SATA TRIM mit LUKS auf root-disk aktivieren unter 42.2

Mit einer SSD in meinen Laptop und Neuinstallation von openSUSE Leap 42.2 mit Vollverschlüsselung via LUKS/dm-crypt stand ich vor einem Problem: TRIM ist für LUKS/dm-crypt nicht aktiviert, wie man im Terminal durch “dmsetup table /dev/mapper/NamedesLUKSLaufwerks” herausfinden kann, die Info “allow_discard” wird NICHT ausgegeben.

Ein Post hier im Forum (https://forums.opensuse.org/showthre…ren-unter-13-1) hat mir entscheidende Hinweise gegeben, ist jedoch nicht mehr ganz up-to-date (z.B. wird mittlerweile dracut verwendet), daher beschreibe ich gerne meine Vorgehensweise. Eine große Hilfe war mir übrigens auch der Eintrag bei Ubuntuusers: https://wiki.ubuntuusers.de/SSD/TRIM/#TRIM-mit-Festplattenverschluesselung

Schritt 0: Sicherungskopie der aktuellen initrd anlegen (/boot/initrd)
Schritt 1: Sicherungskopie der aktuellen crypttab anlegen (/etc/crypttab)
Schritt 2: crypttab editieren, als Mountoption für das LUKS-Laufwerk die Option “discard” eintragen. Sollte dann z.B. so aussehen: "sda3_crypt UUID=e364d03f-…]6cd7e none none**,**discard"
Schritt 3: Neue initrd erstellen: Terminal als root öffnen, “dracut -f”
Schritt 4: Neustarten, jetzt ist TRIM für das LUKS-Laufwerk aktiviert. Dies kann überprüft werden im Terminal als root mit “dmsetup table /dev/mapper/NamedesLUKSLaufwerks”, das Ergebnis sollte dann in etwa so aussehen, mit der discard-Info am Ende: “0 975718448 crypt aes-xts-plain64 00000000 0 8:2 4096 1 allow_discards
Schritt 5: Je nach Präferenz kann jetzt manuell getrimmt werden, ein Eintrag zum automatischen TRIM in die fstab erstellt werden (siehe Post oben) oder ein cronjob angelegt werden. Ich habe mich für letztes entschieden und habe unter cron.weekly ein Skript angelegt, das “fstrim -a -v” ausführt.

Man sollte dabei allerdings erwähnen, dass die Aktivierung von TRIM ggf. ein Sicherheitsproblem darstellt: Prinzipbedingt kann man in einer solchen Konfiguration nämlich Informationen ablesen, u.A. das verwendete Dateisystem und den Füllgrad.

Andreas

Hallo Andreas,

das ist korrekt. Ich werde das in den kommenden Versionen meiner Anleitung erwähnen (also für die kommenden openSUSE-Versionen).

Hier muss jeder User eine Abwägung zwischen Sicherheit und Komfort (bzw. hier der Lebensdauer und Performance seiner SSD) treffen.

  • Wenn jemand auf die absolute Sicherheit und Vertraulichkeit seiner Daten angewiesen ist und die Struktur der Daten auf dem Laufwerk und ähnliche Metainformationen Niemandem bekannt werden dürfen, sollte man TRIM **NICHT **aktivieren. Allerdings würde ich in diesem Fall sowieso zu weitergehenden Sicherheitsmaßnahmen im Sinne der plausiblen Abstreitbarkeit raten (denn das Vorhandensein eines LUKS-Laufwerks bestätigt ja auch schon, das jemand “etwas zu verbergen” hat).
  • Wenn jemand seine Daten verschlüsselt, um “Gelegenheitsangreifern” das Auslesen von privaten Daten zu verwehren und ggfs. das Laufwerk später unbedenklich zur Zweitnutzung weitergeben zu können, ist TRIM auf der SSD vertretbar, denke ich.

Ich persönlich zähle mich zu der zweiten Sorte von User und möchte gerne, das die SSD performant bleibt und eine lange Lebensdauer hat, daher trimme ich auch mit Verschlüsselung.