4
Encrypt Ubuntu Server
Hallo Community,
ich lese mich aktuell etwas in das Thema "Disk Encrpytion" unter Ubuntu ein. Ich möchte einen einfachen Ubuntu Homeserver mit einigen Docker Containern betreiben. Einer davon soll zb auch Nextcloud sein. Entsprechend möchte ich meine Daten auf den Disks schützen.
Geundlegend kann ich ja bei der Installation LVM und Encryption auswählen. Ich habe dazu aber noch offene Fragen die ich mir bisher nicht beantworten kann und weiß auch nicht, ob ich da bei meinen Recherchen die richtigen Informationen zusammengesucht habe. Bevor also die Neuinstallation ansteht noch ein wenig Theorie.
Im Grunde möchte ich im Minimum alle Docker Volumes als im entsrprechendem Docker Pfad verschlüsseln, wenn komplett "/" inkl. /boot wäre das natürlich besser. Da der Server einfach läuft und Access per WebGui auf die entsprechenden Container oder eben SSH direkt auf den Server möglich sein soll ist im Grunde die Eingabe eines Passwortes beim Reboot keine Option. Dafür ist der Yubikey gedacht. Idee ist simple: Server soll nur booten wenn YubiKey "steckt".
Ich bin mir bisher nicht wirklich sicher, ob dies mittels LVM eingerichtetm System überhaupt möglich ist, da ich meist gelesen habe das z.B.: nur einzelne Disk /dev/sda etc verschlüsselt werden können. in meinem Fall werde ich allerdings in der vg zwei Disks haben. sda und sba. Würden dann auch bei Verschlüsselt?
Hat jemand Erfahrungen damit oder ein gutes HowTo für soetwas an der Hand?
Besten Dank!
ich lese mich aktuell etwas in das Thema "Disk Encrpytion" unter Ubuntu ein. Ich möchte einen einfachen Ubuntu Homeserver mit einigen Docker Containern betreiben. Einer davon soll zb auch Nextcloud sein. Entsprechend möchte ich meine Daten auf den Disks schützen.
Geundlegend kann ich ja bei der Installation LVM und Encryption auswählen. Ich habe dazu aber noch offene Fragen die ich mir bisher nicht beantworten kann und weiß auch nicht, ob ich da bei meinen Recherchen die richtigen Informationen zusammengesucht habe. Bevor also die Neuinstallation ansteht noch ein wenig Theorie.
Im Grunde möchte ich im Minimum alle Docker Volumes als im entsrprechendem Docker Pfad verschlüsseln, wenn komplett "/" inkl. /boot wäre das natürlich besser. Da der Server einfach läuft und Access per WebGui auf die entsprechenden Container oder eben SSH direkt auf den Server möglich sein soll ist im Grunde die Eingabe eines Passwortes beim Reboot keine Option. Dafür ist der Yubikey gedacht. Idee ist simple: Server soll nur booten wenn YubiKey "steckt".
Ich bin mir bisher nicht wirklich sicher, ob dies mittels LVM eingerichtetm System überhaupt möglich ist, da ich meist gelesen habe das z.B.: nur einzelne Disk /dev/sda etc verschlüsselt werden können. in meinem Fall werde ich allerdings in der vg zwei Disks haben. sda und sba. Würden dann auch bei Verschlüsselt?
Hat jemand Erfahrungen damit oder ein gutes HowTo für soetwas an der Hand?
Besten Dank!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3299646891
Url: https://administrator.de/contentid/3299646891
Printed on: April 24, 2024 at 22:04 o'clock
4 Comments
Latest comment
Moin...
ich würde verschlüsselte LUKS-Partition(en), die dann über das LVM partioniert wird, nutzen wollen!
ich sehe nicht den sinn, nextcloud daten verschlüsseln zu wollen... wenn die software "Undicht" ist oder durch einen BUG zugang zu den daten ermöglicht wird, nutzt dir das nix!
Frank
ich würde verschlüsselte LUKS-Partition(en), die dann über das LVM partioniert wird, nutzen wollen!
ich sehe nicht den sinn, nextcloud daten verschlüsseln zu wollen... wenn die software "Undicht" ist oder durch einen BUG zugang zu den daten ermöglicht wird, nutzt dir das nix!
Frank
Naja, es geht mir in erster Linie eigentlich darum für den Fall abgesichert zu sein, dass "ein böser" Dieb, das Ding klaut. Ansonsten Das Gerät ansich soll nur für zwei, drei Haushaltsmitglieder im internen LAN laufen.
Was ich bei LUKS noch nicht ganz verstanden habe, daher noch mal zur Sicherheit. Selbst wenn ich mehr als 1 Disk in die VG aufnehme (nur damit macht es ja eigtl. wirklich Sinn) dann sind doch alle Disk in der Grooup encrypted. Sollte eine Platte ausfallen und getauscht werden müssen würde die neue auch Verschlüssselt werden.
Wie ist das denn im Recovery Fall. Bei mir wäre es so: Geht Disk1 kaputt, brauch ich eh ein neues Gerät da halt leider fest verbaut - dumm aber ist halt so. Natürlich hat man für den Fall Backups. Ich stelle mir das für den Recovery Fall so vor, neues Gerät anschaffen minimal einrichten und das Backup einspielen. Geht Disk2 kaputt würde eine neue benötigt - eingebaut - in VG aufnehmen - und Backup einspielen.
Kann ich die Snapshots der LVM eigentlich als Fullbackup nutzen oder sind das eher, ich sag mal Snapshots für ich probiere mal was und wenn es nicht klappt dreh ich das System zurück. Ohne die org. Daten (im Fehlerfall) sind diese allerdings wertlos. Meine ich hab da was entsprechendes gelesen.
Hat vielleicht jemand ein gut funktionirendes Tutotrial für LUKS mit YubiKey? Hab da mal recherchiert und gefühlt immer irgendwie anders lautende Beschreibungen mit unterschiedlichen Pakten gefunden.
Was ich bei LUKS noch nicht ganz verstanden habe, daher noch mal zur Sicherheit. Selbst wenn ich mehr als 1 Disk in die VG aufnehme (nur damit macht es ja eigtl. wirklich Sinn) dann sind doch alle Disk in der Grooup encrypted. Sollte eine Platte ausfallen und getauscht werden müssen würde die neue auch Verschlüssselt werden.
Wie ist das denn im Recovery Fall. Bei mir wäre es so: Geht Disk1 kaputt, brauch ich eh ein neues Gerät da halt leider fest verbaut - dumm aber ist halt so. Natürlich hat man für den Fall Backups. Ich stelle mir das für den Recovery Fall so vor, neues Gerät anschaffen minimal einrichten und das Backup einspielen. Geht Disk2 kaputt würde eine neue benötigt - eingebaut - in VG aufnehmen - und Backup einspielen.
Kann ich die Snapshots der LVM eigentlich als Fullbackup nutzen oder sind das eher, ich sag mal Snapshots für ich probiere mal was und wenn es nicht klappt dreh ich das System zurück. Ohne die org. Daten (im Fehlerfall) sind diese allerdings wertlos. Meine ich hab da was entsprechendes gelesen.
Hat vielleicht jemand ein gut funktionirendes Tutotrial für LUKS mit YubiKey? Hab da mal recherchiert und gefühlt immer irgendwie anders lautende Beschreibungen mit unterschiedlichen Pakten gefunden.
Moin...
Was ich bei LUKS noch nicht ganz verstanden habe, daher noch mal zur Sicherheit. Selbst wenn ich mehr als 1 Disk in die VG aufnehme (nur damit macht es ja eigtl. wirklich Sinn) dann sind doch alle Disk in der Grooup encrypted. Sollte eine Platte ausfallen und getauscht werden müssen würde die neue auch Verschlüssselt werden.
ja klar...
Wie ist das denn im Recovery Fall. Bei mir wäre es so: Geht Disk1 kaputt, brauch ich eh ein neues Gerät da halt leider fest verbaut - dumm aber ist halt so. Natürlich hat man für den Fall Backups. Ich stelle mir das für den Recovery Fall so vor, neues Gerät anschaffen minimal einrichten und das Backup einspielen. Geht Disk2 kaputt würde eine neue benötigt - eingebaut - in VG aufnehmen - und Backup einspielen.
klar... mach ein Restore!
Kann ich die Snapshots der LVM eigentlich als Fullbackup nutzen oder sind das eher, ich sag mal Snapshots für ich probiere mal was und wenn es nicht klappt dreh ich das System zurück. Ohne die org. Daten (im Fehlerfall) sind diese allerdings wertlos. Meine ich hab da was entsprechendes gelesen.
Snapshots sind keine Datensicherung.....
Hat vielleicht jemand ein gut funktionirendes Tutotrial für LUKS mit YubiKey? Hab da mal recherchiert und gefühlt immer irgendwie anders lautende Beschreibungen mit unterschiedlichen Pakten gefunden.
Frank
Zitat von @netzer2021:
Naja, es geht mir in erster Linie eigentlich darum für den Fall abgesichert zu sein, dass "ein böser" Dieb, das Ding klaut. Ansonsten Das Gerät ansich soll nur für zwei, drei Haushaltsmitglieder im internen LAN laufen.
also warscheinlicher ist es das jemand Softwareseitig einbricht.....Naja, es geht mir in erster Linie eigentlich darum für den Fall abgesichert zu sein, dass "ein böser" Dieb, das Ding klaut. Ansonsten Das Gerät ansich soll nur für zwei, drei Haushaltsmitglieder im internen LAN laufen.
Was ich bei LUKS noch nicht ganz verstanden habe, daher noch mal zur Sicherheit. Selbst wenn ich mehr als 1 Disk in die VG aufnehme (nur damit macht es ja eigtl. wirklich Sinn) dann sind doch alle Disk in der Grooup encrypted. Sollte eine Platte ausfallen und getauscht werden müssen würde die neue auch Verschlüssselt werden.
Wie ist das denn im Recovery Fall. Bei mir wäre es so: Geht Disk1 kaputt, brauch ich eh ein neues Gerät da halt leider fest verbaut - dumm aber ist halt so. Natürlich hat man für den Fall Backups. Ich stelle mir das für den Recovery Fall so vor, neues Gerät anschaffen minimal einrichten und das Backup einspielen. Geht Disk2 kaputt würde eine neue benötigt - eingebaut - in VG aufnehmen - und Backup einspielen.
Kann ich die Snapshots der LVM eigentlich als Fullbackup nutzen oder sind das eher, ich sag mal Snapshots für ich probiere mal was und wenn es nicht klappt dreh ich das System zurück. Ohne die org. Daten (im Fehlerfall) sind diese allerdings wertlos. Meine ich hab da was entsprechendes gelesen.
Hat vielleicht jemand ein gut funktionirendes Tutotrial für LUKS mit YubiKey? Hab da mal recherchiert und gefühlt immer irgendwie anders lautende Beschreibungen mit unterschiedlichen Pakten gefunden.
Frank
Hat soweit auf meinem neuen System alles funktioniert, jetzt fehlt noch die YubiKey Einrichtung.
