Asennus ja kiintolevyjen LUKS-kryptaus, kun root SSD:llä ja home HDD:llä

[Puuha Pepe]

Löytyykö mistään ajantasaisia ohjeita kuinka hoitaa homma, jos ensin asentaa SSD:lle Ubuntun ihan sillä perus installerin haluammalla tavalla valiten encryption ja LVM, ja että sitten myöhemmin vaihtaisi kotihakemiston erilliselle kiintolevylle, joka kryptataan myös LUKSilla?

[AimoE]

Suosittelisin kuitenkin harkitsemaan ensin sitä että kotihakemiston luuranko säilyy paikallaan, ja vain tiedot sijaitsevat salattuna HDD:llä. Kun sen saa toimimaan mahdollisimman sujuvasti, niin sitten voi jo yrittää saada HDD:llä olevan LUKS:n avaaminen jo loginissa niin ettei kotihakemistoa SDD:llä enää tarvita muuten kuin fallback-tarkoituksiin.

[Puuha Pepe]

Tarkoittaako "luurangon säilyminen paikallaan" sitä, että /home/pepe on edelleen SSD:llä, mutta salatun HDD:n mount point olisi esimerkiksi /home/pepe/data ja tästä voi sitten lähteä miettimään automatisointia crypttabin ym. kanssa? Vai voiko toisenkin levyn mountata suoraan /home/pepe?

[AimoE]

Veikkaan että siellä SDD:llä kannattaa joka tapauksessa olla /home-juuri, ihan fallback-tilanteita varten, vaikka kaikki kotihakemitot (paitsi /root) siirrettäisiinkin. Joten HDD:llä tarvitaan esim. /home2/pepe tms.

Edit: typo korjattu

[AimoE]

Uskoakseni se mitä kysyt on ihan mahdollista, ja joku viisaampi varmaan löytyy kertomaan miten se tehdään. Mutta kuvittelisin että se on smaa hankaluusluokkaa kuin esimerkiksi /boot-hakemiston (osan) siirto LUKS:n suojaan.

[AimoE]

No niin, heti kun viitsin tehdä nettihaun, niin löytyyhän niitä vastauksia, sekä koko /home-osion siirtoon (avain on komento lvm lvmove) että yksittäisen käyttäjän kotihakemiston salaukseen. Esimerkiksi Ask Ubuntu -vastauksessa (vastauksen lopussa) viitataan tähän perusmekanismiin. Tietty jos käyttäjiä on vain yksi, niin valintakysymys on hiukan akateeminen, mutta ratkaisu kuitenkin täysin erilainen.