Ubuntu Server zweite Festplatte mit LUKS verschlüsseln und beim Boot automatisch einbinden sowie Festplatte im laufenden Betrieb vergrößern: Unterschied zwischen den Versionen
Aus znilwiki
BLinz (Diskussion | Beiträge) Die Seite wurde neu angelegt: „<u>'''Changelog:'''</u> * 18.05.2026 erste Version ---- =Vorwort=“ |
BLinz (Diskussion | Beiträge) KKeine Bearbeitungszusammenfassung |
||
| Zeile 1: | Zeile 1: | ||
{{AchtungBaustelle}} | |||
<u>'''Changelog:'''</u> | <u>'''Changelog:'''</u> | ||
* 18.05.2026 erste Version | * 18.05.2026 erste Version | ||
---- | ---- | ||
=Vorwort= | =Vorwort= | ||
Ich nutze virtuelle Cloud-Server auch für Backups und war am überlegen ob ich deren Dateisystem verschlüsseln soll.<br> | |||
Dabei habe ich ausprobiert, sowohl die Boot-Festplatte als auch eine zusätzlichen Datenfestplatte zu verschlüsseln.<br> | |||
Beim Start des Systems soll aber nur einmal das Passwort abgefragt werden und danach automatisch alle Festplatten entschlüsselt und in das Dateisystem eingehängt werden.<br> | |||
Da habe ich einen Moment für gebraucht, deshalb habe ich mir wie immer eine Schritt-für-Schritt-Anleitung geschrieben damit ich das später auch noch mal hinbekomme.<br> | |||
<br> | |||
Als Clou habe ich - mit Unterstützung von Google Gemini - ein Skript für das Vergrößern der Festplatten auch mit LUKS-Verschlüsselung erstellt.<br> | |||
<br> | |||
---- | |||
=Installation Grundsystem mit Verschlüsselung= | |||
Ich installiere hier Ubuntu Server 26.04 LTS, sollte mit anderen Versionen und Systemen wie Debian ähnlich sein.<br> | |||
Dabei wähle ich die Festplattenverschlüsselung direkt im Setup aus.<br> | |||
nano /etc/systemd/system/decrypt-luks_sdb.service | |||
<source lang="bash"> | |||
[Unit] | |||
Description=Decrypt and open /dev/sdb | |||
Documentation=man:cryptsetup | |||
DefaultDependencies=no | |||
Conflicts=shutdown.target | |||
After=local-fs.target | |||
Before=shutdown.target | |||
BindsTo=dev-sdb.device | |||
After=dev-sdb.device | |||
#Before=var-lib-docker.mount | |||
[Service] | |||
Type=oneshot | |||
RemainAfterExit=yes | |||
ExecStart=/usr/sbin/cryptsetup luksOpen /dev/sdb luks_sdb --key-file /etc/luks/luks_sdb | |||
ExecStartPost=/usr/sbin/vgscan ; /usr/sbin/vgchange -ay | |||
ExecStop=/usr/sbin/vgchange -a n luks_sdb ; /usr/sbin/cryptsetup luksClose luks_sdb | |||
TimeoutSec=90s | |||
</source> | |||
<br> | |||
nano /etc/systemd/system/opt.mount | |||
<source lang="bash"> | |||
# this systemd unit will mount the LVM logical volume | |||
# /dev/luks_sdb/opt at /opt | |||
[Unit] | |||
Description=Mount luks_sdb | |||
DefaultDependencies=no | |||
ConditionPathExists=/opt | |||
Requires=decrypt-luks_sdb.service | |||
After=decrypt-luks_sdb.service | |||
[Mount] | |||
What=/dev/luks_sdb/opt | |||
Where=/opt | |||
[Install] | |||
WantedBy=multi-user.target | |||
</source> | |||
=Quellen= | |||
* https://medium.com/@chandana_33332/howto-setup-a-luks-encrypted-drive-with-lvm-on-linux-f33465383bb8 | |||
* https://gemini.google.com/ | |||
Version vom 18. Mai 2026, 09:49 Uhr
Dieses Thema ist noch nicht vollständig! Es wird noch daran gearbeitet!
Changelog:
- 18.05.2026 erste Version
Vorwort
Ich nutze virtuelle Cloud-Server auch für Backups und war am überlegen ob ich deren Dateisystem verschlüsseln soll.
Dabei habe ich ausprobiert, sowohl die Boot-Festplatte als auch eine zusätzlichen Datenfestplatte zu verschlüsseln.
Beim Start des Systems soll aber nur einmal das Passwort abgefragt werden und danach automatisch alle Festplatten entschlüsselt und in das Dateisystem eingehängt werden.
Da habe ich einen Moment für gebraucht, deshalb habe ich mir wie immer eine Schritt-für-Schritt-Anleitung geschrieben damit ich das später auch noch mal hinbekomme.
Als Clou habe ich - mit Unterstützung von Google Gemini - ein Skript für das Vergrößern der Festplatten auch mit LUKS-Verschlüsselung erstellt.
Installation Grundsystem mit Verschlüsselung
Ich installiere hier Ubuntu Server 26.04 LTS, sollte mit anderen Versionen und Systemen wie Debian ähnlich sein.
Dabei wähle ich die Festplattenverschlüsselung direkt im Setup aus.
nano /etc/systemd/system/decrypt-luks_sdb.service
[Unit]
Description=Decrypt and open /dev/sdb
Documentation=man:cryptsetup
DefaultDependencies=no
Conflicts=shutdown.target
After=local-fs.target
Before=shutdown.target
BindsTo=dev-sdb.device
After=dev-sdb.device
#Before=var-lib-docker.mount
[Service]
Type=oneshot
RemainAfterExit=yes
ExecStart=/usr/sbin/cryptsetup luksOpen /dev/sdb luks_sdb --key-file /etc/luks/luks_sdb
ExecStartPost=/usr/sbin/vgscan ; /usr/sbin/vgchange -ay
ExecStop=/usr/sbin/vgchange -a n luks_sdb ; /usr/sbin/cryptsetup luksClose luks_sdb
TimeoutSec=90s
nano /etc/systemd/system/opt.mount
# this systemd unit will mount the LVM logical volume
# /dev/luks_sdb/opt at /opt
[Unit]
Description=Mount luks_sdb
DefaultDependencies=no
ConditionPathExists=/opt
Requires=decrypt-luks_sdb.service
After=decrypt-luks_sdb.service
[Mount]
What=/dev/luks_sdb/opt
Where=/opt
[Install]
WantedBy=multi-user.target