Moin *,
mit etwas Überraschung habe ich zur Kenntnis genommen, dass mit Fedora 25 scheinbar auch das bei der Installation verwendete Partitionierungsschema geändert wurde.
Aufgrund massiver Paranoia verwende ich gern Festplattenverschlüsselung via LUKS in Kombination mit LVM. Bei allen mir bislang bekannten Distributionen (*SUSE, Debian, RedHat) ergibt eine Installation mit dem Häckchen 'Daten verschlüsseln' ein Partitionierungslayout, in welchem zuerst ein LUKS-Device über den gesamten zu verschlüsselnden Bereich angelegt wird, und darauf mit LVM partitioniert wird.
Beispiel:
Wie gesagt, so ähnlich kenne ich das seit Jahren von mehreren Distributionen als Vorgabe.
Bei Fedora ist das nun scheinbar geändert worden. Stattdessen wird nun für jede Partition bzw. jedes LV ein eigenes LUKS-Device erzeugt und das LUKS-Device liegt nun innerhalb von LVM.
Beispiel:
Ich kann nicht ausschließen, dass dies aus einer Fehlbenutzung des Installationsprogrammes 'anaconda' meinerseits resultiert (auch wenn ich es 2x durchgeführt habe). Das Ding ist qualitativ nicht besonders gut, was Stabitität und Übersichtlichkeit angeht - hier hat SUSE klar die Nase vorn. Aber ich habe die selbe Vorgehensweise gewählt wie bei dutzenden Installationen mit RedHat-Systemen zuvor.
Die Vorteile dieser Vorgehensweise erschließen sich mir bislang noch nicht, wohl aber die Nachteile. Denn im vorliegenden Beispiel habe ich ein Notebook mit mehreren Usern, wobei für jeden User jeweils ein eigener Key-Slot im LUKS-Device gesetzt wird. Dadurch muss sich der User nicht zwei Passworte merken (die Passphrase für LUKS und das eigene Password), sondern verwendet das gleiche für beide Subsysteme.
Wenn ich diesen Mechanismus so beibehalten möchte, müsste ich wahrscheinlich nach der Installation für jeden User auf jedem LUKS-Device den zusätzlichen Key-Slot setzen. Das scheint mir unhandlich und wenig sinnvoll. Und weil ich den Sinn dahinter noch nicht verstanden habe, habe ich vor Installation das alte Schema aufgebracht und dann installiert.
Kann mir jemand erklären, welcher Gedankengang hinter dieser Änderung steht?
TNX
cu, gehrke
mit etwas Überraschung habe ich zur Kenntnis genommen, dass mit Fedora 25 scheinbar auch das bei der Installation verwendete Partitionierungsschema geändert wurde.
Aufgrund massiver Paranoia verwende ich gern Festplattenverschlüsselung via LUKS in Kombination mit LVM. Bei allen mir bislang bekannten Distributionen (*SUSE, Debian, RedHat) ergibt eine Installation mit dem Häckchen 'Daten verschlüsseln' ein Partitionierungslayout, in welchem zuerst ein LUKS-Device über den gesamten zu verschlüsselnden Bereich angelegt wird, und darauf mit LVM partitioniert wird.
Beispiel:
Code:
[root@j10 ~]# lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 238,5G 0 disk
├─sda2 8:2 0 1G 0 part /boot
├─sda3 8:3 0 237,4G 0 part
│ └─luks-aacd9ed2-a71d-25d5-bb56-b391bf47e1b7
│ 253:0 0 237,4G 0 crypt
│ ├─system-os 253:1 0 15G 0 lvm /
│ ├─system-swap 253:2 0 8G 0 lvm [SWAP]
│ └─system-home 253:3 0 214,4G 0 lvm /home
└─sda1 8:1 0 100M 0 part /boot/efiBei Fedora ist das nun scheinbar geändert worden. Stattdessen wird nun für jede Partition bzw. jedes LV ein eigenes LUKS-Device erzeugt und das LUKS-Device liegt nun innerhalb von LVM.
Beispiel:
Code:
[root@j10-lan ~]# lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 238,5G 0 disk
├─sda2 8:2 0 1G 0 part /boot
├─sda3 8:3 0 237,4G 0 part
│ ├─system-swap 253:1 0 8G 0 lvm
│ │ └─luks-9472c073-ba4a-483c-91b8-be2bce2ac348 253:2 0 8G 0 crypt [SWAP]
│ ├─system-home 253:4 0 214,4G 0 lvm
│ │ └─luks-511b19c5-9fab-411a-a7b8-b1228947a72f 253:5 0 214,4G 0 crypt /home
│ └─system-os 253:0 0 15G 0 lvm
│ └─luks-29d1be31-8f69-4f89-81d4-d43138a3602c 253:3 0 15G 0 crypt /
└─sda1 8:1 0 100M 0 part /boot/efiDie Vorteile dieser Vorgehensweise erschließen sich mir bislang noch nicht, wohl aber die Nachteile. Denn im vorliegenden Beispiel habe ich ein Notebook mit mehreren Usern, wobei für jeden User jeweils ein eigener Key-Slot im LUKS-Device gesetzt wird. Dadurch muss sich der User nicht zwei Passworte merken (die Passphrase für LUKS und das eigene Password), sondern verwendet das gleiche für beide Subsysteme.
Wenn ich diesen Mechanismus so beibehalten möchte, müsste ich wahrscheinlich nach der Installation für jeden User auf jedem LUKS-Device den zusätzlichen Key-Slot setzen. Das scheint mir unhandlich und wenig sinnvoll. Und weil ich den Sinn dahinter noch nicht verstanden habe, habe ich vor Installation das alte Schema aufgebracht und dann installiert.
Kann mir jemand erklären, welcher Gedankengang hinter dieser Änderung steht?
TNX
cu, gehrke
