Установщик предлагает только схему LUKS on LVM. Установка по схеме LVM on LUKS невозможна, как и установка на предварительно размеченный диск LUKS. Прошу добавить схему установки LVM on LUKS, поскольку считаю это более удобным и повышающим уровень безопасности системы с целом.
подскажите пожалуйста, какую систему вы ставили таким образом, в которой поддерживается такой функционал установщика ?
из очевидных преимуществ создания разделов на LUKS а не наоборот - один пароль на все разделы lvm.
(Ответ для Anton Farygin на комментарий #1) > подскажите пожалуйста, какую систему вы ставили таким образом, в которой > поддерживается такой функционал установщика ? Debian 12 (вручную)
Думаю, вообще было бы разумно по желанию пользователя пускать его в оболочку и размечать диск самостоятельно, после чего уже в ПО установщика выбирать к разделам точки монтирования, раз уж всё равно охватить все возможные сценарии разметки нельзя.
(In reply to Cuddle from comment #0) > поскольку считаю это более удобным и повышающим уровень > безопасности системы с целом. Поясните, пожалуйста, каким образом это повысит уровень безопасности по сравнению с LVM on LUKS?
При создании шифруемого тома выберите тип раздела "Linux LVM"
Показалось. Всё равно создаётся обычный
(Ответ для Cuddle на комментарий #0) > предлагает только схему LUKS on LVM. Я бы сказал спасибо, что она вообще работает. А если надевать штаны через голову, можно будет огрести проблем. Т.к. это просто бессмысленно, не стоит даже пытаться.
Опросил коллег. Запрашиваемая возможность довольно широко используется. Даже во внутренних задачах - для ноутов, для серверов - в порядке известных кейсов. Или вот ответ: "Нормальная история шифровать сразу всё, например, собрав RAID средствами MD, поверх него LUKS, а дальше уже LVM. Вполне энтерпрайзный подход. Во многих коммерческих СХД только так и делается, хотя шифрование опционально." Или вот вариант: "Два раздела - EFIBOOT и LUKS, на котором уже LVM", - используется коллегами на практике в Альте. Настраивается ручками, конечно. Другое дело, что в alterator-vm, вероятно, оно пока не лезет и это печально.
(Ответ для Evgeny Sinelnikov на комментарий #9) > Или вот вариант: "Два раздела - EFIBOOT и LUKS, на котором уже LVM", - > используется коллегами на практике в Альте. Настраивается ручками, конечно. Мне кажется, эти люди ещё и BTRFS, на котором EXT4 на котором LUKS, на котором RAID, на котором EVMS, на котором LVM, тоже используют. ;-)
(Ответ для Evgeny Sinelnikov на комментарий #9) > Опросил коллег. Запрашиваемая возможность довольно широко используется. > Даже во внутренних задачах - для ноутов, для серверов - в порядке известных > кейсов. 1. Вы уверены, что не перепутали всё наоборот? 2. Зачем?
(Ответ для Evgeny Sinelnikov на комментарий #9) > Опросил коллег. Уверен, им не составит труда отписаться здесь.
идея о том, что бы брать дисковый массив, неразмеченное пространство (LVM или RAID или оба) и потом его весь шифровать, а уже потом размечать - мне нравится. Выглядит очень разумной.
(Ответ для Anton Farygin на комментарий #13) > (LVM или RAID или оба) и потом его весь шифровать Само собой, нормально так, а не наоборот.
Сейчас передо мной как раз стоит задача поставить Альт в конфигурации LVM on LUKS. Гуглил по вопросу и нагуглил эту ошибку. Конфигурация крайне нужная, т.к. в этом случае пароль на расшифровку мы вводим при включении один раз, а защищаем им разом всю ФС и своп. Это актуально для ноутбуков с критичной информацией (ключи для входа в корпоративный ВПН, ключи для БД keepass, внутренние документы и т.д.). В случае утери/кражи ноутбука неизвестно, к кому он попадет, и не извлекут ли из того же свопа что-то секретное, особенно если ноутбук был в гибернации. Я так понимаю, что в данный момент в установщике Альта нужного функционала нет, а не у меня руки кривые. Буду пробовать сделать восход Солнца вручную через LiveCD и tar, и очень бы хотелось, чтоб функционал появился в установщике штатно.
согласен. нужно.
(Ответ для Дмитрий Кольвах на комментарий #15) > в этом случае пароль на расшифровку мы вводим при включении > один раз, а защищаем им разом всю ФС и своп. Сколько раз вы вводите _один_и_тот_же_ пароль, если "ФС и своп" находятся на разных шифрованных дисковых разделах?
Т.е. пока единственная необходимость надевать штаны через голову была лишь: предполагаемая необходимость вводить пароль больше одного раза. Есть хоть что-то ещё?
> Я бы сказал спасибо, что она вообще работает. Большое спасибо. > Уверен, им не составит труда отписаться здесь. Вы переоцениваете писательские способности людей. Конструктивные комментарии требуют некоторых усилий (труда), внимания и времени. Теперь по теме: нужно, пользюсь на нескольких системах. Например, на ноту у меняесть три раздела, которые нужно шифровать: swap, /root и /home. Сейчас это выглядит так: NAME TYPE MOUNTPOINTS nvme0n1 disk ├─nvme0n1p1 part /boot/efi └─nvme0n1p2 part └─crypt crypt ├─vg-swap lvm [SWAP] ├─vg-root lvm / └─vg-home lvm /home То есть, nvme->luks->lvm->разделы. Чем это лучше схемы nvme->lvm->luks->разделы? * Я могу использовать всё удобство LVM, легко изменяя размеры разделов или докидывая новые (уже зашиврованные :р) без дополнительной возни с LUKS. И да, я так иногда делаю. * LUKS я настраивал один раз. Это довольно мутроно и повторять это трижды я не хочу. Также я не очень хочу придумывать и запоминать три безопастных пароля (и новые для каждого дополнительного раздела). * Таблица разделов LVM зашифрована. Теоретически это даёт бóльшую безопасность, чем не зашифрованная. * Мне так больше нравится.
(Ответ для Ivan A. Melnikov на комментарий #19) > Вы переоцениваете писательские способности людей. Разработчиков, а не пользователей. Не переоцениваю, а надеюсь, что они есть. ;-) [...] > * Таблица разделов LVM зашифрована. Теоретически это даёт бóльшую > безопасность, чем не зашифрованная. Есть практически гораздо более безопасные решения. Их и есть смысл реализовывать в 1-ю очередь. > * Мне так больше нравится. Да, разве кто против? :-)
Подытожу на данный момент: * необходимостей никаких нет * LUKS проще настроить один, т.к. это сложнее, чем LVM
(Ответ для Sergey V Turchin на комментарий #21) > Подытожу на данный момент: > * необходимостей никаких нет ^^^ этот вывод субъёктивный > * LUKS проще настроить один, т.к. это сложнее, чем LVM ^^^ а это объективно
(Ответ для Anton Farygin на комментарий #22) > > * необходимостей никаких нет > ^^^ этот вывод субъёктивный Лишь по причине отсутствия доказательств необходимости ввода одного и того же пароля несколько раз. Я могу подождать.
На виртуалке попробовал - да, пароль вводится единожды (конфигурация со swap и / каждый на своем luks, созданная установщиком). Откуда-то я решил, что будет спрашивать на каждый. Будет ли спрашивать, если потом руками добавить еще один luks с тем же паролем? Это несколько снижает остроту вопроса. Но на маленьком диске ноутбука LVM с его гибким управлением разделами был бы очень кстати.
