Hallo an Alle,
ich habe eine Frage zu ssd und trim.
In meinem Laptop tut es eine SSD Crucial CT500MX500SSD1.
sudo hdparm -I /dev/sda | grep “TRIM”
* Data Set Management TRIM supported (limit 8 blocks)
Leider funktioniert das scheinbar nicht.
sudo fstrim -v /
fstrim: /: Verwerfungsvorgang wird nicht unterstützt.
Ich gehe davon aus, das fstrim.timer über systemctl dann auch nicht läuft.
In der fstab sieht das so hier aus.
UUID=D00B-D6AF /boot/efi vfat umask=0077 0 2
/dev/mapper/luks-xxxxxxxx / ext4 defaults,noatime 0 1
/dev/mapper/luks-xxxxxxxx swap swap defaults,noatime 0 2
tmpfs /tmp tmpfs defaults,noatime,mode=1777 0 0
Nach meinem Recherchen liegt es wahrscheinlich daran, dass / und swap mit luks verschlüsselt sind.
Irgendwie komme ich nicht weiter und würde mich über eine Hilfe freuen.
Vielen Dank schon mal!
Grüße
Smiee
@smiee
Entschuldige, ich war gestern Abend etwas in Eile. Willkommen!
Falls der obige ArchWiki-Eintrag nicht weitergeholfen hat, hier eine etwas ausführlichere Anleitung.
Du musst im Falle einer LUKS-Verschlüsselung die discard Option in folgende zwei Dateien einfügen.
A. /etc/default/grub
B. /etc/crypttab (nur wenn dort ein luks-Gerät eingetragen ist)
Zu A.
luksuuid => Ermittle die UUID deines verschlüsselten Gerätes (z. B. /dev/sda2) mit sudo cryptsetup luksUUID /dev/sda2
mapname => Ermittle den map-Namen deines verschlüsselten Gerätes mit sudo blkid -o device | grep luks Wenn hier mehr als einer zurückgegeben wird, musst du den richtigen (z. B. mit lsblk) ermitteln.
Öffne /etc/default/grub zur Bearbeitung, z. B. sudo nano /etc/default/grub
Trage nun in der Zeile die mit GRUB_CMDLINE_LINUX_DEFAULT= beginnt, vor dem Eintrag root=, folgendes ein: cryptdevice=UUID=luksuuid:mapname:allow-discards rd.luks.options=discard
Ersetze dabei luksuuid und mapname mit den in Schritt 1. und 2. ermittelten.
Das ganze könnte dann z. B. in etwa so aussehen: GRUB_CMDLINE_LINUX_DEFAULT="cryptdevice=UUID=6db97d17-7dbc-44a1-831f-af49044855d7:luks-6db97d17-7dbc-44a1-831f-af49044855d7:allow-discards rd.luks.options=discard root=[…]
Je nach System und wie die Verschlüsselung aufgesetzt wurde, könnte der Eintrag rd.luks.options=discard überflüssig sein. Bei Problemen versuch es einfach mal ohne diesen Parameter.
Zu B.
Öffne /etc/crypttab zur Bearbeitung, z. B. sudo nano /etc/crypttab
Trage nun in der Zeile die deine luksuuid enthält, als letztes, folgendes ein: luks,discard
Das ganze könnte dann z. B. in etwa so aussehen: luks-6db97d17-7dbc-44a1-831f-af49044855d7 UUID=6db97d17-7dbc-44a1-831f-af49044855d7 /crypto_keyfile.bin luks,discard
Jetzt das System nur noch über die Änderungen informieren: sudo mkinitcpio -p linux sudo grub-mkconfig -o /boot/grub/grub.cfg
und nach einem Neustart sollte Trim jetzt funktionieren.
Hm … interessant, das Archwiki schweigt hier aber darüber welche TRIM Methode damit eingerichtet wird.
Da discard benutzt wird müsste es sich um kontnuierliches Trimmen handeln, da diese Option für timer gesteuertes Trimmen nicht verwendet werden würde.
Was im Archwiki ganz groß geschrieben wird ist das durch das Trimmen die Sicherheit eingeschränkt wird:
Es können folgende Fälle unterschieden werden:
Das Gerät ist mit dem Standardmodus dm-crypt LUKS verschlüsselt:
Standardmäßig wird der LUKS-Header am Anfang des Geräts gespeichert und die Verwendung von TRIM ist sinnvoll, um Headeränderungen zu schützen. Wenn z. B. ein kompromittiertes LUKS-Passwort widerrufen wird, steht ohne TRIM der alte Header im Allgemeinen noch zum Lesen zur Verfügung, bis er durch eine andere Operation überschrieben wird; wenn das Laufwerk in der Zwischenzeit gestohlen wird, könnten die Angreifer theoretisch einen Weg finden, den alten Header zu lokalisieren und ihn verwenden, um den Inhalt mit dem kompromittierten Passwort zu entschlüsseln. Siehe cryptsetup FAQ, Abschnitt 5.19 Was ist mit SSDs, Flash- und Hybrid-Laufwerken? und Volle Festplattenverschlüsselung auf einer SSD.
TRIM kann deaktiviert bleiben, wenn die oben genannten Sicherheitsprobleme als schlimmere Bedrohung angesehen werden als der obige Punkt.
Siehe auch Sicheres Löschen des Datenträgers#Flash-Speicher.
Das Gerät wird mit dm-crypt plain mode verschlüsselt, oder der LUKS-Header wird separat gespeichert:
Wenn plausible Bestreitbarkeit erforderlich ist, sollte TRIM aufgrund der Überlegungen oben in diesem Abschnitt niemals verwendet werden, da sonst die Verwendung der Verschlüsselung verraten wird.
Wenn eine plausible Bestreitbarkeit nicht erforderlich ist, kann TRIM wegen seiner Leistungsvorteile verwendet werden, vorausgesetzt, die oben in diesem Abschnitt beschriebenen Sicherheitsgefahren sind nicht von Belang.
Alles in allem, richtig, die Sicherheit wird u. U. komprimitiert, allerdings sind die Bedingungen extremst unwahrscheinlich.
Ich würde deswegen nicht auf die Vorteile von TRIM verzichten wollen.
Der Angreifer kennt also ein altes Passwort und der alte Header ist noch nicht überschrieben worden .
“Plausible deniability” gibt es nur im “plain dm-crypt mode”, nicht im “LUKS”-Modus. Dies wird so gut wie keinen unbedarften Nutzer betreffen. (Abgesehen davon ist plausible deniability meiner Meinung nach Kontraproduktiv.)
Wow!
Das scheint hier das erste “Arch” Forum zu sein, wo man nicht mit rtfm bedient wird.
Ich hätte so eine Ausarbeitung nicht erwartet. Respekt!
Das ganze trim für meine ssd scheint jetzt zu funktionieren.
In der /etc/default/grub habe ich ":allow-discards rd.luks.options=discard"eingetrage und in der /etc/crypttab “discard” ergänzt. Der Rest war schon so OK!
Den Sicherheits Aspekt verstehe ich, sehe aber das Risko als vertretbar an. Sollte der Lappi mal verloren gehen, wird nicht jeder gleich versuchen, das passwort für die Verschlüsselung der ssd zu suchen.
Lange Rede kurzer Sinn, ich bin stark beeindruckt von dieser Art der Hilfsbereitschaft!
Hallo, Smiee, toll dass es funktioniert hat. nur mal zum Thema (gelöst) zum Titel hinzufügen: es gibt ein Knopf der genau dies ermöglicht: eine Antwort als Lösung zu markieren. So kann ein weiteres Leser auch genau bestimmen welche Antwort geholfen hat.
Hier kann man sehen wie das läuft:
Schritt 1: die drei Punkte unter den Eintrag der die korrekte Antwort enthält klicken