Saya menggunakan Ubuntu di lingkungan perusahaan, dan kebijakan keamanan kami menyatakan bahwa kami harus menggunakan enkripsi disk lengkap.
Saya juga punya laptop dengan SSD mSATA 32GB dan karat berputar 750GB. Instalasi saya saat ini menggunakan bcache untuk memanfaatkan ini, diinstal menggunakan prosedur ini . Ini memberikan peningkatan kinerja yang sangat disambut tanpa saya harus khawatir tentang mengisi SSD.
Ini akan menjadi pertanyaan berharga. Hadiah akan diberikan untuk:
- Metode yang jelas dan andal dalam melakukan instalasi baru Ubuntu
- Setiap rilis dapat diterima tetapi 15,04 (Jelas) akan baik-baik saja
- Seluruh sistem file akan dienkripsi
- Preferensi di sini adalah menggunakan kotak centang yang relevan di program penginstal Ubiquity default (enkripsi dm-crypt)
- Sistem file akan di-cache pada SSD
- Untuk preferensi, metode kernel dm-cache / lvmcache lihat di sini untuk metode untuk melakukan ini dengan Debian Jessie
- Cache juga harus diamankan (yaitu dienkripsi)
- Harus ada penjelasan yang jelas mengapa cache juga dienkripsi
Sudah mencoba metode untuk Debian Jessie di atas, tetapi menolak untuk boot untuk saya. Belum sejauh ini mencoba metode yang dijelaskan dalam komentar di sini .
Solusi yang dipasang akan diuji pada VM VirtualBox dengan dua disk virtual kosong dan salinan rilis desktop 15,04 (rilis amd64). Bounty pergi ke solusi pertama yang saya adopsi untuk menginstal ulang perangkat keras saya yang sebenarnya.
Silakan tulis solusi Anda seolah-olah masuk ke komunitas wiki.
Saya telah memberikan hadiah - saya pikir masih ada potensi untuk solusi "LUKS-on-LVM" yang menggabungkan kemudahan jawaban yang disetujui hanya dengan memiliki satu kata sandi, dengan hanya menggunakan komponen perangkat-mapper.
Jawaban:
LVM pada LUKS di bcache
Di sini permainan boneka rusia sedikit lebih dalam dengan 3 tumpukan / lapisan ...
Gagasan awal saya tentang pertanyaan ini adalah menggunakan instalasi Ubuntu default dengan LVM pada LUKS dan mengubahnya menjadi perangkat dukungan bcache dengan blok tetapi tidak bekerja untuk saya pada pengujian dengan LVM.
Selain itu, penginstal ubuntu ( ubiquity ) terlalu terbatas untuk menginstal di dalam perangkat bcache yang disiapkan sebelumnya (setidaknya dengan LUKS di LVM), jadi kami mundur ke metode melakukan sesuatu secara manual.
Boot ke live CD / USB dan pilih "Coba Ubuntu" dan buka terminal
Pra-instal
Instalasi
Biarkan terminal terbuka dan sekarang jalankan instalasi. Pilih "Sesuatu yang lain" saat mempartisi dan menentukan
/dev/sda2
)/dev/mapper/vg-root
)/dev/mapper/vg-swap
)dan centang kotak centang untuk memformat partisi Anda
Pada akhir instalasi, jangan reboot tetapi cukup klik "Lanjutkan mencoba ubuntu"
Pasca-instal
Di terminal kami yang terbuka
Ada bug reboot Ubuntu 15.04 yang diketahui dari Live CD / USB sehingga Anda mungkin harus memaksa reboot / shutdown
Memeriksa
Setelah di-boot, Anda dapat memeriksa apakah
/dev/bcache0
itu sebenarnya adalah partisi LUKSIni karena ini adalah cache dari partisi LUKS Anda, dan sekarang Anda mengakses data Anda melalui perangkat
/dev/bcache0
dan tidak pernah dari perangkat dukungan asli (di/dev/sda3
sini)Referensi
http://bcache.evilpiepirate.org/
https://wiki.archlinux.org/index.php/Bcache
https://wiki.archlinux.org/index.php/Dm-crypt
bcache-status belum secara resmi bergabung ke dalam bcache-tools. Anda dapat memilikinya di sini: https://gist.github.com/djwong/6343451
[1] Mungkin ada cara yang lebih baik untuk melakukan ini menyeka
sumber
update-initramfs -uk all
setelah pembuatan crypttab dan mengikutiexit
perintah.LVM pada LUKS + LUKS / dm-cache
Penginstal Ubuntu menggunakan konfigurasi LVM pada LUKS untuk enkripsi disk lengkapnya.
Jika Anda juga ingin menggunakan dm-cache / lvmcache untuk meningkatkan kinerja, Anda perlu menempatkan kumpulan cache Anda ke dalam volume yang dienkripsi untuk menjaga keamanan data Anda.
Langkah-langkahnya adalah
/etc/crypttab
Skrip di bawah ini memberikan contoh, dan akan menambahkan kumpulan cache terenkripsi ke sistem file root yang ada. Itu dirancang untuk sistem yang telah menggunakan opsi enkripsi disk default di installer Ubuntu - yaitu; seluruh disk dipartisi dan dienkripsi, tidak ada partisi khusus dll.
Harap perhatikan bahwa sangat sedikit validasi atau pemrograman defensif dalam skrip ini. Jika itu merusak sistem kerja Anda, itu adalah tanggung jawab Anda.
Sebut demikian:
Parameter ukuran secara default di MB: Anda akan membutuhkan rasio 1: 1000 ruang metadata ke ruang cache (mis. Jika disk cache Anda adalah 180GB, Anda membutuhkan 180 MB ruang metadata dan 179820MB ruang data - Anda mungkin ingin membulatkan metadata sedikit untuk berhati-hati. Ada batas bawah untuk metadata 8M.)
Anda akan dimintai kata sandi untuk volume cache Anda - Anda akan diminta kata sandi untuk KEDUA disk Anda saat boot.
Referensi
sumber
| cache_utilization_pct | 79.096846147 |
. Namuntop
saya melihat iowait menyatakan 20-50% terus-menerus. Mungkinkah itu efek samping dari buffering?