Hallo allerseits,
ich möchte mir demnächst meinen Laptop neu Aufsetzen, und dabei gerne ein komplett (bis auf /boot) verschlüsseltes Linux-System installieren. Der Laptop verfügt über eine 128 GB SSD (die ich gerne als Festplatte für das System verwenden würde, also nach / mounten würde) und eine 500 GB Festplatte, die ich für eine Windows-Partition und /home nutzen möchte. Die SSD sowie die /home-Partition sollen dabei verschlüsselt sein, mein Windows-System brauche ich nicht verschlüsselt.
Meine gewünschte Aufteilung ist also wie folgt:
SSD: (unverschlüsselte) Boot-Partition sowie verschlüsselte Systempartition
HD: verschlüsselte /home-Partition und unverschlüsselte Windows-Partition.
Meine erste Frage ist nun, wie ich dieses Setup so eingerichtet bekomme, dass ich ein gemeinsames Passwort für die beiden verschlüsselten Partitionen vergeben kann.
Ich sehe die folgenden zwei Möglichkeiten:
1. Ich lege die Partitionen wie oben an, füge dann mit dem LVM die System-Partition und die /home-Partition zu einem virtuellen Volumen zusammen, richte darauf dann die Verschlüsselung ein, und lege im verschlüsselten Bereich dann wieder zwei Partitionen an (/ und /home). Dann ist mir allerdings nicht ganz klar, wie ich sicherstellen soll, dass die System-Partition komplett auf der SSD liegt und /home auf der HD. Ich könnte natürlich probieren die Größen der / und der /home-Partition genau anzupassen, das kommt mir aber weder sehr elegant noch sehr verlässlich vor.
2. Die zweite Möglichkeit wäre, dass ich die Partitionen wie oben einrichte, beide unabhängig voneinander verschlüssle und in den Start-Prozess (der von der System-Partition aus läuft) irgendwo das automatische mounten der /home-Partition reinhacke. (Dafür muss ich den Schlüssel für /home natürlich auf / ablegen.) Wie und wo ich das aber genau einbauen sollte/müsste, ist mir aber unklar.
Hat dazu vielleicht jemand eine Idee, wie es noch gehen könnte?
Meine zweite Frage ist, welches "Verschlüsselungsverfahren" (genauer gesagt: welchen Betriebsmodus) ich wählen sollte, um nicht zu viele Schreibzugriffe auf die SSD zu provozieren. AES-GCM? AES-XTS? Vorschläge?
Viele Grüße,
noe