LUKS Verschlüssselung nur für LVM-Thin

G

God-of-Games

New Member
Jun 20, 2022
3
0
1
Hallo Zusammen,
ich suche eine Möglichkeit bei einer neuen PVE-Installation nur das LVM-Thin Volume zu verschlüsseln.
Hintergrund ist, dass der Server starten kann und ich über das Webinterface dann das Volume mit den VMs und LXC entschlüsseln kann.
Etwas schwieriger wird es dadurch, dass sich alle Volumes auf der gleichen M.2 SSD befinden, daher funktionieren die Anleitungen die ich im Netz gefunden habe nicht.
Vollverschlüsselung und Passworteingabe mittels Dropbear ist mir bekannt, möchte ich aber eigentlich nicht.

Was wäre hier die beste Vorgehensweise?

Viele Grüße,
Jochen
 
Für LVM-Thin hab ich da noch nicht mal annähernd was vernünftiges gefunden. Absolut perfekt funktioniert das ganze mit ZFS.
 
Theoretisch könntest du PVE einfach normal als LVM installieren und dann bei der Installation sagen, dass bei der SSD XYZ GB unpartitioniert bleiben sollen. Siehe Abschnitt "Advanced LVM Configuration Options" und dort speziell der Wert "minfree": https://pve.proxmox.com/wiki/Installation

Danach könntst du manuell in dem unzugewiesenen Bereich der SSD eine neue Partition erstellen, diese mit LUKS verschlüsseln und oben drauf dann manuell dein LVM-Thin Pool erstellen. Bei mir läuft ein LUKS verschlüsseltes LVM-Thin wunderbar. Autostart der Gäste musste ich aber deaktivieren.

Und was auch immer geht ist PVE auf ein Debian zu installieren. Siehe hier: https://pve.proxmox.com/wiki/Install_Proxmox_VE_on_Debian_11_Bullseye
Der Debian Installer kann auch LUKS verschlüsseltes LVM per GUI anlegen. Da könntest du dann deine SSD frei partitionieren wie es dir beliebt.

Systemvollverschlüsselung mit dropbear finde ich aber noch bei weitem die beste Lösung. Ob ich das Passwort nun vor dem Booten per SSH über dropbear-initramfs reinkopiere oder nach dem Booten über SSH. So oder so möchte ich das Passwort nicht auf dem Server haben und irgendwie muss ich es ja eingeben.
 
Last edited:
fireon said:
Für LVM-Thin hab ich da noch nicht mal annähernd was vernünftiges gefunden. Absolut perfekt funktioniert das ganze mit ZFS.
Click to expand...
Danke für den Hinweis, aber mit ZFS hatte ich schon schlechte Erfahrungen, wobei die auch schon lange zurück liegen. Vielleicht gebe ich in Zukunft dem ganzen noch mal eine Chance.

Dunuin said:
Theoretisch könntest du PVE einfach normal als LVM installieren und dann bei der Installation sagen, dass bei der SSD XYZ GB unpartitioniert bleiben sollen. Siehe Abschnitt "Advanced LVM Configuration Options" und dort speziell der Wert "minfree": https://pve.proxmox.com/wiki/Installation

Danach könntst du manuell in dem unzugewiesenen Bereich der SSD eine neue Partition erstellen, diese mit LUKS verschlüsseln und oben drauf dann manuell dein LVM-Thin Pool erstellen. Bei mir läuft ein LUKS verschlüsseltes LVM-Thin wunderbar. Autostart der Gäste musste ich aber deaktivieren.

Und was auch immer geht ist PVE auf ein Debian zu installieren. Siehe hier: https://pve.proxmox.com/wiki/Install_Proxmox_VE_on_Debian_11_Bullseye
Der Debian Installer kann auch LUKS verschlüsseltes LVM per GUI anlegen. Da könntest du dann deine SSD frei partitionieren wie es dir beliebt.

Systemvollverschlüsselung mit dropbear finde ich aber noch bei weitem die beste Lösung. Ob ich das Passwort nun vor dem Booten per SSH über dropbear-initramfs reinkopiere oder nach dem Booten über SSH. So oder so möchte ich das Passwort nicht auf dem Server haben und irgendwie muss ich es ja eingeben.
Click to expand...
Die Erste Variante ist mir am Dienstag auch eingefallen und ich habe es so auch erfolgreich eingerichtet bekommen. Jedoch meldet parted beim erstellen der Partition, dass das Alignment nicht stimmen würde. Das scheint aber ein Bug zu sein was ich im Netz finden konnte. Dann hätte ich hier im Forum noch eine kurze Anleitung gepostet.

Vollverschlüsselt auf auf einem Debian hatte ich auch schon probiert, jedoch dabei festgestellt, dass die Anleitung doch in manchen Punkten von der ISO-Installation abweicht.

Ich sehe den Vorteil, dass ich sobald das System läuft das Passwort auch per Web-GUI eingeben kann und damit keinen SSH-Client extra bräuchte.
 
Ist dann dein swap, logs und Co aber auch wieder unverschlüsselt und so landen dann deine Daten von dem verschlüsseltem LVM-Thin doch wieder unverschlüsselt auf der Platte.
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back