Ubuntu、RAID1、およびヘッドレスサーバーでの暗号化されたLVMに関する説明
ノートパソコンとサーバーでハードディスクを暗号化することについてはかなり前から考えていましたが、暗号化が日常の使用やセットアップと管理の複雑さにどのように影響するかを理解していないため、うまくいきませんでした。概説したチュートリアルに進む前に、質問についていくつか説明したいと思います ここ 。
LVMの暗号化は、フルディスク暗号化と同等ですか? UbuntuにはLVM暗号化とホームディレクトリの暗号化を行うオプションがあるので、私は混乱しています。
OSを起動すると、アクセスできるファイルは暗号化されていないLVMのファイルと同等ですか?つまり、ファイルをUSBディスクにコピーし、ssh、rsyncフォルダーなどを介して転送し、転送されたデータを新しい場所(暗号化されていない)で意味のあるものにすることはできますか?または、新しい場所でこれらのファイルを使用するために特別なことをする必要がありますか?
私のサーバーでは、現在、ハードウェアRAID1を使用して2つの1.5TBディスクをセットアップしています。実際、私もRAIDで遊んでいるのはこれが初めてです。暗号化されたLVMでRAID1を使用すると、事態が複雑になりますか?つまり、 これら 命令は幸せですか?
私のサーバーは(学校で)リモートにあり、常に物理的にアクセスできるとは限りません。ただし、リモートで再起動すると、OSを起動する前にパスフレーズを入力する必要があります。あなたはこれに対処しましたか? This 投稿はearly-sshを示唆しています。
近い将来、ハードウェアRAID1を介して2つの2TBディスクをサーバーに追加する予定です。もちろん、新しいディスクのコンテンツも暗号化する必要があります。新しいディスクを追加するのはどれほど複雑で、どのように追加するのでしょうか。これらの2つのミラーディスクを元のディスクから「分離」しておくことは可能でしょうか?つまり、これらのディスクを取り外して別のコンピューターにマウントすることは可能でしょうか?暗号化されたコンテンツにアクセスするにはどうすればよいですか?
あなたからの便りを楽しみにしています!ありがとう!
チュートリアルのコメントで同じ質問をしたことに注意してください。ただし、ここでさらに多くの回答と説明が得られると思います。
1-Debian/Ubuntuで暗号化されたLVMを使用すると、パーティションが作成されます。そのパーティションにDM-CRYPTがセットアップされ、暗号化されたDM-CRYPTボリューム内にLVMボリュームが作成されます。すべてのパーティションに使用する場合、基本的にはフルディスク暗号化です。
2-暗号化されたLVMを使用して、システムが起動され、ボリュームがマウントされると、その後はすべて透過的になります。これは、システムの電源がオンになっていてドライブがマウントされているときに、誰かがシステムをリモートで侵害できる場合、その人は単に暗号化を知らないか、気にしないことを意味します。
3-DM-CRYPTおよびLVMでソフトウェアRAIDを使用するのは簡単です。私はそれを半ダースの箱に設置しました。 RAIDをセットアップし、次にRAIDに暗号化ボリュームをセットアップし、次に暗号化ボリュームにLVMをセットアップします。
4-私はこれに対する良い解決策を見つけていません。私ができることの1つは、IPベースのKVMを考え出すことだと思います。その初期のSSHツールは機能するはずです。
5
- はい、追加できます。とても簡単です。
- RAIDをセットアップし、cryptsetupを実行して、LVMボリュームグループを作成します。物事を自動的にマウントしたい場合は、crypttab/fstabを更新してください
- ボリュームを別のシステムに移動することは、Linuxシステムは、物理ドライブを移動してマウントするのと同じくらい簡単なはずです。
次のドキュメントを読むのに少し時間がかかります。それはすべてとても簡単です。
質問4のアイデア:サーバーに永続的に接続されているUSBスティックに暗号化キーを配置します。