initrd.img имелись все необходимые модули.

Это можно сделать «в лоб», посмотреть какие модули есть, и добавить отсутствующие.

Но проще сразу поставить систему штатным установщиком в необходимой конфигурации, он это умеет.

Я вообще сделал 3 разные системы на однм luks диске, правда не штатным установщиком :)

Ushenin ()
Последнее исправление: Ushenin (всего исправлений: 1)