Dies ist die archivierte Version des Blogs vom 05.01.2017. Aktuelle Beiträge findest du unter thomas-leister.de
 

Fedora 23: SSD Trim bei verschlüsselter Festplatte aktivieren

Für Arch Linux habe ich vor einiger Zeit in diesem Beitrag schon beschrieben, wie man die Trim-Funktion für SSDs bei aktivierter LUKS-Verschlüsselung aktiviert. Ich bin mir darüber im Klaren, dass das Trimmen die Verschlüsselung schwächen kann (und die Funktion wohl deshalb auch standardmäßig aktiviert ist) – aber mit Schreibraten unter 23 MB/s kann ich nicht leben, und doch muss Verschlüsselung auf dem Notebook einfach sein. Deshalb wird getrimmt.

In der Datei /etc/crypttab wird am Ende ein „allow-discards“ angehängt:

luks-2b7bf06d-8b48-4d14-b199-5f3b3ba5243b UUID=2b7bf06d-8b48-4d14-b199-5f3b3ba5243b none allow-discards

Wenn LUKS in Kombination mit LVM genutzt wird, muss in der LVM-Konfigurationsdatei /etc/lvm/lvm.conf zusätzlich „issue_discards“ auf „1“ gesetzt werden:

issue_discards = 1

Wer automatisches Trimmen aktivieren will, fügt zur /etc/fstab noch die „discard“ Option zu Root-Partition (und ggf. Home-Partition) hinzu:

/dev/mapper/fedora_thomas--nb-root / ext4 defaults,discard,x-systemd.device-timeout=0 1 1
UUID=851c18c3-daa9-456f-90bd-df3b21966ca2 /boot ext4 defaults 1 2
UUID=9A54-7F3C /boot/efi vfat umask=0077,shortname=winnt 0 2
/dev/mapper/fedora_thomas--nb-home /home ext4 defaults,discard,x-systemd.device-timeout=0 1 2
/dev/mapper/fedora_thomas--nb-swap swap swap defaults,x-systemd.device-timeout=0 0 0

Abschließend wird das initramfs mit der neuen Konfiguration neu generiert

sudo dracut --force

… und der Rechner neu gestartet. Zum manuellen Trimmen wird das Kommando

sudo fstrim -v /

ausgeführt. Die SSD sollte nun wieder deutlich schneller beschreibbar sein. Das Ergebnis bei mir: Von 23 MB/s auf 310 MB/s. Wenn sich das mal nicht gelohnt hat … ;-)

Arch Linux mit LUKS Verschlüsselung auf UEFI System installieren

Gestern habe ich die Arch Linux Installation auf meinem Asus UX31a Ultrabook erneuert. Eine Schwierigkeit bei dem Ultrabook ist dabei das UEFI System. Mein vorheriges Arch Linux Setup auf dem Gerät war ziemlich kompliziert (wie sich herausgestellt hat: unnötig kompliziert), aber inzwischen habe ich einfachere Wege gefunden, die ich mit diesem Beitrag mit euch teilen will. Das UEFI Setup ist gar nicht mehr so schwierig, wenn man die richtige herangehensweise gefunden hat. Statt 4 Partitionen werden nur noch 2 benötigt und das Setup ist wesentlich kompakter. Der Großteil des Betriebssytems (alles außer /boot) wird via LUKS verschlüsselt auf der SSD abgelegt.

Weiterlesen ›

LUKS Verschlüsselung: Passwort ändern

Ist die Festplatte erst einmal mit LUKS verschlüsselt, kommt vielleicht auch einmal der Wunsch auf, das Passwort für die verschlüsselte Partition zu ändern. Das geht schnell und einfach über folgenden Befehl:

cryptsetup luksChangeKey /dev/sda3

Wobei /dev/sda3 die Festplattenpartition mit der LUKS-Verschlüsselung ist. Man wird aufgefordert, das zu ändernde Passwort einzugeben und danach ein neues zu wählen. Fertig.

LUKS unterstützt bis zu 8 „Schlüsselfächer“, d.h. es können bis zu 8 separate Passwörter angelegt werden, mit denen man Zugriff auf die verschlüsselte Partition bekommt. Wenn man beim Ändern des Passworts sichergehen will, dass nichts schiefgeht und Daten z.B. durch einen Stromausfall und unvollständige Änderungen unlesbar werden, kann man sich die Schlüsselfächer zunutze machen und die Passwortänderung in kleinen Schritten ausführen:

Zuerst wird ein weiteres Passwort neben dem aktuellen angelegt:

cryptsetup luksAddKey /dev/sda3

Nach der Eingabe eines bereits vorhandenen Passworts wird das neue Passwort angegeben. Im nächsten Schritt wird dann das alte Passwort entfernt, indem es nach folgendem Befehl eingegeben wird:

cryptsetup luksRemoveKey /dev/sda3

Jetzt existiert nur noch ein Schlüsselfach für das neue Passwort und ein Login über das alte Passwort ist nicht mehr möglich. => Passwort geändert!