50582 2024-06-08 13:00:27 +0300 Необходимо добавить в установщик схему установки LVM on LUKS 2026-03-12 08:48:08 +0300 1 1 4 Development Sisyphus alterator-vm unstable x86_64 Linux REOPENED P5 normal --- 1 obscuradv mcpain iv k_e_u ledity mcpain rider shevchenkodyu sin zerg qa-sisyphus oldest_to_newest 247395 0 obscuradv 2024-06-08 13:00:27 +0300 Установщик предлагает только схему LUKS on LVM. Установка по схеме LVM on LUKS невозможна, как и установка на предварительно размеченный диск LUKS. Прошу добавить схему установки LVM on LUKS, поскольку считаю это более удобным и повышающим уровень безопасности системы с целом. 247396 1 rider 2024-06-08 13:06:54 +0300 подскажите пожалуйста, какую систему вы ставили таким образом, в которой поддерживается такой функционал установщика ? 247397 2 rider 2024-06-08 13:12:28 +0300 из очевидных преимуществ создания разделов на LUKS а не наоборот - один пароль на все разделы lvm. 247398 3 obscuradv 2024-06-08 13:21:52 +0300 (Ответ для Anton Farygin на комментарий #1) > подскажите пожалуйста, какую систему вы ставили таким образом, в которой > поддерживается такой функционал установщика ? Debian 12 (вручную) 270890 4 ledity 2025-08-14 14:07:24 +0300 Думаю, вообще было бы разумно по желанию пользователя пускать его в оболочку и размечать диск самостоятельно, после чего уже в ПО установщика выбирать к разделам точки монтирования, раз уж всё равно охватить все возможные сценарии разметки нельзя. 271116 5 mcpain 2025-08-20 10:36:54 +0300 (In reply to Cuddle from comment #0) > поскольку считаю это более удобным и повышающим уровень > безопасности системы с целом. Поясните, пожалуйста, каким образом это повысит уровень безопасности по сравнению с LVM on LUKS? 271120 6 mcpain 2025-08-20 11:32:13 +0300 При создании шифруемого тома выберите тип раздела "Linux LVM" 271125 7 mcpain 2025-08-20 12:23:07 +0300 Показалось. Всё равно создаётся обычный 271473 8 zerg 2025-08-27 11:10:51 +0300 (Ответ для Cuddle на комментарий #0) > предлагает только схему LUKS on LVM. Я бы сказал спасибо, что она вообще работает. А если надевать штаны через голову, можно будет огрести проблем. Т.к. это просто бессмысленно, не стоит даже пытаться. 281974 9 sin 2026-02-13 23:20:35 +0300 Опросил коллег. Запрашиваемая возможность довольно широко используется. Даже во внутренних задачах - для ноутов, для серверов - в порядке известных кейсов. Или вот ответ: "Нормальная история шифровать сразу всё, например, собрав RAID средствами MD, поверх него LUKS, а дальше уже LVM. Вполне энтерпрайзный подход. Во многих коммерческих СХД только так и делается, хотя шифрование опционально." Или вот вариант: "Два раздела - EFIBOOT и LUKS, на котором уже LVM", - используется коллегами на практике в Альте. Настраивается ручками, конечно. Другое дело, что в alterator-vm, вероятно, оно пока не лезет и это печально. 283562 10 zerg 2026-03-11 09:54:43 +0300 (Ответ для Evgeny Sinelnikov на комментарий #9) > Или вот вариант: "Два раздела - EFIBOOT и LUKS, на котором уже LVM", - > используется коллегами на практике в Альте. Настраивается ручками, конечно. Мне кажется, эти люди ещё и BTRFS, на котором EXT4 на котором LUKS, на котором RAID, на котором EVMS, на котором LVM, тоже используют. ;-) 283563 11 zerg 2026-03-11 09:55:31 +0300 (Ответ для Evgeny Sinelnikov на комментарий #9) > Опросил коллег. Запрашиваемая возможность довольно широко используется. > Даже во внутренних задачах - для ноутов, для серверов - в порядке известных > кейсов. 1. Вы уверены, что не перепутали всё наоборот? 2. Зачем? 283564 12 zerg 2026-03-11 09:57:09 +0300 (Ответ для Evgeny Sinelnikov на комментарий #9) > Опросил коллег. Уверен, им не составит труда отписаться здесь. 283565 13 rider 2026-03-11 10:00:30 +0300 идея о том, что бы брать дисковый массив, неразмеченное пространство (LVM или RAID или оба) и потом его весь шифровать, а уже потом размечать - мне нравится. Выглядит очень разумной. 283567 14 zerg 2026-03-11 10:08:57 +0300 (Ответ для Anton Farygin на комментарий #13) > (LVM или RAID или оба) и потом его весь шифровать Само собой, нормально так, а не наоборот. 283570 15 k_e_u 2026-03-11 10:15:39 +0300 Сейчас передо мной как раз стоит задача поставить Альт в конфигурации LVM on LUKS. Гуглил по вопросу и нагуглил эту ошибку. Конфигурация крайне нужная, т.к. в этом случае пароль на расшифровку мы вводим при включении один раз, а защищаем им разом всю ФС и своп. Это актуально для ноутбуков с критичной информацией (ключи для входа в корпоративный ВПН, ключи для БД keepass, внутренние документы и т.д.). В случае утери/кражи ноутбука неизвестно, к кому он попадет, и не извлекут ли из того же свопа что-то секретное, особенно если ноутбук был в гибернации. Я так понимаю, что в данный момент в установщике Альта нужного функционала нет, а не у меня руки кривые. Буду пробовать сделать восход Солнца вручную через LiveCD и tar, и очень бы хотелось, чтоб функционал появился в установщике штатно. 283571 16 rider 2026-03-11 10:18:23 +0300 согласен. нужно. 283574 17 zerg 2026-03-11 10:36:00 +0300 (Ответ для Дмитрий Кольвах на комментарий #15) > в этом случае пароль на расшифровку мы вводим при включении > один раз, а защищаем им разом всю ФС и своп. Сколько раз вы вводите _один_и_тот_же_ пароль, если "ФС и своп" находятся на разных шифрованных дисковых разделах? 283575 18 zerg 2026-03-11 10:45:45 +0300 Т.е. пока единственная необходимость надевать штаны через голову была лишь: предполагаемая необходимость вводить пароль больше одного раза. Есть хоть что-то ещё? 283577 19 iv 2026-03-11 11:02:42 +0300 > Я бы сказал спасибо, что она вообще работает. Большое спасибо. > Уверен, им не составит труда отписаться здесь. Вы переоцениваете писательские способности людей. Конструктивные комментарии требуют некоторых усилий (труда), внимания и времени. Теперь по теме: нужно, пользюсь на нескольких системах. Например, на ноту у меняесть три раздела, которые нужно шифровать: swap, /root и /home. Сейчас это выглядит так: NAME TYPE MOUNTPOINTS nvme0n1 disk ├─nvme0n1p1 part /boot/efi └─nvme0n1p2 part └─crypt crypt ├─vg-swap lvm [SWAP] ├─vg-root lvm / └─vg-home lvm /home То есть, nvme->luks->lvm->разделы. Чем это лучше схемы nvme->lvm->luks->разделы? * Я могу использовать всё удобство LVM, легко изменяя размеры разделов или докидывая новые (уже зашиврованные :р) без дополнительной возни с LUKS. И да, я так иногда делаю. * LUKS я настраивал один раз. Это довольно мутроно и повторять это трижды я не хочу. Также я не очень хочу придумывать и запоминать три безопастных пароля (и новые для каждого дополнительного раздела). * Таблица разделов LVM зашифрована. Теоретически это даёт бóльшую безопасность, чем не зашифрованная. * Мне так больше нравится. 283578 20 zerg 2026-03-11 11:16:17 +0300 (Ответ для Ivan A. Melnikov на комментарий #19) > Вы переоцениваете писательские способности людей. Разработчиков, а не пользователей. Не переоцениваю, а надеюсь, что они есть. ;-) [...] > * Таблица разделов LVM зашифрована. Теоретически это даёт бóльшую > безопасность, чем не зашифрованная. Есть практически гораздо более безопасные решения. Их и есть смысл реализовывать в 1-ю очередь. > * Мне так больше нравится. Да, разве кто против? :-) 283579 21 zerg 2026-03-11 11:20:13 +0300 Подытожу на данный момент: * необходимостей никаких нет * LUKS проще настроить один, т.к. это сложнее, чем LVM 283580 22 rider 2026-03-11 11:21:49 +0300 (Ответ для Sergey V Turchin на комментарий #21) > Подытожу на данный момент: > * необходимостей никаких нет ^^^ этот вывод субъёктивный > * LUKS проще настроить один, т.к. это сложнее, чем LVM ^^^ а это объективно 283581 23 zerg 2026-03-11 11:28:59 +0300 (Ответ для Anton Farygin на комментарий #22) > > * необходимостей никаких нет > ^^^ этот вывод субъёктивный Лишь по причине отсутствия доказательств необходимости ввода одного и того же пароля несколько раз. Я могу подождать. 283587 24 k_e_u 2026-03-11 12:09:27 +0300 На виртуалке попробовал - да, пароль вводится единожды (конфигурация со swap и / каждый на своем luks, созданная установщиком). Откуда-то я решил, что будет спрашивать на каждый. Будет ли спрашивать, если потом руками добавить еще один luks с тем же паролем? Это несколько снижает остроту вопроса. Но на маленьком диске ноутбука LVM с его гибким управлением разделами был бы очень кстати.