Questões de Configuração de RAID, LVM e Criptografia de Software

/boot não precisa ser criptografado senão o carregador de boot (a menos que eu esteja atrasado e um deles suporta volumes criptografados) não será capaz de preparar o Kernel e o initrd. Ele não precisa ser criptografado, pois ele nunca deve conter nada além do kernel, do initrd e talvez de alguns outros arquivos de suporte.

O dispositivo que é seu PV do LVM é criptografado, então /boot precisará estar em outro lugar: provavelmente um volume RAID separado. Se o dispositivo usado como o PV não estiver criptografado (em vez disso, você criptografou o LV que deve ser / ), então /boot poderia estar no LVM, exceto para o GRUB-não pode inicializar-off-all-RAID- tipos (veja abaixo).

Historicamente, o /boot tinha que estar perto do início do disco, mas os carregadores de inicialização modernos geralmente removem esse requisito. Algumas centenas de Mb devem ser perfeitamente suficientes, mas com drives tão grandes sendo padrão atualmente, não haverá nenhum dano em torná-lo maior, a menos que você esteja limitado ao tentar encaixar em um dispositivo muito pequeno (digamos, um pequeno cartão SD em um Pi ou similar), como pode ser o caso de um sistema embarcado.

A maioria dos carregadores de boot não suporta a inicialização via RAID ou, se suportarem apenas o RAID1 (onde cada unidade tem uma cópia de todos os dados) "por acidente", crie uma pequena partição em todas as unidades e use um Matriz RAID1 sobre eles. Dessa forma, /boot é legível desde que pelo menos uma unidade esteja em um estado de funcionamento. Certifique-se de que a inicialização carregada se instale no MBR de todas as quatro unidades na instalação, caso contrário, se o BIOS for inicializado novamente (devido ao primeiro estar off-line, por exemplo) você terá que mexer com o MBR do carregador na (s) outra (s) unidade (s) nesse ponto, em vez de já estar lá.

Atualização: Conforme o comentário de Nick abaixo, os gerenciadores de inicialização modernos podem lidar diretamente com algumas formas de volumes criptografados, portanto, dependendo da sua configuração de destino, há menos coisas para se preocupar.

Eu não configurei o software RAID-10 usando o instalador, mas acho que algumas das coisas que eu corri enquanto configurava Debian com criptografia RAID-1 + LVM + podem ajudar. Eu não sei como o instalador de console do Debian é diferente do instalador do Ubuntu, então não posso oferecer detalhes sobre como fazer isso.

Para /boot , o GRUB2 tem raid e lvm modules que podem ser carregados com seu comando insmod que deve lidar com o layout md raid10 do Linux . Os detalhes exatos são aparentemente aqui , mas o site está inativo. Com base nas informações que recebo de seu manual ( você pode ter algo entre 31KiB e 1MiB , meu core.img já é de 24 KB, e raid.mod e lvm.mod são 6 KB cada, portanto você pode ou não usá-lo, dependendo do espaço que sua ferramenta de particionamento desperdiça. Mesmo se couber, você pode não ser capaz de fazer o instalador do Ubuntu configurá-lo para você. A menos que você tenha vontade de arriscar mais tempo, eu ficaria com a partição separada do David usando RAID-1 (que não precisará de nenhum módulo extra, já que "acidentalmente" funciona, desde que você instale o grub em todos os MBRs das unidades individualmente). De qualquer maneira, não pode ser criptografado.

Quanto a dados e swap, se você está planejando RAID-10, insira-os no LVM e os criptografe, então não faz sentido separar partições. Faça uma partição gigante em cada drive e cuide da divisão em LVM.

Então, se você não vai experimentar os módulos grub2 lvm + raid, suas partições devem ser parecidas com:

• sd [abcd] 1: 100MB
• sd [abcd] 2: tudo mais

com

• sd [abcd] 1 configurado como RAID 1
• sd [abcd] 2 configurado como RAID 10

Neste ponto, você cria um grupo LVM usando o dispositivo RAID maior como seu volume físico e, em seguida, os volumes lógicos que desejar.

Se você realmente quiser a criptografia completa do disco, eu configuraria /tmp como um volume lógico com uma chave aleatória e, em seguida, / seria um volume lógico criptografado cobrindo o restante do espaço. Manter /tmp como uma partição separada, pelo menos, evita que as pessoas preencham o sistema de arquivos com arquivos temporários e fazem com que o registro e outras coisas sejam interrompidas.

Caso contrário, faça um balanço do que você deseja criptografar. Decida se deseja ter volumes lógicos criptografados separados para que você possa ter alguns dados criptografados (por exemplo, backup de dados) não montados o tempo todo. Se a instalação de programas específicos não for o que você está ocultando, considere ter um local específico ( /home ) criptografado, enquanto / não está criptografado. Claro, você pode ter mais de um local que precisa ser criptografado, mas não deseja inserir meia dúzia de senhas para inicializar.

Pessoalmente, o que eu faço é criar um sistema de arquivos /crypt ( totalmente não compatível com FHS) e criar um link simbólico para cada diretório que eu quero proteger. (nota: esta técnica torna óbvio que você tem dados criptografados e possivelmente quais dados são. Nomear seu link simbólico Project_Orion_Nuclear_Spacedrive provavelmente está vazando mais informações do que você gostaria.) Planejado corretamente, o sistema pode até mesmo inicializar sem supervisão e alguém pode inserir a frase-senha mais tarde. Por exemplo, meus servidores de banco de dados e suas unidades criptografadas estão configurados para não serem montados ou executados automaticamente na inicialização, portanto, o sistema inicializará o suficiente para mim em ssh, então eu posso montar o sistema de arquivos e iniciar o servidor de banco de dados após a reinicialização. / p>