我様

LVMについて詳しくありませんが、複数の物理ボリュームを仮想的にひとつの論理ボリュームに設定するシステムであると存じています。そこで、設定するLVMが単一の物理ボリュームなのか、複数の物理ボリュームにまたがるのかによっても違うと思います。また、LVMで暗号化の設定をするか否かでも異なるのではないでしょうか。

単一の物理ボリュームで、LVMに暗号化を施した場合は、一度暗号化をした上でさらに仮想的に暗号化を施すことになるかと思います。

複数の物理ボリュームにまたがる場合、暗号化された物理ボリュームとそうでない物理ボリュームが混在すると、仮想的にひとつのボリュームの中で暗号化レベルが異なり、利用する上での支障が想定されると思われます。

システムは状況やニーズに合わせて取捨選択して構成して行くものだと存じていますので背景やニーズ、環境に依り、一概に正しいと言えるものではないと考えますが、できるだけシンプルな構成でやってみるのが賢明かと思いますので、LVMを作る必要がある場合はLVM上のみで、LVMの利用に迫られていない場合は物理ボリュームのみを暗号化して、利用されるのはいかがでしょうか。

拙い意見かと思いますが、参考になれば幸いです。

2018年3月24日(JST)

Papils

On 2018年03月24日 04:36, 我 wrote:

データを保護するためにSSDを暗号化しておきたいのですがLVMの設定で混乱したとこがあったので質問させてください。

暗号化された物理ボリュームの上にLVMを作るのか、それともLVMを暗号化するのか

どちらが正しいですか？

---

debian-users mailing list debian-users@debian.or.jp https://lists.debian.or.jp/mailman/listinfo/debian-users

西山和広です。

On Sat, 24 Mar 2018 04:36:40 +0900, 我 wrote:

データを保護するためにSSDを暗号化しておきたいのですがLVMの設定で混乱したとこがあったので質問させてください。

暗号化された物理ボリュームの上にLVMを作るのか、それともLVMを暗号化するのか

どちらが正しいですか？

インストーラーで暗号化を選ぶと、以下のように /boot だけ 暗号化されていない別パーティションになっていて、 残りは LUKS で暗号化されたブロックデバイスを LVM で / と swap にする、という切り方になっています。

$ lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT sr0 11:0 1 1024M 0 rom vda 254:0 0 100G 0 disk ├─vda1 254:1 0 243M 0 part /boot ├─vda2 254:2 0 1K 0 part └─vda5 254:5 0 99.8G 0 part └─vda5_crypt 253:0 0 99.8G 0 crypt ├─xxx--vg-root 253:1 0 98.8G 0 lvm / └─xxx--vg-swap_1 253:2 0 1G 0 lvm [SWAP]