Używam Ubuntu w środowisku korporacyjnym, a nasza polityka bezpieczeństwa mówi, że musimy używać pełnego szyfrowania dysku.
Mam też laptopa z 32 GB mSATA SSD i 750 GB wirującej rdzy. Moja bieżąca instalacja używa bcache, aby to wykorzystać, zainstalowana zgodnie z tą procedurą . Zapewnia to bardzo pożądany wzrost wydajności bez konieczności martwienia się o zapełnienie dysku SSD.
To będzie szczere pytanie. Nagroda zostanie przyznana za:
- Jasna, niezawodna metoda przeprowadzenia nowej instalacji Ubuntu
- Każde wydanie jest dopuszczalne, ale 15.04 (Vivid) będzie w porządku
- Cały system plików zostanie zaszyfrowany
- Preferowane jest użycie odpowiedniego pola wyboru w domyślnym programie instalacyjnym Ubiquity (szyfrowanie dm-crypt)
- System plików będzie buforowany na dysku SSD
- Aby zapoznać się z preferencjami, metoda jądra dm-cache / lvmcache znajduje się tutaj, aby dowiedzieć się, jak to zrobić za pomocą Debian Jessie
- Pamięć podręczna musi być również zabezpieczona (tj. Zaszyfrowana)
- Musi istnieć jasne wyjaśnienie, dlaczego pamięć podręczna jest również szyfrowana
Próbowałem już powyższej metody dla Debiana Jessie, ale nie uruchamia się ona dla mnie. Do tej pory nie wypróbowałem metody opisanej w komentarzach tutaj .
Opublikowane rozwiązania zostaną przetestowane na maszynie wirtualnej VirtualBox z dwoma pustymi dyskami wirtualnymi i kopią wersji 15.04 pulpitu (wersja amd64). Bounty przechodzi do pierwszego rozwiązania, które zastosowałem w celu ponownej instalacji mojego sprzętu.
Napisz swoje rozwiązanie tak, jakby trafiało na wiki społeczności.
Przyznałem nagrodę - myślę, że nadal istnieje potencjał rozwiązania „LUKS-on-LVM”, które łączy łatwość zatwierdzonej odpowiedzi w postaci tylko jednego hasła, przy użyciu tylko komponentów mapujących urządzenia.
Odpowiedzi:
LVM na LUKS na bcache
Tutaj rosyjska gra lalek jest nieco głębsza z 3 stosami / warstwami ...
Mój początkowy pomysł na to pytanie polegał na użyciu domyślnej instalacji Ubuntu z LVM na LUKS i przekonwertowaniu go na urządzenie do tworzenia kopii zapasowych bcache z blokami, ale nie zadziałało to w moim teście z LVM.
Co więcej, instalator ubuntu ( ubiquity ) jest zbyt ograniczony, aby zainstalować go w przygotowanym wcześniej urządzeniu bcache (przynajmniej z LUKS na LVM), więc powróciliśmy do metody ręcznego wykonywania czynności.
Uruchom komputer na żywo CD / USB i wybierz „Wypróbuj Ubuntu” i otwórz terminal
Wstępnie zainstaluj
Instalacja
Pozostaw terminal otwarty, a teraz uruchom instalację. Wybierz „Coś innego” podczas partycjonowania i określ
/dev/sda2
)/dev/mapper/vg-root
)/dev/mapper/vg-swap
)i zaznacz pole wyboru, aby sformatować partycje
Pod koniec instalacji nie uruchamiaj ponownie komputera, ale po prostu kliknij „Kontynuuj próbę Ubuntu”
Po instalacji
W naszym otwartym terminalu
Znany jest błąd ponownego uruchamiania Ubuntu 15.04 z Live CD / USB, więc może być konieczne wymuszenie ponownego uruchomienia / zamknięcia
Czek
Po uruchomieniu możesz sprawdzić,
/dev/bcache0
czy faktycznie jest to partycja LUKSWynika to z faktu, że jest to pamięć podręczna partycji LUKS, a teraz masz dostęp do swoich danych za pośrednictwem urządzenia,
/dev/bcache0
a nigdy z oryginalnego urządzenia podkładowego (/dev/sda3
tutaj)Bibliografia
http://bcache.evilpiepirate.org/
https://wiki.archlinux.org/index.php/Bcache
https://wiki.archlinux.org/index.php/Dm-crypt
Status bcache nie jest jeszcze oficjalnie scalony w narzędzia bcache. Możesz go mieć tutaj: https://gist.github.com/djwong/6343451
[1] Nie może być lepsze sposoby wykonywania tego wycierania
źródło
update-initramfs -uk all
po utworzeniu crypttab i wykonaniuexit
polecenia.LVM na LUKS + LUKS / dm-cache
Instalator Ubuntu używa LVM w konfiguracji LUKS do pełnego szyfrowania dysku.
Jeśli chcesz także użyć dm-cache / lvmcache w celu zwiększenia wydajności, musisz umieścić swoją pulę pamięci podręcznej w zaszyfrowanym woluminie, aby zachować bezpieczeństwo danych.
Kroki są
/etc/crypttab
Poniższy skrypt stanowi przykład i doda zaszyfrowaną pulę pamięci podręcznej do istniejącego głównego systemu plików. Został zaprojektowany dla systemów, które korzystały z domyślnej opcji szyfrowania dysku w instalatorze Ubuntu - tj. cały dysk podzielony na partycje i zaszyfrowany, bez niestandardowych partycji itp.
Należy pamiętać, że w tym skrypcie jest bardzo mało sprawdzania poprawności lub programowania obronnego. Odpowiedzialność za zniszczenie działającego systemu spoczywa na tobie.
Zadzwoń w ten sposób:
Parametry rozmiaru są domyślnie w MB: będziesz potrzebował stosunku 1: 1000 miejsca na metadane do miejsca w pamięci podręcznej (np. Jeśli twój dysk podręczny ma 180 GB, potrzebujesz 180 MB miejsca na metadane i 179820 MB miejsca na dane - możesz zaokrąglić metadane nieco się zwiększają, aby zachować ostrożność. Istnieje dolny limit metadanych 8M).
Zostaniesz poproszony o podanie hasła do woluminu pamięci podręcznej - podczas uruchamiania zostaniesz poproszony o podanie hasła DO OBU dysków.
Bibliografia
źródło
| cache_utilization_pct | 79.096846147 |
. Jednaktop
ciągle widzę stany iowait 20-50%. Czy może to być efekt uboczny buforowania?