Administrace komentářů

…tak bych vlastně discard pro LUKS v /etc/crypttab nemusel (neměl) řešit?

Měl, protože /etc/crypttab se (pokud se nepletu) zkopíruje z /etc do toho initcpio obrazu / souborového systému, aby se v initramdiskové fázi bootu dal ten šifrovaný kontejner otevřít rovnou správným způsobem. A právě tam už musí to nastavení být, má-li se uplatnit.

Pokud jde o souborový systém uvnitř toho LUKS kontejneru, já dávám povolení discardu i do kernelových optionů, ale v tomhle jdu špatným příkladem ;-P, protože je to zbytečná blbost — v implicitním nastavení se totiž root (/) namountuje napřed read-only, takže discard nedává žádnž smysl, a pak se později přemountuje read/write, už podle /etc/fstab, kde bude discard povolený. Protože se provádí remount na read/write, discard se prostě bez problémů zapne.

U toho LUKS kontejneru/oddílu se ovšem žádná obdoba remountu nedělá — jakmile je na něm root (/), bude už otevřený stejným způsobem po celou dobu uptime systému. Proto by měl mít nastavení už od úplného začátku.

Ve Fedoře existují kernelové optiony, které si přečte Dracut a které umožňují zapnout discard v LVM, LUKS i Btrfs nezávisle na další konfiguraci systému. Už si nevzpomínám, jak přesně je to v Archu a/nebo na vanilla kernelech. Ale /etc/crypttab rozhodně v Archu funguje ve spojení s mkinitcpio přesně podle očekávání, tj. zkopíruje se do toho úvodního ramdisku (dokonce s hláškou během vytváření toho initcpio obrazu) a použije se pak při bootu velmi brzy, přesně jak je potřeba.

Samozřejmě taky musí mít /etc/mkinitcpio.conf v sobě správné hooky. Já mám například na jednom systému nešifrovaný /boot, protože GRUB kdysi dávno neuměl LUKS a neuměl tedy bootovat z šifrovaného oddílu (ach jo), takže mám GPT tabulku oddílů, na ní je EFI boot oddíl a druhý oddíl s LVM, v tom LVM je /boot (nešifrovaný) a všechno ostatní je LUKS oddíl, v LUKSu je další vrstva LVM a v něm malý swap a Btrfs (vše ostatní). Je to stejné jako konfigurace popsaná tady. Hooky v Archu pak musí být něco jako … lvm2 encrypt lvm2 resume …, aby se všechny vrstvy otevřely. (To například na Fedoře není potřeba, protože tam Dracut sám rekurzivně hledá a otevírá vrstvy abstrakce tak dlouho, dokud nenajde oddíl s požadovaným UUID, který poslouží jako root.)

Dnes už bych tohle^^^ asi nedoporučoval, protože GRUB umí LUKS, takže je možné mít jen jednu vrstvu LVM. Tedy mít GPT, na tom EFI + LUKS oddíly a v LUKS oddíle buď rovnou Btrfs, nebo LVM a na tom jeden swap LV a jeden Btrfs LV.