Wartung veschlüsselter Partitionnen
Hallo zusammen, ich nutze für das root-Verzeichnis, sowie für /home und ein weiteres für ~/home/userxyz/Daten drei verschlüsselte Raid0, welche ich mit yast eingerichtet und ext4 formatiert hatte. Die Anmeldung erfolgt mit pam_mount automatisch beim Loging. Was ich unter google und im Opensuse Handbuch nicht finden konnte ist die Antwort auf die Frage, ob das Dateisystem einer regelmäßigen Wartung bedarf. Suse empfiehlt zur Reparatur den Einsatz der automatischen Reparatur via Installationsmedium, etwas anderes habe ich nicht gefunden. Bei Recherchen im Internet bin ich lediglich in einige ältere Forenbeiträge geraten, die aus Zeiten der Betaphase von ext4 stammten und keine Lösungsansätze enthielten. Muss ich bei normalen Betrieb ohne Fehlermeldungen irgendwelche Wartungen durchführen? Kann der Reparaturmodus der Installation-DVD auf mit LUKS verschlüsselte Partitionen zugreifen? Wenn nicht, welche Howto gibt es zu dem Thema. Danke schon mal fürs Mitdenken. -- Grüße Christian Gut, das Audacious gerade von Cream - Sunshine Of Your Love spielt :music: -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Thu, 30 Dec 2010 15:45:02 +0100, Christian Meseberg wrote:
Muss ich bei normalen Betrieb ohne Fehlermeldungen irgendwelche Wartungen durchführen?
Nicht zwingend. Es spricht aber auch nicht viel gegen eine automatische Prüfung nach z.B. X Tagen.
Kann der Reparaturmodus der Installation-DVD auf mit LUKS verschlüsselte Partitionen zugreifen?
Die automatische Reperatur gibt es seit 11.3 nicht mehr auf der DVD. Allerdings eine Rettungskonsole. Wenn ich mich recht entsinne, kann man damit aber auch umgehen. Aber schau mal beim Logoff / Herunterfahren, ob die eingehangenen verschlüsselten Partitionen auch korrekt ausgehangen werden. Als ich das mit pam_mount und automatischer Entschlüsselung bei Login probiert habe, bekam ich bei 8 von 10 Logoffs die Meldung dass noch Prozesse auf das Dateisystem zugreifen und nicht ausgehangen werden kann. Könnte auf Dauer evtl. auch ungesund sein. -- Lutz Thuns openSUSE official member (lOtz1009) LXDE team -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Lutz Thuns meinte am Donnerstag, den 30.12.2010 um 16:01 Uhr wegen:Wartung veschlüsselter Partitionnen
Die automatische Reperatur gibt es seit 11.3 nicht mehr auf der DVD. Allerdings eine Rettungskonsole. Wenn ich mich recht entsinne, kann man damit aber auch umgehen.
oh, das war mir noch nicht aufgefallen, da nach dem Upgrade auf 11.3 alles bestens läuft.
Aber schau mal beim Logoff / Herunterfahren, ob die eingehangenen verschlüsselten Partitionen auch korrekt ausgehangen werden. Als ich das mit pam_mount und automatischer Entschlüsselung bei Login probiert habe, bekam ich bei 8 von 10 Logoffs die Meldung dass noch Prozesse auf das Dateisystem zugreifen und nicht ausgehangen werden kann.
da sieht alles i.O. aus. Problem ist, dass in der fstab alle Einträge der /dev/mapper/cr_md1_2_3 auf nofail 0 0 stehen und somit m.E. nicht geprüft werden. Kann bzw. sollte ich das ändern? -- Beste Grüße Christian Gut, das Audacious gerade von Led Zeppelin - Going to California spielt :music: -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Thu, 30 Dec 2010 16:16:50 +0100, Christian Meseberg wrote:
oh, das war mir noch nicht aufgefallen, da nach dem Upgrade auf 11.3 alles bestens läuft.
wurde schon breit diskutiert ;)
Problem ist, dass in der fstab alle Einträge der /dev/mapper/cr_md1_2_3 auf nofail 0 0 stehen und somit m.E. nicht geprüft werden. Kann bzw. sollte ich das ändern?
Du kannst. Meine stehen auf ext4 acl,user_xattr,nofail 0 2 -- Lutz Thuns openSUSE official member (lOtz1009) LXDE team -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Lutz Thuns meinte am Donnerstag, den 30.12.2010 um 16:30 Uhr wegen:Wartung veschlüsselter Partitionnen
Problem ist, dass in der fstab alle Einträge der /dev/mapper/cr_md1_2_3 auf nofail 0 0 stehen und somit m.E. nicht geprüft werden. Kann bzw. sollte ich das ändern?
Du kannst. Meine stehen auf ext4 acl,user_xattr,nofail 0 2
vielen Dank ;) -- Beste Grüße Christian Gut, das Audacious gerade von Led Zeppelin - Going to California spielt :music: -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Christian Meseberg meinte am Donnerstag, den 30.12.2010 um 17:44 Uhr wegen:Gelöst Re: Wartung veschlüsselter Partitionnen
Du kannst. Meine stehen auf ext4 acl,user_xattr,nofail 0 2
vielen Dank
ganz so einfach scheint es doch nicht zu sein. Weder beim booten, noch beim shutdown kommt ein rotes 'failed'. Dennoch fand ich in /var/log/boot.msg folgende Meldung, die auch für allen anderen Raid's ausgegeben wird und mit 'unknow partition table' abschließt: <6>[ 14.831011] md: md3 stopped. <6>[ 14.833718] md: bind<sdc1> <6>[ 14.833867] md: bind<sdd1> <6>[ 14.838360] raid0: looking at sdd1 <6>[ 14.838367] raid0: comparing sdd1(488391936) <6>[ 14.838370] with sdd1(488391936) <6>[ 14.838372] raid0: END <6>[ 14.838374] raid0: ==> UNIQUE <6>[ 14.838377] raid0: 1 zones <6>[ 14.838379] raid0: looking at sdc1 <6>[ 14.838382] raid0: comparing sdc1(490223360) <6>[ 14.838385] with sdd1(488391936) <6>[ 14.838387] raid0: NOT EQUAL <6>[ 14.838390] raid0: comparing sdc1(490223360) <6>[ 14.838393] with sdc1(490223360) <6>[ 14.838395] raid0: END <6>[ 14.838397] raid0: ==> UNIQUE <6>[ 14.838399] raid0: 2 zones <6>[ 14.838401] raid0: FINAL 2 zones <6>[ 14.838408] raid0: zone 1 <6>[ 14.838410] raid0: checking sdd1 ... <6>[ 14.838413] nope. <6>[ 14.838415] raid0: checking sdc1 ... <6>[ 14.838418] contained as device 0 <6>[ 14.838420] (490223360) is smallest!. <6>[ 14.838423] raid0: zone->nb_dev: 1, sectors: 1831424 <6>[ 14.838426] raid0: current zone start: 490223360 <6>[ 14.838429] raid0: done. <6>[ 14.838432] raid0 : md_size is 978615296 sectors. <6>[ 14.838435] ******* md3 configuration ********* <6>[ 14.838437] zone0=[sdd1/sdc1/] <6>[ 14.838443] zone offset=0kb device offset=0kb size=488391936kb <6>[ 14.838446] zone1=[sdc1/] <6>[ 14.838451] zone offset=488391936kb device offset=244195968kb size=915712kb <6>[ 14.838454] ********************************** <6>[ 14.838455] <6>[ 14.838473] md3: detected capacity change from 0 to 501051031552 <6>[ 14.840100] md3: unknown partition table alle Raid werden eingehängt und sind verfügbar. Am System sind weder Performanceverlust noch Abstürze auffällig. Die Ausgabe von df zeigt alle Raids mit belegtem und freien Speicherplatz an. Könnte es an der Verschlüsselung mit LUKS liegen? Was sollte ich da unternehmen? -- Beste Grüße Christian Gut, das Audacious gerade von Led Zeppelin - Going to California spielt :music: -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Christian Meseberg meinte am Donnerstag, den 30.12.2010 um 19:27 Uhr wegen:LUKS checken (war: Gelöst Re: Wartung veschlüsselter Partitionnen)
alle Raid werden eingehängt und sind verfügbar. Am System sind weder Performanceverlust noch Abstürze auffällig. Die Ausgabe von df zeigt alle Raids mit belegtem und freien Speicherplatz an. Könnte es an der Verschlüsselung mit LUKS liegen?
habe inzwischen bei de.opensuse rausgefunden, das LUKS-Partitionen bereit entschlüsselt aber nicht gemountet sein müssen, um ein fsck ausführen zu können. Deshalb wird das fsck über fstab nicht klappen, jedenfalls nicht, wenn pam_mount beim Login die Platten einhängt.
Was sollte ich da unternehmen?
Ich muss das auf Konsolenebene von Hand bis zur Device-Mapper ebene tun, nehme ich an. wäre hier der Befehl für fsck am Beispiel md1 richtig? e2fsck -f /dev/mapper/cr_md1 oder muss ich noch das Dateisystem angeben? -- Beste Grüße Christian Gut, das Audacious gerade von Jock Jams - We Will Rock You spielt :music: -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Am 30.12.2010 20:51, schrieb Christian Meseberg:
habe inzwischen bei de.opensuse rausgefunden, das LUKS-Partitionen bereit entschlüsselt aber nicht gemountet sein müssen, um ein fsck ausführen zu können. Deshalb wird das fsck über fstab nicht klappen, jedenfalls nicht, wenn pam_mount beim Login die Platten einhängt.
Sollten für fsck nicht so oder so alle Partitionen ausgehängt sein? Also ich habe kein RAID, aber meine Partitionen /home/ und /home/xy/_data sind mit LUKS verschlüsselt. In der /etc/crypttab habe ich noch jeweils die Option "noearly" hinzugefügt. (sh. man crypttab). Vielleicht hilfts? Wie gesagt...bei mir ist nix mit pam_mount, ich werde beim Booten nach dem Passwort gefragt.
wäre hier der Befehl für fsck am Beispiel md1 richtig?
e2fsck -f /dev/mapper/cr_md1
generell richtig, allerdings bin ich mir nicht sicher was passiert, wenn das Dateisystem doch eingehängt sein sollte und die Option -f verwendet wird. Ob ext2/3/4 brauchst du nicht angeben. IIRC gibt es da auch keine Option für. - -- Lutz Thuns openSUSE official member (lOtz1009) LXDE-Team -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.15 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/ iQEcBAEBAgAGBQJNHOjZAAoJEFuFM+jpZ7AVC/EIALRaZJk8zR+wcVSrjTP+RV5F OajhstkRNX2viUXh5ceCT6tTNQ05AtBUBieghAIcXddTbdI2m+Zfdu1CXU0ob1Ra XJD9EWpDPkYJgBMoDyoryUZJQ1++zb4UrVM/u1dg+7ZdqBRXopkWMCIzlK3ltfaJ D0u6TKITrsIuMvAOSHjbKb5/vE4guVmkLjVtLBtqMdZxzE67JlKQfi+KmBb3ezkT PfE/u9bTFP4ghUayWvVxg+4IiuDWQFIdltlWSrH2qk+hQwt1hucA0gO0r1Zxcvne 1NDhvxlk6i+I1NqYLVTNtKz/CPg/FVeQZfy1CDenIJCpDt1hvOSQS+PjMpcSAcg= =Lvxo -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Lutz Thuns meinte am Donnerstag, den 30.12.2010 um 21:17 Uhr wegen:LUKS checken (war: Gelöst Re: Wartung veschlüsselter Partitionnen)
Sollten für fsck nicht so oder so alle Partitionen ausgehängt sein? Also ich habe kein RAID, aber meine Partitionen /home/ und /home/xy/_data sind mit LUKS verschlüsselt. In der /etc/crypttab habe ich noch jeweils die Option "noearly" hinzugefügt. (sh. man crypttab).
crypttab ist bei mir leer, steht alles in /etc/security/pam_mount.conf.xml
Vielleicht hilfts? Wie gesagt...bei mir ist nix mit pam_mount, ich werde beim Booten nach dem Passwort gefragt.
das pam_mount macht den Unterschied. Die Entschlüsselung erfolgt hier erst nach dem Login des Users. Bei Dir während des Bootvorganges und die musst sicher für jede Partition den Key-Schlüssel separat eingeben. Das hat bei mir zu Protesten in der Familie geführt, weshalb ich mich für pam_mount entschieden habe. Habe ebend entdeckt, das die pam_mount.conf.xml die option 'fsck' vorsieht und habe diese aus required gesetzt. Leider hat das noch kein positives Ergebnis gebracht. Nach einem Neustart konnte ich keine Meldung von fsck in den Logdateien ausmachen. Die von mir übermittelte Fehlermeldung stammt übrigens nicht von fsck sondern m.E. von device-mapper. Die Meldungen werde ich erstmal ignorieren. Leider hat 'man pam_mount' keine Hinwiese zur Konfiguration der Bootoptionen, aber den Ansatz werde ich verfolgen. Möglich ist ja, was ich nicht weiß, dass fsck gar nicht bei jedem Start aktiv wird. Die anderen unverschlüsselten Verzeichnisse werden auch nicht gecheckt, obwohl sie in der fstab mit Option 1 für / und 2 für restliche Partitionen vorgemerkt sind. Danke erst einmal an Alle die geholfen haben. -- Beste Grüße Christian Gut, das Audacious gerade von Helene Fischer - Von hier bis unendlich spielt :music: -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 31.12.2010, Christian Meseberg wrote:
Bei Dir während des Bootvorganges und die musst sicher für jede Partition den Key-Schlüssel separat eingeben. Das hat bei mir zu Protesten in der Familie geführt...
Einfach alle Partitionen ausser "/" mittels keyfile entschluesseln. Beim Booten wird das Passwort fuer die root partition verlangt, und darauf liegen die keyfiles fuer alle anderen Partitionen. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Heinz Diehl meinte am Freitag, den 31.12.2010 um 13:55 Uhr wegen:LUKS checken (war: Gelöst Re: Wartung veschlüsselter Partitionnen)
On 31.12.2010, Christian Meseberg wrote:
Bei Dir während des Bootvorganges und die musst sicher für jede Partition den Key-Schlüssel separat eingeben. Das hat bei mir zu Protesten in der Familie geführt...
Einfach alle Partitionen ausser "/" mittels keyfile entschluesseln. Beim Booten wird das Passwort fuer die root partition verlangt, und darauf liegen die keyfiles fuer alle anderen Partitionen.
Danke, aber entgegen einer Aussage in einem früheren Thread ist '/' bei mir nicht verschlüsselt. Die Option werde ich vielleicht aufgreifen, wenn ich das System später komplett verschlüsseln würde. Inzwischen fand ich heraus, dass fsck in pam_mount durch mount.crypt ausgeführt wird, bevor die Partitionen gemountet werden. Allerdings fand ich bisher in keiner logdatei einen Eintrag dazu. Ob mein System nun richtig konfiguriert ist, konnte ich noch nicht ergründen. die Manpages sind das sehr spärlich und die Doku auf pam-mount.sourceforge.net ebenso. Dort war zu fsck folgenden Vorschlag für die pam_mount.con.xml: <fsck>fsck -p %(FSCKTARGET)</fsck> der bei mir nicht drin steht. Ich werde also in Abständen die Platten manuell prüfen. -- Beste Grüße Christian Gut, das Audacious gerade von Helene Fischer - Von hier bis unendlich spielt :music: -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (3)
-
Christian Meseberg -
Heinz Diehl -
Lutz Thuns