Mdadm RAID Verbund verschlüsseln? Verständnisfrage › Sicherheit › Fortgeschrittene Themen › Forum › staging.inyokaproject.org

Mdadm RAID Verbund verschlüsseln? Verständnisfrage

« Vorherige1Nächste »

Status: Gelöst | Ubuntu-Version: Ubuntu 20.04 (Focal Fossa)
Antworten |

cheat.008 Anmeldungsdatum: 5. September 2020 Beiträge: 5	Zitieren 27. Oktober 2022 10:58 Hallo, ich habe mit mdadm einen RAID-6 mit 5+1 HDD's aufgebaut, also eine Spare HDD und möchte das ganze mit Veracrypt auf Volumeebene verschlüsseln. Ich denke dabei an zwei Optionen (meine Frage findet sich in Option #2): 1) Verschlüsseln einer jeden separaten HDD des RAID Verbunds Das Zusammenfügen des RAID Arrays würde dann voraussetzen, dass vor diesem Prozess alle Laufwerke entschlüsselt wurden. Im Falle des Defekts einer HDD würde die Spare HDD einen Rebuild abbekommen und wäre auch vorab entschlüsselt, also mMn. kein Problem. Beim Verbauen einer neuen HDD als Ersatzlaufwerk oder neue Spare HDD müsste diese vorab verschlüsselt werden (nach Kauf), dann wieder entschlüsselt und in das RAID Array eingefügt werden. 2) Verschlüsseln des RAID Laufwerks Mdadm bildet aus dem RAID Array ein einziges RAID Laufwerk /dev/md0. Reicht es hier aus dieses RAID Laufwerk zu verschlüsseln? Die Datenblöcke lägen somit unverschlüsselt verteilt auf die einzelnen Laufwerke und könnten von einem Dritten gelesen werden? - Ich frage mich an der Stelle ob ein Dritter dann nicht einfach die unverschlüsselten Laufwerke zu einem neuen RAID Array zusammenbauen und hochfahren kann und somit an die Daten kommt? Was denkt ihr, Variante 1 zur Verschlüsselung nehmen? Stimmen meine Annahmen hinsichtlich der Verschlüsselungsproblematik aus Variante 2? Ich bedanke mich fürs lesen und konstruktive Rückmeldungen ☺ LG
DJKUhpisse Supporter, Wikiteam Anmeldungsdatum: 18. Oktober 2016 Beiträge: 16818	Zitieren 27. Oktober 2022 11:09 Unter Debian habe ich es so gelöst. Es wird ein RAID-Gerät erstellt, das RAID hat mit Verschlüsselung nix am Hut. Hier als Beispiel md0. Auf md0 wird dann mit LUKS ein Container erstellt. LUKS interessiert sich nicht dafür, ob das ne Diskette, ne Platte oder halt ein RAID ist. Dann im RAID die Partitionen erstellen. Ggf. braucht es mehrere RAIDs, wenn du /boot, /home usw. separat haben willst. Ob deine erste Möglichkeit geht, kann ich nicht sagen, hört sich aus meiner Sicht aber komplexer und aufwändiger an, wenn auch theoretisch möglich.
frostschutz Anmeldungsdatum: 18. November 2010 Beiträge: 7529	Zitieren 27. Oktober 2022 11:16 (zuletzt bearbeitet: 27. Oktober 2022 11:24) 0) Spare macht bei RAID 6 kaum Sinn. Nimm den Speicherplatz mit, mache regelmäßige Tests, wenn eine Festplatte auffällt ersetze sie mit `mdadm --replace`. Ich würde cryptsetup/LUKS statt Veracrypt nehmen. Veracrypt ist eigentlich nur für die Kompatibilität mit Windows interessant, aber die ist beim mdadm-RAID ja ohnehin nicht gegeben. 1) Kann man so machen. Es ist ein etwas ungewöhnliches Setup. Und du hast dann mehr Verschlüsselungsarbeit (durch verschlüsselte Parität/Redundanz). 2) Ist das normale Setup und reicht gewöhnlich aus. Die verschlüsselten Daten werden so auf alle Platten verteilt. Unverschlüsselt ist dabei nichts, bzw. nur die RAID-Metadaten eben, aber daraus lassen sich keine Nutzerdaten ableiten. Du kannst eben sehen, daß diese Festplatten zu einem RAID-Verbund gehören, mehr nicht. Aber das wäre auch bei 1) relativ offensichtlich.
cheat.008 (Themenstarter) Anmeldungsdatum: 5. September 2020 Beiträge: 5	Zitieren 27. Oktober 2022 11:24 Ich danke euch für die Hinweise und Ideen. @DJKUhpisse Das hieße auf mein Vorhaben gemappt, ich würde einfach einen verschlüsselten Container erstellen können, der dann eben auf dem RAID Laufwerk liegt. @frostschutz frostschutz schrieb: 2) Ist das normale Setup und reicht gewöhnlich aus. Die verschlüsselten Daten werden so auf alle Platten verteilt. Unverschlüsselt ist dabei nichts ... D.h. durch das Verschlüsseln des RAID Laufwerks z.B. /dev/md0, werden die Daten schon verschlüsselt auf die einzelnen Festplatten abgelegt? ... ok, hier ging ich davon aus, dass das Gegenteil der Fall ist. Mit LUKS hatte ich bislang keine Berührungspunkte, weil ich mit Veracrypt bisher auch auf Linux gearbeitet hatte. Gibt es einen nennenswerten Vorteil von LUKS gegenüber Veracrypt, lohnt sich hier der Schwenk?
DJKUhpisse Supporter, Wikiteam Anmeldungsdatum: 18. Oktober 2016 Beiträge: 16818	Zitieren 27. Oktober 2022 11:33 @DJKUhpisse Das hieße auf mein Vorhaben gemappt, ich würde einfach einen verschlüsselten Container erstellen können, der dann eben auf dem RAID Laufwerk liegt. Exakt.
frostschutz Anmeldungsdatum: 18. November 2010 Beiträge: 7529	Zitieren 27. Oktober 2022 14:31 (zuletzt bearbeitet: 27. Oktober 2022 14:31) cheat.008 schrieb: D.h. durch das Verschlüsseln des RAID Laufwerks z.B. /dev/md0, werden die Daten schon verschlüsselt auf die einzelnen Festplatten abgelegt? Wenn auf md0 ausschließlich verschlüsselte Daten geschrieben werden, dann kann md0 auf seine RAID-Members auch nur verschlüsselte Daten verteilen. Unverschlüsselte Daten können dann nur insofern existieren, wenn sie vorher (vor `mdadm --create` bzw. bevor die Verschlüsselung eingerichtet wurde) schon da waren. Deswegen gibts ja die Empfehlung, Festplatten vor der Verschlüsselung einmal komplett mit Zufallsdaten zu überschreiben.
cheat.008 (Themenstarter) Anmeldungsdatum: 5. September 2020 Beiträge: 5	Zitieren 27. Oktober 2022 14:33 Ok, dann wäre Option 2 wirklich die sehr viel effizientere Art und Weise die Daten global zu verschlüsseln, allem voran hinsichtlich des Austauschs einer defekten Platte (weniger Arbeitsaufwand). Danke für die Hinweise nochmal!

« Vorherige1Nächste »

Antworten |

« Vorheriges Thema Nächstes Thema »