11 #
Komplexe Systemkonfigurationen erfordern besondere Festplatteneinrichtungen. Sie können alle gängigen Partitionierungsaufgaben während der Installation durchführen.
Wenn Sie persistente Gerätenamen für Blockgeräte erhalten möchten, verwenden Sie die Geräte unter /dev/disk/by-id
oder /dev/disk/by-uuid
.
Das Logical Volume Management (LVM) ist ein Schema für die Festplattenpartitionierung, das viel flexibler als die physische Partitionierung in Standardkonfigurationen ist. Mit der Snapshop-Funktion können Sie Datensicherungen einfach erstellen. Ein RAID (Redundant Array of Independent Disks) bietet verbesserte Datenintegrität, Leistung und Fehlertoleranz. SUSE Linux Enterprise Server unterstützt auch die Multipath-E/A (weitere Details finden Sie im Chapter 18, Managing multipath I/O for devices). Es gibt auch die Möglichkeit, iSCSI als vernetzte Festplatte zu verwenden (lesen Sie mehr über iSCSI im Chapter 15, Mass storage over IP networks: iSCSI).
Beachten Sie, dass Speicherplatz aus Partitionierungsgründen in binären Einheiten statt in dezimalen Einheiten gemessen wird. Wenn Sie beispielsweise Größen von 1GB
, 1GiB
oder 1G
eingeben, werden diese vom System immer als 1 GiB (Gibibyte) behandelt, im Gegensatz zu 1 GB (Gigabyte).
- Binär
1 GiB = 1 073 741 824 Byte.
- Dezimal
1 GB = 1 000 000 000 Byte.
- Differenz
1 GiB ≈ 1,07 GB.
11.1 Verwenden von #
Mit dem Abbildung 11.1, „YaST-Partitionierung“) können Sie Partitionen hinzufügen, löschen, bearbeiten und deren Größe verändern sowie auf die Soft-RAID und LVM-Konfiguration zugreifen.
(Auch wenn es möglich ist, ein laufendes System neu zu partitionieren, ist das Risiko eines Fehlers mit daraus folgendem Datenverlust sehr hoch. Versuchen Sie daher eine Neupartitionierung des installierten Systems möglichst zu vermeiden. Sollten Sie dies trotzdem versuchen, führen Sie zuvor unbedingt eine vollständige Datensicherung durch.
IBM Z erkennt nur DASD-, zFCP- und SCSI-Festplatten. IDE-Festplatten werden nicht unterstützt. Aus diesem Grund werden die Geräte in der Partitionstabelle für das erste erkannte Gerät als dasda
oder sda
angezeigt.
Alle bestehenden oder vorgeschlagenen Partitionen auf allen angeschlossenen Festplatten werden in der Liste /dev/sda
(oder /dev/dasda
). Partitionen werden als Teile dieser Geräte aufgelistet, beispielsweise als /dev/sda1
(bzw. als /dev/dasda1
). Größe, Typ, Verschlüsselungsstatus, Dateisystem und Einhängepunkt der Festplatten und ihrer Partitionen werden ebenfalls angezeigt. Der Einhängepunkt gibt an, wo sich die Partition im Linux-Dateisystembaum befindet.
Mehrere funktionale Ansichten sind in der RAID
, Volume Management
, Crypt Files
) zu konfigurieren und Dateisysteme mit zusätzlichen Funktionen wie BTRFS, NFS oder TMPFS
anzuzeigen.
Wenn Sie das Experten-Dialogfeld während der Installation ausführen, wird auch sämtlicher freier Speicherplatz aufgeführt und automatisch ausgewählt. Soll zusätzlicher Speicherplatz für SUSE Linux Enterprise Server bereitgestellt werden, gehen Sie die Liste der Partitionen von unten nach oben durch und geben Sie den erforderlichen Speicherplatz frei.
11.1.1 Partitionstabellen #
Mit SUSE Linux Enterprise Server können Sie verschiedene Partitionstabellen erstellen und verwenden. In einigen Fällen wird die Partitionstabelle als Festplattenkennung bezeichnet. Die Partitionstabelle ist für den Boot-Vorgang des Computers unverzichtbar. Soll der Computer aus einer Partition in einer soeben erstellten Partitionstabelle gebootet werden, überprüfen Sie, ob das Tabellenformat durch die Firmware unterstützt wird.
Führen Sie den YaST-Partitioner aus, klicken Sie in der
auf den Namen der entsprechenden Festplatte und wählen Sie › .11.1.1.1 Master Boot Record #
Der Master-Boot-Record (MBR) ist die ältere Partitionstabelle auf IBM-PCs. Dies wird auch als MS-DOS-Partitionstabelle bezeichnet. Der MBR unterstützt lediglich vier primäre Partitionen. Falls die Festplatte bereits einen MBR aufweist, können Sie mit SUSE Linux Enterprise Server zusätzliche Partitionen in dieser Tabelle anlegen und als Installationsziel heranziehen.
Die Beschränkung auf vier Partitionen lässt sich mithilfe einer erweiterten Partition umgehen. Die erweiterte Partition selbst ist eine primäre Partition und kann wiederum weitere logische Partitionen aufnehmen.
Die UEFI-Firmware unterstützt in der Regel das Booten vom MBR im Legacy-Modus.
11.1.1.2 GPT-Partitionstabelle #
UEFI-Computer arbeiten standardmäßig mit einer GUID-Partitionstabelle (GPT). Falls eine Festplatte noch keine Partitionstabelle enthält, legt SUSE Linux Enterprise Server eine GPT an.
Ältere BIOS-Firmware unterstützt das Booten von GPT-Partitionen nicht.
Für die folgenden Funktionen benötigen Sie eine GPT-Partitionstabelle:
Mehr als vier primäre Partitionen
UEFI Secure Boot
Festplatten mit mehr als 2 TB Kapazität
Bei GPT-Partitionen, die mit Parted 3.1 oder früheren Versionen erstellt wurden, wurde der Microsoft Basic Data-Partitionstyp anstelle der neueren, Linux-spezifischen GPT-GUID herangezogen. Neuere Parted-Versionen legen für solche Partitionen das irreführende Flag msftdata
fest. Dies führt dazu, dass verschiedene Festplattentools die Partition als Windows-Datenpartition oder ähnlich bezeichnen.
Mit dem folgenden Befehl entfernen Sie das Flag:
#
parted DEVICE set PARTITION_NUMBER msftdata off
11.1.1.3 Partitionierungstabellen unter IBM Z #
Auf IBM Z-Plattformen unterstützt SUSE Linux Enterprise Server sowohl SCSI-Festplatten als auch Direct Access Storage Devices (DASD). Während sich SCSI-Datenträger wie oben beschrieben partitionieren lassen, sind für DASDs maximal drei Partitionseinträge in den entsprechenden Partitionstabellen möglich.
11.1.2 Partitionen #
Der YaST-Partitionierer kann Partitionen mit verschiedenen Dateisystemen erstellen und formatieren. In SUSE Linux Enterprise Server wird standardmäßig das Dateisystem Btrfs
verwendet. Weitere Informationen finden Sie im Abschnitt 11.1.2.2, „Btrfs-Partitionierung“.
Andere häufig verwendete Dateisysteme sind verfügbar: Ext2
, Ext3
, Ext4
, FAT
, XFS
, Swap
und UDF
.
11.1.2.1 Erstellen von Partitionen #
Zum Erstellen einer Partition wählen Sie
und wählen Sie dann eine Festplatte mit freiem Speicherplatz aus. Die tatsächliche Modifikation kann im Karteireiter erfolgen:Mit MBR vorliegt, geben Sie an, ob eine primäre oder eine erweiterte Partition erstellt werden soll. In der erweiterten Partition können Sie mehrere logische Partitionen anlegen. Weitere Informationen finden Sie in Abschnitt 11.1.1, „Partitionstabellen“.
erstellen Sie eine neue Partition. Wenn einGeben Sie die Größe der neuen Partition an. Sie können auswählen, dass der gesamte freie Speicherplatz belegt werden soll oder eine Größe eingeben.
Wählen Sie das zu verwendende Dateisystem und einen Einhängepunkt aus. YaST schlägt für jede erstellte Partition einen Einhängepunkt vor. Für eine andere Einhängemethode, z. B. Einhängen nach Label, wählen Sie
.Geben Sie, falls erforderlich, zusätzliche Dateisystemoptionen an. Dies ist zum Beispiel für persistente Dateinamen erforderlich. Weitere Informationen zu den verfügbaren Optionen finden Sie in Abschnitt 11.1.3, „Bearbeiten einer Partition“.
Klicken Sie auf
, um die Partitionierungseinrichtung zu übernehmen und das Partitionierungsmodul zu verlassen.Wenn Sie die Partition bei der Installation angelegt haben, wird wieder das Fenster mit der Installationsübersicht angezeigt.
11.1.2.2 Btrfs-Partitionierung #
Das Standard-Dateisystem für die root-Partition ist Btrfs. Weitere Informationen hierzu finden Sie in Kapitel 10, Systemwiederherstellung und Snapshot-Verwaltung mit Snapper und Chapter 1, Overview of file systems in Linux. Das root-Dateisystem ist das Standard-Subvolume und wird nicht in der Liste der erstellten Subvolumes aufgeführt. Als Btrfs-Standard-Subvolume kann es als normales Dateisystem eingehängt werden.
Die standardmäßige Partitionierungseinrichtung schlägt die Stammpartition als Btrfs mit /boot
als Verzeichnis vor. Soll die Stammpartition verschlüsselt werden, müssen Sie in jedem Fall die GPT-Partitionstabelle verwenden, nicht den standardmäßigen MSDOS-Typ. Ansonsten findet der GRUB2-Bootloader nicht genügend Platz für den Loader der zweiten Phase.
Sie können Snapshots von Btrfs-Subvolumes erstellen, wahlweise manuell oder auch automatisch bei bestimmten Systemereignissen. Wenn beispielsweise Änderungen am Dateisystem vorgenommen werden, ruft zypper
das Kommando snapper
auf, mit dem Snapshots vor und nach der Änderung angefertigt werden. Dies ist von Nutzen, wenn Sie mit den Änderungen von zypper
nicht zufrieden sind und den vorherigen Zustand wiederherstellen möchten. Wenn snapper
über zypper
aufgerufen wird, werden standardmäßig Snapshots des root-Dateisystems angelegt, weshalb bestimmte Verzeichnisse von den Snapshots ausgeschlossen werden sollten. Aus diesem Grund schlägt YaST die Erstellung der folgenden separaten Subvolumes vor:
/boot/grub2/i386-pc
,/boot/grub2/x86_64-efi
,/boot/grub2/powerpc-ieee1275
,/boot/grub2/s390x-emu
Ein Rollback der Bootloader-Konfiguration wird nicht unterstützt. Die obigen Verzeichnisse sind abhängig von der Architektur. Die ersten beiden Verzeichnisse gelten für AMD64-/Intel 64-Computer und die letzten beiden Verzeichnisse für IBM POWER bzw. für IBM Z.
/home
Wenn sich
/home
nicht auf einer separaten Partition befindet, wird dieses Verzeichnis ausgeschlossen, damit bei einem Rollback kein Datenverlust eintritt./opt
Produkte von Drittanbietern werden in der Regel im Verzeichnis
/opt
installiert. Dieses Verzeichnis wird ausgeschlossen, damit die betreffenden Anwendungen bei einem Rollback nicht deinstalliert werden./srv
Enthält Daten für Web- und FTP-Server. Ausgeschlossen, damit bei einem Rollback kein Datenverlust eintritt.
/tmp
Alle Verzeichnisse, die temporäre Dateien und Caches enthalten, werden aus den Snapshots ausgeschlossen.
/usr/local
Dieses Verzeichnis wird bei der manuellen Installation von Software verwendet. Dieses Verzeichnis wird ausgeschlossen, damit die betreffenden Installationen bei einem Rollback nicht deinstalliert werden.
/var
Dieses Verzeichnis enthält viele Variablendateien, einschließlich Protokolle, temporäre Caches und Drittanbieterprodukte in
/var/opt
. Es ist der Standardspeicherort für Images und Datenbanken von virtuellen Maschinen. Daher wird dieses Subvolume so erstellt, dass alle Variablendaten von Snapshots ausgeschlossen werden und „Kopie beim Schreiben“ deaktiviert ist.
Gespeicherte Snapshots belegen mehr Speicherplatz. Sie sollten daher ausreichend Speicherplatz für Btrfs reservieren. Während die Mindestgröße für eine Root-Btrfs-Partition mit Snapshots und Standard-Subvolumes 16 GB beträgt, empfiehlt SUSE mindestens 32 GB oder mehr, wenn /home
sich nicht auf einer separaten Partition befindet.
11.1.2.3 Verwalten von Btrfs-Subvolumes mit YaST #
Die Subvolumes einer Btrfs-Partition können nunmehr mit dem YaST-Modul
verwaltet werden. Sie können neue Subvolumes hinzufügen und bestehende Subvolumes löschen.Wählen Sie im linken Fensterbereich
.Wählen Sie die Btrfs-Partition aus, deren Subvolumes verwaltet werden sollen.
Je nachdem, ob Subvolumes bearbeitet, hinzugefügt oder gelöscht werden sollen, gehen Sie wie folgt vor:
Um ein Subvolume zu bearbeiten, wählen Sie dieses in der Liste aus, und klicken Sie auf
. Sie können dann für das Volumecopy-on-write
deaktivieren (aktivieren Sie dazu das Kontrollkästchen für ) oder dessen Größe beschränken. Klicken Sie auf , um den Vorgang fertigzustellen.Um ein neues Subvolume hinzuzufügen, klicken Sie auf
, und geben Sie den entsprechenden Pfad ein. Optional können Sie dann für das Volumecopy-on-write
deaktivieren (aktivieren Sie dazu das Kontrollkästchen für ) oder dessen Größe beschränken. Klicken Sie auf , um den Vorgang fertigzustellen.Um ein Subvolume zu löschen, wählen Sie dieses in der Liste aus, und klicken Sie auf
. Bestätigen Sie die Löschung durch Klicken auf .- Abbildung 11.2: Btrfs-Subvolumes im YaST-Partitionierer #
Schließen Sie die Partitionierung mit
.
11.1.3 Bearbeiten einer Partition #
Wenn Sie eine neue Partition erstellen oder eine bestehende Partition bearbeiten, können verschiedene Parameter festgelegt werden. Bei neuen Partitionen reichen die von YaST festgelegten Standardparameter in der Regel aus und müssen nicht geändert werden. Gehen Sie wie folgt vor, um Ihre Partitionseinstellungen manuell zu bearbeiten:
Wählen Sie die Partition aus.
Klicken Sie auf
, um die Partition zu bearbeiten und die Parameter festzulegen:- Dateisystem-ID
Auch wenn Sie die Partition zu diesem Zeitpunkt nicht formatieren möchten, sollten Sie ihr eine Dateisystem-ID zuweisen, um sicherzustellen, dass sie richtig registriert wird. Übliche Werte sind
, , und .- Dateisystem
Klicken Sie zum Ändern des Partitionsdateisystems auf
und wählen Sie den Dateisystemtyp in der Liste aus.SUSE Linux Enterprise Server unterstützt mehrere Typen von Dateisystemen. Btrfs ist aufgrund seiner erweiterten Funktionen das bevorzugte Linux-Dateisystem für die root-Partition. Es unterstützt das Copy-on-Write-Verfahren, das Erstellen vob Snapshots, Multi-Device-Spanning, Subvolumes und weitere nützliche Techniken. XFS, Ext3 und Ext4 sind Journaling-Dateisysteme. Mit diesen Dateisystemen kann das System nach einem Systemabsturz schnell wiederhergestellt werden, da die Schreibvorgänge während des Betriebs protokolliert werden. Ext2 ist kein Journaling-Dateisystem, eignet sich aber für kleinere Partitionen, da für die Verwaltung nicht viel Speicherplatz benötigt wird.
Das Standard-Dateisystem für die root-Partition ist Btrfs. Das Standard-Dateisystem für weitere Partitionen ist XFS.
Das UDF-Dateisystem wird auf optischen wiederbeschreibbaren und nicht wiederbeschreibbaren Medien, USB-Flash-Laufwerken und Festplatten verwendet. Es wird von mehreren Betriebssystemen unterstützt.
Swap ist ein Sonderformat, das die Verwendung der Partition als virtuellen Arbeitspeicher ermöglicht. Bei einer manuellen Partitionierung müssen Sie eine Swap-Partition mit mindestens 256 MB erstellen. Sollte der Swap-Speicher nicht ausreichen, sollten Sie nicht den Swap-Speicher vergrößern, sondern das System mit zusätzlichem Arbeitsspeicher ausstatten.
Warnung: Ändern des DateisystemsWenn Sie das Dateisystem ändern und Partitionen neu formatieren, werden alle Daten der Partition unwiederbringlich gelöscht.
Weitere Informationen zu den verschiedenen Dateisystemen finden Sie im Storage Administration Guide (Speicherverwaltungshandbuch).
- Verschlüsseln von Geräten
Wenn Sie die Verschlüsselung aktivieren, werden alle Daten in verschlüsselter Form geschrieben. Dies erhöht zwar die Sicherheit sensibler Daten, die Systemgeschwindigkeit wird jedoch reduziert, da die Verschlüsselung einige Zeit in Anspruch nimmt. Weitere Informationen zur Verschlüsselung der Dateisysteme finden Sie in Abschnitt 11.2, „Geräte-Verschlüsselung“ und Chapter 12, Encrypting partitions and files..
- Einhängepunkt
Geben Sie das Verzeichnis an, in dem die Partition im Dateisystembaum eingehängt werden soll. Treffen Sie eine Auswahl aus den YaST-Vorschlägen, oder geben Sie einen beliebigen anderen Namen ein.
- Fstab-Optionen
Legen Sie verschiedene Parameter in der globalen Systemverwaltungsdatei (
/etc/fstab
) fest. In der Regel reichen die Standardeinstellungen für die meisten Konfigurationen aus. Sie können beispielsweise die Dateisystemkennung von einem Gerätenamen in eine Volume-Bezeichnung ändern. In Volume-Bezeichnungen können Sie alle Zeichen mit Ausnahme von/
und dem Leerzeichen verwenden.Für persistente Gerätenamen verwenden Sie die Einhängeoption SUSE Linux Enterprise Server sind persistente Gerätenamen standardmäßig aktiviert.
, oder . InAnmerkung: IBM Z: Einhängen nach PfadDa das Einhängen nach ID auf IBM Z Probleme verursacht, wenn Platte-zu-Platte-Kopien zum Klonen verwendet werden, werden Geräte standardmäßig nach Pfad in
/etc/fstab
auf IBM Z eingehängt.Wenn Sie die Partition lieber über ihre Bezeichnung einhängen möchten, müssen Sie diese als Texteintrag in der
angeben. Sie könnten beispielsweise die PartitionsbezeichnungHOME
für eine Partition verwenden, die in/home
eingehängt werden soll.Wenn Sie für das Dateisystem Quotas verwenden möchten, verwenden Sie die Einhängeoption Weitere Informationen zur Konfiguration von Benutzerquoten finden Sie unter Abschnitt 6.3.3, „Verwalten von Quoten“.
. Diese Konfiguration ist erforderlich, bevor Sie in der von YaST Quotas für Benutzer festlegen.Wenn Sie beabsichtigen, Quoten für Btrfs-Subvolumes festzulegen, finden Sie Informationen dazu im Section 1.2.5, “Btrfs quota support for subvolumes”.
Wählen Sie
, um die Änderungen zu speichern.
Die Größe eines bestehenden Dateisystems können Sie ändern, indem Sie die Partition auswählen und
verwenden. Beachten Sie, dass die Größe von eingehängten Partitionen nicht verändert werden kann. Um die Größe von Partitionen zu ändern, hängen Sie die entsprechende Partition aus, bevor Sie den Partitionierer ausführen.11.1.4 Optionen für Experten #
Nach Auswahl eines Festplattengeräts (wie
) im Bereich können Sie im unteren rechten Bereich im Fenster auf das Menü zugreifen. Im Menü stehen folgende Kommandos zur Verfügung:- Erstellen einer neuen Partitionstabelle
Mithilfe dieser Option können Sie eine neue Partitionstabelle am ausgewählten Gerät erstellen.
Warnung: Erstellen einer neuen PartitionstabelleDurch Erstellen einer neuen Partitionstabelle auf einem Gerät werden alle Partitionen und deren Daten unwiederbringlich von diesem Gerät gelöscht.
- Diesen Datenträger klonen
Mit dieser Option können Sie das Layout einer Gerätepartition ohne den Inhalt auf andere verfügbare Datenträger klonen.
11.1.5 Optionen "Erweitert" #
Nach Auswahl des Hostnamens des Rechners (obere Ebene des Baums in der
) können Sie unten rechts im Fenster auf das Menü zugreifen. Im Menü stehen folgende Kommandos zur Verfügung:- Konfigurieren von iSCSI
Für den Zugriff auf SCSI über IP-Block-Geräte müssen Sie zunächst iSCSI konfigurieren. Dadurch erhalten Sie weitere verfügbare Geräte in der Hauptpartitionsliste.
- Konfigurieren von Multipath
Durch Auswahl dieser Option können Sie die Multipath-Optimierung an den unterstützten Massenspeichergeräten konfigurieren.
11.1.6 Weitere Tipps zur Partitionierung #
Im folgenden Abschnitt finden Sie einige Hinweise und Tipps für die Partitionierung, die Ihnen bei der Einrichtung Ihres Systems helfen, die richtigen Entscheidungen zu treffen.
11.1.6.1 Anzahl der Zylinder #
Einige Partitionierungstools beginnen bei der Nummerierung der Zylinder mit 0
andere mit 1
. Die Zylinderzahl berechnet sich immer aus der Differenz zwischen der letzten und der ersten Zylindernummer plus eins.
11.1.6.2 Wenn Sie swap
#
Mittels Swap wird der verfügbare physikalische Arbeitsspeicher erweitert. Ihnen steht dadurch über das physische RAM hinaus mehr Arbeitsspeicher zur Verfügung. Die Arbeitsspeicherverwaltungssysteme der Kernels vor Version 2.4.10 benötigten Swap als Sicherheitszugabe. Wenn Ihr Swap zu dieser Zeit nicht zweimal so groß war wie Ihr RAM, kam es zu erheblichen Leistungseinbußen. Diese Einschränkungen gibt es nicht mehr.
Linux verwendet eine Seite namens „Kürzlich verwendet“ (LRU) zur Auswahl von Seiten, die eventuell vom Arbeitsspeicher auf die Festplatte verschoben werden. Den aktiven Anwendungen steht dadurch mehr Arbeitsspeicher zur Verfügung und das Zwischenspeichern läuft reibungsloser ab.
Wenn eine Anwendung versucht, den maximal zulässigen Arbeitsspeicher zu belegen, können Probleme mit Swap auftreten. Wir sollten uns hierzu drei der wichtigsten Szenarien näher ansehen:
- System ohne Swap
Die Anwendung kann den maximal zulässigen Arbeitsspeicher auslasten. Der gesamte Cache-Speicher wird freigegeben, wodurch sich alle anderen Anwendungen verlangsamen. Nach einigen Minuten wird der „Out-of-Memory-Killer“ des Kernels aktiviert und der Vorgang wird beendet.
- System mit mittelgroßem Swap (128 MB bis 512 MB)
Zunächst verlangsamt sich das Systems wie ein System ohne Swap. Sobald das gesamte physikalische RAM aufgebraucht ist, wird auch auf den Swap-Speicher zurückgegriffen. An diesem Punkt wird das System sehr langsam; die Fernausführung von Kommandos wird unmöglich. Je nach Geschwindigkeit der Festplatten, die den Swap-Speicher stellen, verbleibt das System etwa 10 bis 15 Minuten in diesem Zustand, bevor das Problem vom „Out of Memory-Killer“ des Kernels endgültig behoben wird. Beachten Sie, dass Sie eine bestimmte Swap-Größe benötigen, wenn der Computer einen „Suspend to Disk“ ausführen soll. In diesem Fall sollte der Swap-Speicher groß genug sein, um die benötigten Daten vom Arbeitsspeicher (512 MB – 1 GB) aufnehmen zu können.
- System mit großem Swap (mehrere GB)
In einem solchen Fall sollte besser keine Anwendung ausgeführt werden, die völlig außer Rand und Band gerät und den Swap-Speicher grenzenlos nutzt. Wenn Sie eine derartige Anwendung ausführen, nimmt die Wiederherstellung des Systems mehrere Stunden in Anspruch. Sehr wahrscheinlich treten in diesem Fall bei anderen Prozessen Zeitüberschreitungen und Fehler auf, wodurch das System in einem undefinierten Zustand zurückbleibt, selbst wenn der fehlerhafte Prozess beendet wird. Starten Sie in diesem Fall den Computers von Anfang an neu und versuchen Sie, das System wieder zum Laufen zu bringen. Sehr viel Swap-Speicher ist nur dann sinnvoll, wenn Sie eine Anwendung verwenden, die diese Menge an Swap tatsächlich benötigt. Solche Anwendungen (wie Datenbanken oder Bildbearbeitungsprogramme) verfügen häufig über eine Option, mit der sie den benötigten Festplattenspeicher direkt abrufen können. Die Verwendung dieser Option ist auf jeden Fall einem übergroßen Swap-Speicher vorzuziehen.
Falls Ihre Anwendungen nicht außer Kontrolle geraten, aber dennoch nach einiger Zeit mehr Swap erforderlich ist, können Sie den Swap-Speicher auch online erweitern. Wenn Sie eine Partition als Swap-Speicher vorbereitet haben, fügen Sie diese Partition mithilfe von YaST hinzu. Falls Sie auf keine Swap-Partition zurückgreifen können, können Sie den Swap-Speicher auch durch eine Swap-Datei erweitern. Swap-Dateien sind im Allgemeinen langsamer als Partitionen, aber verglichen mit physischem RAM sind beide extrem langsam, sodass der eigentliche Unterschied unerheblich ist.
So fügen Sie dem laufenden System eine Swap-Datei hinzu:
Erstellen Sie auf Ihrem System eine leere Datei. Zum Beispiel können Sie mit den folgenden Kommandos eine Swap-Datei mit 128 MB Swap unter
/var/lib/swap/swapfile
hinzufügen:>
sudo
mkdir -p /var/lib/swap>
sudo
dd if=/dev/zero of=/var/lib/swap/swapfile bs=1M count=128Initialisieren Sie die Swap-Datei mit folgendem Kommando:
>
sudo
mkswap /var/lib/swap/swapfileAnmerkung: Geänderte UUID für Swap-Partitionen bei Formatierung übermkswap
Falls möglich, sollten bestehende Swap-Partitionen nicht mit
mkswap
neu formatiert werden. Durch die Neuformatierung mitmkswap
ändert sich der UUID-Wert der Swap-Partition. Führen Sie die Neuformatierung entweder über YaST aus (/etc/fstab
wird dabei aktualisiert) oder passen Sie/etc/fstab
manuell an.Aktivieren Sie den Swap-Speicher mit folgendem Kommando:
>
sudo
swapon /var/lib/swap/swapfileZum Deaktivieren der Swap-Datei verwenden Sie folgendes Kommando:
>
sudo
swapoff /var/lib/swap/swapfileZum Überprüfen des aktuell verfügbaren Swap-Speichers verwenden Sie folgendes Kommando:
>
cat /proc/swapsBislang handelt es sich hier lediglich um einen temporären Swap-Speicher. Nach dem nächsten Reboot wird er nicht mehr verwendet.
Wenn Sie die Swap-Datei permanent aktivieren möchten, fügen Sie
/etc/fstab
folgende Zeile hinzu:/var/lib/swap/swapfile swap swap defaults 0 0
11.1.7 Partitionierung und LVM #
Greifen Sie über
auf die LVM-Konfiguration zu, indem Sie im Fenster auf das Element klicken. Wenn auf Ihrem System jedoch bereits eine aktive LVM-Konfiguration vorhanden ist, wird sie automatisch bei der Eingabe der ersten LVM-Konfiguration einer Sitzung aktiviert. In diesem Fall kann keine der Festplatten, die eine Partition enthalten (die zu einer aktivierten Volume-Gruppe gehört) neu partitioniert werden. Der Linux-Kernel kann die geänderte Partitionstabelle einer Festplatte nicht erneut lesen, wenn eine der Partitionen auf dieser Festplatte verwendet wird. Wenn bereits eine funktionierende LVM-Konfiguration auf Ihrem System vorhanden ist, sollte eine physische Neupartitionierung nicht erforderlich sein. Ändern Sie stattdessen die Konfiguration des logischen Volumes.
Am Anfang der physischen Volumes (PVs) werden Informationen zum Volume auf die Partition geschrieben. Um eine solche Partition für andere Zwecke, die nichts mit LVM zu tun haben, wiederzuverwenden, sollten Sie den Anfang dieses Volumes löschen. Bei der VG system
dem PV /dev/sda2
beispielsweise ist dies über das folgende Kommando möglich:
dd
if=/dev/zero of=/dev/sda2 bs=512 count=1
Das zum Booten verwendete Dateisystem (das root-Dateisystem oder /boot
) darf nicht auf einem logischen LVM-Volume gespeichert werden. Speichern Sie es stattdessen auf einer normalen physischen Partition.
Weitere Details zu LVM finden Sie im Storage Administration Guide.
11.2 Geräte-Verschlüsselung #
Linux Unified Key Setup (LUKS) ist der Standard für die Festplattenverschlüsselung von Linux. Es bietet ein standardisiertes On-Disk-Format und ermöglicht es Benutzern, Daten nahtlos zu übertragen oder zu migrieren.
LUKS wird verwendet, um Block-Geräte zu verschlüsseln. Die Inhalte des verschlüsselten Geräts können beliebig sein. Daher kann jedes Dateisystem verschlüsselt werden, einschließlich Swap-Partitionen. Alle erforderlichen Informationen zur Einrichtung, wie Verschlüsselungsschlüssel und -Parameter, wie Codetyp und Schlüsselgröße, werden im Partitions-Header gespeichert.
Die Verschlüsselung erfolgt mit einem mehrschichtigen Ansatz. Zunächst wird das Block-Gerät mit einem Hauptschlüssel verschlüsselt. Anschließend wird dieser Hauptschlüssel mit sämtlichen aktiven Benutzerschlüsseln verschlüsselt. Benutzerschlüssel werden von Passphrasen, FIDO2-Sicherheitsschlüsseln, TPMs oder Smart Cards abgeleitet. Mit diesem mehrschichtigen Ansatz können Benutzer ihre Passphrase ändern, ohne das gesamte Block-Gerät erneut zu verschlüsseln.
Weitere Informationen zu LUKS finden Sie im Chapter 13, Storage encryption for hosted applications with cryptctl.
11.2.1 Verschlüsselungsmethoden #
Befolgen Sie die Anweisungen unter Abschnitt 11.1.3, „Bearbeiten einer Partition“, um ein Gerät zu verschlüsseln.
Die LUKS2-Verschlüsselung wird ab SUSE Linux Enterprise 15 SP4 vom YaST-Partitionierer unterstützt, muss jedoch explizit aktiviert werden. Es gibt zwei Möglichkeiten, ein Teilnehmer-Ticket zu erhalten:
Beim Booten durch Hinzufügen des Parameters
YAST_LUKS2_AVAILABLE
zur Kernel-Kommandozeile. Zusätzliche Informationen zu Boot-Parametern finden Sie in Kapitel 8, Boot-Parameter.Während der Installation in der YaST-Konfiguration:
Drücken Sie in der grafischen Benutzeroberfläche Strg–Alt–Umschalt–C.
Drücken Sie in der textbasierten Benutzeroberfläche Strg–D und dann Umschalt–C.
Aktivieren Sie
Enable Experimental LUKS2 Encryption Support
, und verlassen Sie den Konfigurationsbildschirm mitOK
.
Wenn Sie die LUKS2-Unterstützung nicht aktivieren, ist die Auswahl der
nicht sichtbar, und Sie müssen nur das Verschlüsselungspasswort eingeben.Mit dieser Methode können Sie das Gerät mit LUKS1 verschlüsseln. Sie müssen das Verschlüsselungspasswort angeben. Zusätzliche Passwörter – insgesamt bis zu acht – können später mit
cryptsetup luksAddKey
hinzugefügt werden.LUKS2 verwendet eine neuere Version des Header-Formats, die robust gegenüber Fehlern ist und bis zu 32 Benutzerschlüssel und Gerätebezeichnungen unterstützt. Sie müssen das Verschlüsselungspasswort und die passwortbasierte Schlüsselableitungsfunktion (PBKDF) angeben, die zum Schutz dieser Passphrase verwendet wird (siehe Abschnitt 11.2.2, „Passwortbasierte Schlüsselableitungsfunktionen“).
- (nur auf IBM Z)
Diese Methode ermöglicht es, das Gerät mit LUKS2 mit einem sicheren Hauptschlüssel zu verschlüsseln, der von einem kryptografischen Co-Prozessor von Crypto Express verarbeitet wird, der im CCA-Modus konfiguriert ist. Wenn das kryptografische System bereits einen sicheren Schlüssel enthält, der diesem Volume zugeordnet ist, wird dieser Schlüssel verwendet. Andernfalls wird ein neuer sicherer Schlüssel generiert und im System registriert. Sie müssen ein Verschlüsselungspasswort angeben, das zum Schutz des Zugriffs auf diesen Hauptschlüssel verwendet wird. Wenn mehrere APQNs im System vorhanden sind, können Sie außerdem auswählen, welche verwendet werden sollen.
Weitere Informationen zur umfassenden Verschlüsselung finden Sie in https://www.ibm.com/docs/en/linux-on-systems?topic=security-pervasive-encryption.
- (nur für Swap-Geräte)
Diese Methode verschlüsselt ein Swap-Gerät beim Booten mit einem zufällig generierten Schlüssel und unterstützt daher auf der Festplatte keinen Ruhezustand. Das Swap-Gerät wird bei jedem Boot neu verschlüsselt, und sein vorheriger Inhalt wird vernichtet. Deaktivieren Sie zur Vermeidung von Datenverlust den Ruhezustand, und konfigurieren Sie Ihr System stattdessen so, dass es heruntergefahren werden kann.
Zusätzlich zum Verschlüsselungsschlüssel ändern sich die Gerätebezeichnung und die UUID jedes Mal, wenn das Swap-Gerät erneut verschlüsselt wird, sodass diese keine gültigen Optionen zum Einhängen eines zufällig verschlüsselten Swap-Geräts darstellen. Stellen Sie sicher, dass das Swap-Gerät durch einen stabilen Namen referenziert wird, der in der Datei
/etc/crypttab
nicht bei jedem Neustart geändert werden kann. Für eine Swap-Partition ist es beispielsweise sicherer, die udev-Geräte-ID oder den udev-Geräte-Pfad anstelle des Gerätenamens der Partition zu verwenden, da dieser Gerätename beim nächsten Start einer anderen Partition zugewiesen werden kann. In diesem Fall könnte ein falsches Gerät anstelle Ihres Swap-Geräts verschlüsselt werden!YaST versucht, stabile Namen in
/etc/crypttab
zu verwenden, es sei denn, die Konfiguration sieht vor, dass immer Gerätenamen verwendet werden (siehe Abschnitt des Partitionierers). Bei einigen Geräten ist es jedoch u. U. nicht möglich, einen vollständig stabilen Namen zu finden. Verwenden Sie die Verschlüsselung mit flüchtigen Schlüsseln nur, wenn Sie sich über die Auswirkungen im Klaren sind.- (nur für Swap-Geräte)
Diese Methode verschlüsselt ein Swap-Gerät mit einem flüchtigen, geschützten AES-Schlüssel, ohne dass ein kryptografischer Co-Prozessor erforderlich ist. Dabei handelt es sich um eine Verbesserung gegenüber der Methode
Encryption with Volatile Random Key
, und alle Hinweise für diese Methode gelten auch hier.- (nur für Swap-Geräte)
Diese Methode verschlüsselt ein Swap-Gerät mit einem flüchtigen, sicheren AES-Schlüssel, der von einem kryptografischen Co-Prozessor generiert wird. Dabei handelt es sich um eine Verbesserung gegenüber der Methode
Encryption with Volatile Random Key
und alle Hinweise für diese Methode gelten auch hier.
11.2.2 Passwortbasierte Schlüsselableitungsfunktionen #
Die zu verwendende passwortbasierte Schlüsselableitungsfunktion (PBKDF) hängt vom Kontext, den Hardwarefunktionen und dem erforderlichen Grad an Kompatibilität mit anderen Systemkomponenten ab:
- PBKDF2
PBKDF2
ist die Funktion, die von LUKS1 verwendet wird. Sie wird unter RFC 2898 definiert.- Argon2i
Argon2 ist eine Funktion, die auf höhere Sicherheit ausgerichtet ist und für deren Berechnung sehr viel mehr Speicherplatz erforderlich ist. Sie wird unter RFC 9106 definiert. Argon2i ist eine Variante von Argon2, die optimiert wurde, um Seitenkanalangriffen standzuhalten, indem sie in passwortunabhängiger Reihenfolge auf das Speicher-Array zugreift.
- Argon2id
Argon2id ist eine Hybridversion von Argon2. Sie folgt dem Argon2i-Ansatz für die erste Hälfte des Pass-Over-Speichers und dem Argon2d-Ansatz (nicht von YaST unterstützt), um GPU-Cracking-Angriffe für nachfolgende Durchläufe zu begrenzen. RFC 9106 empfiehlt die Verwendung von Argon2id, wenn Sie den Unterschied zwischen den Typen nicht kennen oder Seitenkanalangriffe für eine realistische Bedrohung halten.
Obwohl Argon2
sicherer ist, gibt es immer noch Anwendungsfälle für PBKDF2
:
Als beabsichtigte Sicherheitsfunktion benötigt Argon2 zur Berechnung viel mehr Speicherplatz. Dies kann auf einigen Systemen zu Problemen führen. Wenn starke Passwörter voll und ganz gewährleistet sind, kann die Verwendung von PBKDF2 immer noch sicher sein und den Speicherplatz schonen.
grub2
bietet eingeschränkte Unterstützung für das Booten von Geräten, die mit LUKS2 verschlüsselt sind. Dies aber nur, wenn PBKDF2 verwendet wird. Das bedeutet, dass Sie Argon2 nicht für ein Dateisystem verwenden können, das das/boot
-Verzeichnis enthält. Beachten Sie, dass selbst bei Verwendung von PBKDF2 möglicherweise eine manuellegrub2
-Konfiguration erforderlich ist, um von einem LUKS2-Gerät zu booten.
Weitere Informationen zur Konfiguration der Geräteverschlüsselung mit LUKS erhalten Sie über die Schaltfläche Help
im Installationsprogramm und unter Chapter 13, Storage encryption for hosted applications with cryptctl.
11.3 LVM-Konfiguration #
In diesem Abschnitt werden die Schritte erläutert, die bei der LVM-Konfiguration ausgeführt werden müssen. Allgemeine Informationen zum Logical Volume Manager finden Sie im Section 5.1, “Understanding the logical volume manager”.
Der Einsatz von LVM ist manchmal mit einem höheren Risiko (etwa des Datenverlusts) verbunden. Risiken umfassen auch Anwendungsausfälle, Stromausfälle und fehlerhafte Befehle. Speichern Sie Ihre Daten, bevor Sie LVM implementieren oder Volumes neu konfigurieren. Arbeiten Sie nie ohne Backup.
Die YaST-LVM-Konfiguration kann von Festplatte vorbereiten: Expertenmodus in YaST (siehe Abschnitt 11.1, „Verwenden von ) unter “ im Bereich aus erreicht werden. Mit können Sie Festplatten und Partitionen verwalten sowie RAID- und LVM-Konfigurationen einrichten.
11.3.1 Erstellen eines physischen Volumes #
Als erste Aufgabe müssen physische Volumes erstellt werden, die Platz für eine Volume-Gruppe bieten:
Wählen Sie unter
eine Festplatte aus.Wechseln Sie in den Karteireiter
.Klicken Sie auf
und geben Sie die gewünschte Größe des PV auf dieser Platte ein.Verwenden Sie
(Partition nicht formatieren) und ändern Sie die in . Hängen Sie diese Partition nicht ein.Wiederholen Sie diesen Vorgang, bis alle gewünschten physischen Volumes auf den verfügbaren Platten definiert sind.
11.3.2 Erstellen von Volume-Gruppen #
Wenn auf Ihrem System keine Volume-Gruppe existiert, müssen Sie eine hinzufügen (siehe Abbildung 11.3, „Anlegen einer Volume-Gruppe“). Sie können zusätzliche Gruppen erstellen, indem Sie auf im Bereich und anschließend auf klicken. Eine einzige Volume-Gruppe genügt in der Regel.
Geben Sie einen Namen für die VG ein, z. B.
system
.Wählen Sie die gewünschte
. Dieser Wert definiert die Größe eines physischen Blocks in der Volume-Gruppe. Der gesamte Plattenplatz in einer Volume-Gruppe wird in Blöcken dieser Größe verwaltet.Fügen Sie der VG die vorbereiteten PVs hinzu, indem Sie das Gerät auswählen und auf Strg gedrückt halten, während Sie auf die gewünschten Geräte klicken.
klicken. Die Auswahl mehrerer Geräte ist möglich, wenn SieWählen Sie
, um die VG für weitere Konfigurationsschritte bereitzustellen.
Wenn mehrere Volume-Gruppen definiert sind und PVs hinzugefügt oder entfernt werden sollen, wählen Sie die Volume-Gruppe in der Liste
aus und klicken Sie auf . Im folgenden Fenster können Sie der ausgewählten Volume-Gruppe PVs hinzufügen oder sie daraus entfernen.11.3.3 Konfigurieren von logischen Volumes #
Nachdem die Volume-Gruppe mit PVs gefüllt ist, definieren Sie im nächsten Dialogfeld die LVs, die das Betriebssystem verwenden soll. Wählen Sie die aktuelle Volume-Gruppe aus und wechseln Sie zum Karteireiter
. Sie können nach Bedarf LVs mithilfe der entsprechenden Schaltflächen , , ihre und sie , bis der Platz in der Volume-Gruppe verbraucht ist. Weisen Sie jeder Volume-Gruppe mindestens ein LV zu.Klicken Sie auf
und führen Sie die Anweisungen im Assistenten-ähnlichen Pop-up-Fenster aus, das geöffnet wird:Geben Sie den Namen des LV ein. Für eine Partition, die in
/home
eingehängt werden soll, kann ein Name wieHOME
verwendet werden.Wählen Sie den Typ des LV aus. Zur Wahl stehen
, und . Sie müssen zunächst einen Thin Pool erstellen, in dem dann die einzelnen Thin Volumes gespeichert werden können. Das Thin Provisioning bietet den großen Vorteil, dass die Summe aller in einem Thin-Pool gespeicherten Thin-Volumes die Größe des Pools selbst übersteigen kann.Wählen Sie die Größe und Anzahl der Stripes für das LV. Wenn Sie nur ein PV haben, ist es nicht sinnvoll, mehrere Stripes auszuwählen.
Wählen Sie das Dateisystem, das auf dem LV verwendet werden soll, und den Einhängepunkt.
Durch die Verwendung von Stripes ist es möglich, den Datenstrom im LV auf mehrere PVs aufzuteilen (Striping). Das Striping eines Volumes kann nur über unterschiedliche PVs erfolgen, von denen jedes mindestens den Speicherplatz des Volumes besitzt. Die maximale Anzahl der Stripes entspricht der Anzahl der PVs, wobei Stripe „1“ für „no striping“ (kein Striping) steht. Das Striping ist nur mit PVs sinnvoll, die sich auf unterschiedlichen Festplatten befinden. Andernfalls verschlechtert sich die Leistung.
YaST kann Ihre Eingaben zum Striping zu diesem Zeitpunkt nicht überprüfen. Fehler, die hier gemacht werden, zeigen sich später, wenn die LVM auf der Festplatte implementiert wird.
Falls Sie auf Ihrem System LVM bereits konfiguriert haben, können Sie auch die vorhandenen logischen Volumes verwenden. Bevor Sie fortfahren, weisen Sie diesen LVs passende Einhängepunkte zu. Klicken Sie auf
, um zu in YaST zurückzukehren und Ihre Arbeit dort abzuschließen.11.4 Soft-RAID #
In diesem Abschnitt werden die Aktionen beschrieben, die für die Erstellung und Konfiguration der verschiedenen RAID-Typen erforderlich sind. Hintergrundinformationen zu RAID finden Sie im Section 7.1, “Understanding RAID levels”.
11.4.1 Soft-RAID-Konfiguration #
Zur YaST-Abschnitt 11.1, „Verwenden von beschrieben. Mit diesem Partitionierungswerkzeug können Sie vorhandene Partitionen bearbeiten und löschen sowie neue Partitionen erstellen, die mit Soft-RAID verwendet werden sollen: “
-Konfiguration gelangen Sie über in YaST, wie inWählen Sie unter
eine Festplatte aus.Wechseln Sie in den Karteireiter
.Klicken Sie auf
und geben Sie die gewünschte Größe der RAID-Partition auf dieser Platte ein.Verwenden Sie
und ändern Sie die in . Hängen Sie diese Partition nicht ein.Wiederholen Sie diesen Vorgang, bis alle gewünschten physischen Volumes auf den verfügbaren Platten definiert sind.
Für RAID 0 und RAID 1 sind mindestens zwei Partitionen erforderlich, für RAID 1 in der Regel exakt zwei. Bei RAID 5 sind mindestens drei Partitionen erforderlich, bei RAID 6 und RAID 10 dagegen mindestens vier Partitionen. Es empfiehlt sich, nur Partitionen derselben Größe zu verwenden. Die RAID-Partitionen sollten sich auf verschiedenen Festplatten befinden, um das Risiko eines Datenverlusts gering zu halten, falls eine (RAID 1 und 5) defekt ist, und die Leistung von RAID 0 zu optimieren. Nachdem alle gewünschten Partitionen für RAID erstellt sind, klicken Sie auf
› , um mit der RAID-Konfiguration zu beginnen.Wählen Sie im nächsten Dialogfeld zwischen RAID-Level 0, 1, 5, 6 oder 10. Wählen Sie dann alle Partitionen mit dem Typ „Linux RAID“ oder „Linux native“ aus, die das RAID-System benutzen soll. Swap- oder DOS-Partitionen werden nicht angezeigt.
Um dem ausgewählten RAID-Volume eine zuvor nicht zugewiesene Partition zuzuweisen, klicken Sie zuerst auf die Partition und anschließend auf
. Weisen Sie alle für RAID reservierten Partitionen zu. Anderenfalls bleibt der Speicherplatz in den Partitionen unbenutzt. Klicken Sie nach dem Zuweisen aller Partitionen auf , um die verfügbaren auszuwählen.
Legen Sie in diesem letzten Schritt das zu verwendende Dateisystem sowie die Verschlüsselung und den Einhängepunkt für das RAID-Volume fest. Wenn Sie die Konfiguration mit /dev/md0
und andere mit RAID gekennzeichnete Geräte im .
11.4.2 Fehlersuche #
Prüfen Sie die Datei /proc/mdstat
, um festzustellen, ob eine RAID-Partition beschädigt ist. Die grundsätzliche Vorgehensweise bei einem Systemfehler besteht darin, Ihren Rechner herunterzufahren und die defekte Festplatte durch eine neue, gleichartig partitionierte Platte zu ersetzen. Starten Sie dann Ihr System neu und führen Sie mdadm
/dev/mdX --add
/dev/sdX
aus. Ersetzen Sie „X“ durch die entsprechende Geräte-ID. Damit wird die neue Festplatte automatisch in das RAID-System integriert und vollautomatisch rekonstruiert.
Beachten Sie, dass Sie zwar bei einem Neuaufbau auf alle Daten zugreifen können, jedoch bis zum vollständigen RAID-Neuaufbau einige Probleme in der Leistung auftreten können.
11.4.3 Zusätzliche Informationsquellen #
Weitere Informationen sowie eine Anleitung zur Konfiguration von Soft-RAID finden Sie unter:
Linux-RAID-Mailinglisten sind beispielsweise unter folgender URL verfügbar: https://marc.info/?l=linux-raid.