Proxmox - Verschlüsselung (LUKS) und Fernzugriff wie aufbauen?

BartS

Commodore
Registriert
Apr. 2008
Beiträge
4.955
Hallo zusammen,

ich nutze seit geraumer Zeit Proxmox auf meinem Homeserver mit diversen CT und VM, was auch ohne größere Probleme funktioniert. Das OS und einige CT laufen auf einer M.2 NVMe SSD, alle VMs auf einer SATA SSD und als Datenspeicher sind diverse HDD im Einsatz. Auf das OS wird aus der Ferne zugegriffen, weshalb diese SSD nicht verschlüsselt ist, die anderen Speicher wiederum mit LUKS.

Nun werde ich die vorhanden SSDs austauschen gegen "NAS-SSDs" mit jeweils 1TB Speicherplatz. Generell könnte einfach die Daten von der einen auf die andere SSD übertragen, jedoch sind dann noch alle CT auf der NVMe unverschlüsselt, was ich gerne ändern möchte. Natürlich wäre es auch eine Möglichkeit die CT auf die verschlüsselte SATA SSD zu schieben, doch dümpelt auf der NVMe dann nur das OS mit ihren paar GB rum. Zudem soll das OS aus der Ferne erreichbar bleiben, so dass auch nach einem Neustart (oder Stromausfall, etc.) das OS normal booten kann um die restlichen Platten von dort aus via Passworteingabe entschlüsseln kann.

Meine Vorstellung:
1. NVMe SSD
aufgeteilt in Partitionen
1.1 OS auf der unverschlüsselten Partition, damit man nach einem Neustart zugreifen kann
1.2 CT/VM etc. auf der verschlüsselten Partition
2. SATA SSD aufgeteilt in Partitionen
2.1 VMs auf der ersten verschlüsselten Partition
2.2 Daten auf der zweiten verschlüsselten Partition
3. SATA HDD verschlüsselt für Daten

Ist das irgendwie in der Art realisierbar? Es wäre mir wichtig, dass das OS nach einem Neustart via Netzwerk erreichbar ist, damit von dort aus die verschlüsselten Platten entsperrt werden können (Vor Ort könnte ich ja einfach das Passwort via USB-Tastatur eintippen, ist aber nicht immer möglich).

Ich bin auch gerne für andere Möglichkeiten offen, sofern es ich Finanziell in Grenzen hält - Vorschläge wie man eine vollständige Verschlüsselung aufbaut mit Fernzugriff (LAN / I-Net), wäre für spätere Projekte interessant.

Zudem hatte ich mit dem Gedanken einer RAM-Disk für ein CT gespielt, um den 'wear out' der SSD klein zuhalten. Ohne versucht zu haben ob dass so funktioniert wie angedacht, könnte man die RAM-Disk generell auch verschlüsseln oder ist das nicht Möglich?


Wenn Ihr noch weiter Informationen benötigt, einfach schreiben (Hardware ist Consumer-Grade, kein IPMI etc. möglich).


Vielen Dank vorab.
 
Danke euch beiden, schaue ich mir an und werde es dann versuchen umzusetzen.
 
Zurück
Oben