web-dev-qa-db-ja.com

ソフトウェアRAID、LVM、および暗号化のセットアップに関する質問

私は4台のハードドライブを持っており、それぞれにスワップ用に10.1GB、残りの部分に990.1GBの2つのパーティションがあります。

これを利用して、RAID10を使用して2つのMDデバイスをセットアップしました。1つは4つのスワップパーティションのセット用で、もう1つは他の4つのパーティションのセット用です。

20.2GBソフトウェアRAIDデバイスをスワップとして設定し、LVMに移動しました。

これは このガイド ソフトウェアRAIDを使用する限りです。ここで、LVMと暗号化をセットアップしたいと思います。

新しいボリュームと論理ボリュームを作成しました。サイズ1.5TB。ボリュームを暗号化し、暗号化されたボリューム内の残りの1.4TBをルート(f ext4 /)として設定しました。

これが私の質問です:

スワップ領域として使用されている20.2GBソフトウェアRAIDデバイス用に別のボリューム/論理ボリュームを設定する必要がありますか?

ext4 /領域を暗号化する場合、このボリュームも暗号化する必要がありますか?

Finish partitioning and write changes to diskは次のエラーを出します:

暗号化されたパーティションに保存するルートファイルシステムを選択しました。この機能には、カーネルとinitrdを格納できる個別の/ bootパーティションが必要です。

戻って/ bootパーティションを設定する必要があります。

この/bootパーティションはどこに設定する必要がありますか? (RAIDをセットアップする前に、各ドライブにこのための追加のパーティションが必要ですか?)

どのくらいのスペースが必要ですか?

それはLVMの一部である必要がありますか?

暗号化する必要がありますか?

1
user29600

/bootを暗号化する必要はありません。暗号化しないと、ブートローダーが(時代遅れで暗号化されたボリュームをサポートしている場合を除いて)カーネルとinitrdを準備できません。カーネル、initrd、およびおそらく他のいくつかのサポートファイル以外のものを含めることはできないため、暗号化する必要はありません。

LVM PVであるデバイスは暗号化されているため、/bootは別の場所(おそらく別のRAIDボリューム)にある必要があります。 PVとして使用されるデバイスが暗号化されていない場合(代わりに、/となるLVを暗号化した場合)、GRUBを除いて/bootがLVMにある可能性があります-can't-boot-off-すべてのRAIDタイプの問題(以下を参照)。

歴史的に/bootはディスクの先頭近くになければなりませんでしたが、最近のブートローダーは一般的にこの要件を取り除きます。数百Mbで十分ですが、最近ではこのような大きなドライブが標準になっているため、非常に小さなデバイス(たとえば、小さなSDカード)に収まるように制約されない限り、万が一の場合に備えて大きくしても問題はありません。組み込みシステムの場合のように、Piまたは同様のもので)。

ほとんどのブートローダーはRAIDからの起動をサポートしていません。サポートしている場合は、「誤って」RAID1(すべてのドライブにすべてのデータのコピーがある)からの起動のみをサポートしているため、すべてのドライブに小さなパーティションを作成し、RAID1アレイを使用します。それら。このようにして、少なくとも1つのドライブが動作状態にある限り、/bootを読み取ることができます。ロードされたブートがインストール時に4つのドライブすべてのMBRにインストールされることを確認してください。そうでない場合、BIOSが別のドライブからブートする場合(たとえば、最初のドライブがオフラインであるため)、ローダーのMBRを他のドライブに取得することを混乱させる必要があります。すでにそこにあるのではなく、その時点で。

更新:以下のニックのコメントによると、最新のブートローダーは暗号化されたボリュームのいくつかの形式を直接処理できるため、ターゲットの設定に応じて、心配することが少なくなりました。

5
David Spillett

インストーラーを使用してソフトウェアRAID-10をセットアップしていませんが、RAID-1 + LVM +暗号化を使用してDebianをセットアップするときに遭遇したいくつかのことが役立つと思います。 DebianのコンソールインストーラーがUbuntuのインストーラーとどのように違うのかわからないので、これを行う方法の詳細を提供することはできません。

/bootの場合、GRUB2にはraidおよびlvmモジュールがあり、insmodコマンドでロードできます Linuxのmd raid10レイアウトを処理する必要があります 。正確な詳細は明らかに ここ ですが、サイトはダウンしています。私が彼らのマニュアルから得た情報に基づくと( 1KiBから1MiBのどこかにあるかもしれません 、私のcore.imgはすでに24KBであり、raid.modlvm.modそれぞれ6KBです)ので、パーティショニングツールが浪費するスペースの量に応じて、使用できる場合とできない場合があります。適合したとしても、Ubuntuのインストーラーにセットアップしてもらうことができない場合があります。もっと時間をかけたいと思わない限り、RAID-1を使用してDavidの別のパーティションに固執します(すべてのドライブのMBRにgrubをインストールする限り、「誤って」動作するため、追加のモジュールは必要ありません)個別に)。いずれにせよ、暗号化することはできません。

データとスワップに関しては、両方をRAID-10し、LVMに入力して暗号化することを計画している場合、それらを別々のパーティションにする意味はありません。各ドライブに1つの巨大なパーティションを作成し、LVMで分割を処理します。

したがって、grub2 lvm + raidモジュールを試す予定がない場合、パーティションは次のようになります。

  • sd [abcd] 1:100MB
  • sd [abcd] 2:その他すべて

  • rAID1として構成されたsd [abcd] 1
  • rAID10として構成されたsd [abcd] 2

この時点で、より大きなRAIDデバイスを物理ボリュームとして使用してLVMグループを作成し、次に必要な論理ボリュームを作成します。

ディスク全体の暗号化が本当に必要な場合は、ランダムキーを使用して論理ボリュームとして/tmpを設定し、残りのスペースをカバーする暗号化された論理ボリュームとして/を設定します。 /tmpを個別のパーティションとして保持することで、少なくとも、ファイルシステムが一時ファイルでいっぱいになり、ログ記録などが中断するのを防ぐことができます。

それ以外の場合は、暗号化したいものを検討してください。一部の暗号化データ(データバックアップなど)を常にマウントしないように、個別の暗号化論理ボリュームを使用するかどうかを決定します。特定のプログラムをインストールすることが隠しているものではない場合は、/homeを暗号化せずに、特定の場所(/)を暗号化することを検討してください。もちろん、暗号化する必要がある場所が複数ある場合でも、起動するために5ダースのパスフレーズを入力したくない場合があります。

個人的には、(totallyFHS準拠ではない)/cryptファイルシステムを作成し、保護したいすべてのディレクトリをそこにシンボリックリンクします。 (注:この手法により、暗号化されたデータと、場合によってはwhatデータがあることが明らかになります。シンボリックリンクに名前を付けると、Project_Orion_Nuclear_Spacedriveはおそらくあなたよりも多くの情報を漏らしています。 d like。)正しく計画されていれば、システムは無人で起動することもでき、誰かが後でパスフレーズを入力することもできます。たとえば、データベースサーバーとその暗号化されたドライブは、起動時に自動的にマウントまたは実行されないように設定されているため、システムはSSHで十分に起動し、ファイルシステムをマウントして、再起動後にデータベースサーバーを起動できます。

0
DerfK