T1w2i3s4t5e6r
Anmeldungsdatum: 5. Februar 2014
Beiträge: 14
|
Hallo! Ich habe vor etwa einem halben Jahr den Umstieg von Win auf Linux gewagt. Langsam komme ich ganz anständig zurecht. Ich möchte meinen Rechner jetzt allerdings gern verschlüsseln und habe da noch die eine oder andere Frage dazu. Den Rechner werde ich auf die eine oder andere (Geschäfts-)Reise mitnehmen, da sollte im Falle eines Diebstahls nichts lesbares zu finden sein. Ich habe erstmal alle Daten soweit gesichert. Im Augenblick läuft gerade Kubuntu als Live-System vom USB-Stick, "dd" ist am werkeln, meine ganze PLatte mit Zufallszahlen zu beschreiben. Das wird sicher noch eine Weile dauern. ABer durch das Live-System kann ich ja den Rechner weiterhin nutzen. Jetzt habe ich hier im Wiki schon wunderbar einiges gelesen, wie eine PLatte zu partitionieren ist. Ich habe 680GB PLattenspeicher zur Verfügung. Für "/" würde ich 15GB einrichten. Für Swap 8GB (Größe des Arbeitsspeichers lt. Wiki). Eine große Partition für home, eben den PLatz, der übrig bleibt. Schwierig wirds jetzt für die Boot-partition(en). Benötige ich da wegen UEFI jetzt zwei solche Partitionen? Also eine etwa 150MB für "/boot" und eine zusätzliche 200MB für "/boot/efi"? Oder reicht da eine davon? Kann ich die Partitionen alle schon vorher über mein Live-System erstellen und verschlüsseln, oder sollte ich das dann lieber erst während der Installation machen? Ich hoffe, ich habe keine wichtigen Infos vergessen, sonst eben einfach noch nachfragen, ich reiche sie, soweit mir möglich, schnell nach. Danke schonmal Dennis
|
Benno-007
Anmeldungsdatum: 28. August 2007
Beiträge: 29240
Wohnort: Germany
|
Willkommen!
Für "/" würde ich 15GB einrichten. Für Swap 8GB (Größe des Arbeitsspeichers lt. Wiki).
Ich würde bei / etwas großzügiger sein (wenigstens 20 GB), außer es ist ein reines Geschäftsnotebook. Swap muss etwas größer sein als RAM, sonst geht der Ruhezustand nicht. Hau noch 500 MB drauf und gut is.
Benötige ich da wegen UEFI jetzt zwei solche Partitionen? Also eine etwa 150MB für "/boot" und eine zusätzliche 200MB für "/boot/efi"? Oder reicht da eine davon?
Hintergrundartikel:
Die solltest du kennen. Wenn EFI-Partition, dann darf es nur eine sein. Und die gibt es schon. Also die von dem bisherigen System bei Dualboot. Falls du nur Ubuntu installierst, legst du eine an, falls du im EFI-Modus installierst. Und legst eine GPT- statt msdos-Partitionstabelle an. Macht der Installer vermutlich richtig. Was du aber nun noch brauchst, ist eine /boot-Partition, die wegen der Verschlüsselung als einzige unverschlüsselt bleiben muss. Hat aber nix mit der EFI-Partition zu tun, die du brauchst. (dem Denkfehler bin ich eben auch unterlegen) /boot/efi wird extra als Einhängepunkt für die EFI-Partition angelegt (ebenfalls unverschlüsselt nötig). Die Daten sind im obigen zweiten Link hinterlegt. Als Bootloader-Ziel gibst du die EFI-Partition an. Wird aber im Installer auch bei falschen Eingaben genommen.
Kann ich die Partitionen alle schon vorher über mein Live-System erstellen und verschlüsseln, oder sollte ich das dann lieber erst während der Installation machen?
Man erstellt erst eine Partitionstabelle, unverschlüsselte EFI- sowie eine riesige Partition für den Rest. EFI bleibt zwingend unverschlüsselt, der Rest entsperrt mit der einmaligen Eingabe eines Passwortes beim Booten. Daher nur eine Partition, sonst kämen mehrere Anfragen. Stattdessen legt man in der verschlüsselten Partition sowas ähnliches wie Partitionen an: Logische Volumes. Wie das genau geht, erfährst du im Artikel System verschlüsseln. Funktioniert bei exaktem Vorgehen wunderbar. Das extra Home ist dort natürlich nicht extra erwähnt, kannst du aber so mit anlegen. Da einiges zu kopieren ist, hier mein Tipp: Markieren der Befehlszeile im Wiki mit Mehrfachklick. Einfügen im Terminal mit Mausradklick (am Notebook oft linke und rechte Maustaste gleichzeitig). Dann geht das flott von der Hand... Vergiss nicht, nach den Vorbereitungen (Verschlüsseln und entsperren) sowie der folgenden Installation die restlichen Schritte im Wiki NACH dem Installer auszuführen, sonst stehst du vor einem nicht bootbaren System, welches du per chroot/Live-CD weiter zur Vollständigkeit hin bearbeiten müsstest! Grüße, Benno
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17450
|
Also das mit den getrennten Partitionen würde ich zugunsten von LVM gehen lassen, und zwar aus dem ganz einfachen Grund das so auch alle Dateisysteme inkl. Swap ordentlich verschlüsselt sind. Konkret: Ein reines Linux System hat 2 Partitionen: 1x UEFI Boot, 1x Cryptsetup Container. Im Cryptsetup liegt dann ein LVM, und da drin liegen dann deine Volumes für die Dateisysteme. Bonusvorteil: Du kannst dein /-Dateisystem einfach 10GB machen, ist es dir zu klein kannst du es im laufenden Betrieb einfach so vergrößern:
sudo lvresize -L +5G group/volume
sudo resize2fs /dev/group/volume Schon hat das Volume 5GB mehr Platz und das Dateisystem ist auch 5GB größer, ohne Reboot, ohne neu Partitionieren, ohne Reue. Dazu noch ein weiterer Vorteil wenn man Paranoid genug ist: Es gibt nur einen LUKS Header (Verschlüsselung) den man beim Verkauf der Platte killen müsste. Das ganze geht auch neben einem Dualboot. Nachteil: Du musst dich halt mal 1-2 Stunden in LVM einlesen und dir die Grundlagen verinnerlichen. Tipp vom Profi: Das Ding ist dynamisch, also nicht gleich am Anfang sämtlichen Platz für Volumes verschenken sondern den aktuellen Bedarf mal 1.5 nehmen und bei Bedarf vergrößern, geht ja ohne Stress. mfg Stefan Betz
|
Benno-007
Anmeldungsdatum: 28. August 2007
Beiträge: 29240
Wohnort: Germany
|
Nochmal gut zusammengefasst, strukturiert, ergänzt. Nachteil: Du musst dich halt mal 1-2 Stunden in LVM einlesen und dir die Grundlagen verinnerlichen.
Nach der Anleitung System verschlüsseln nicht unbedingt. Kopieren und Einfügen, Werte und Namen anpassen... Natürlich verspielt man dann die weiteren Vorteile von LVM - kann aber entschlüsseln, ohne drei mal eine PW eingeben zu müssen für drei Partitionen - oder Schlüsselableitung einzurichten, was eher unüblich und auch nicht besser oder einfacher ist.
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
Benno-007 schrieb: Nach der Anleitung System verschlüsseln nicht unbedingt. Kopieren und Einfügen, Werte und Namen anpassen... Natürlich verspielt man dann die weiteren Vorteile von LVM
Welche genau? (reine Neugier)
kann aber entschlüsseln, ohne drei mal eine PW eingeben zu müssen für drei Partitionen - oder Schlüsselableitung einzurichten, was eher unüblich und auch nicht besser oder einfacher ist.
Definitiv nicht. Ich habe jahrelang mit Schlüsselableitungen gearbeitet und finde LVM nun extrem entspannend. 😉
|
T1w2i3s4t5e6r
(Themenstarter)
Anmeldungsdatum: 5. Februar 2014
Beiträge: 14
|
Hallo! Vielen Dank euch erstmal für eure Antworten. Die haben mich schon ein ganzes Stück weiter gebracht. Es bleibt nur noch eine einzige Frage, die ich nirgends so richtig beantwortet bekomme. "Man erstellt erst eine Partitionstabelle, unverschlüsselte EFI- sowie eine riesige Partition für den Rest." Partitionen erstellen ist kein Problem, aber was für eine? Die erste ist eine primäre, mit ext2 formatiert. Soweit klar. Aber was ist mit der großen restlichen? Wird das auch eine primäre? Ich habe versucht, eine große erweiterte zu erstellen, die kann ich aber dann nicht verschlüsseln. Oder soll ich in der erweiterten Partition ein großes logisches Laufwerk erstellen und das verschlüsseln? Aber das kanns irgendwie auch nicht sein. An dem Punkt komm ich grad irgendwie nicht weiter und kann auch nirgends eine genaue Angabe darüber finden. Dennis
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17450
|
T1w2i3s4t5e6r schrieb: Partitionen erstellen ist kein Problem, aber was für eine?
Hier ein Beispiel für ein UEFI System, die Partitionstabelle ist vom Typ GPT (es gibt dort keine primären, für Linux war das auch schon immer egal ob was primär oder logisch ist):
Partition für UEFI (passender Typ der Partition beachten), Dateisystem FAT32, ~250MB würde ich diese machen. Partition für Linux (Dateisystem Typ auch Linux irgendwas oder LUKS Volume oder …), Größe nach eigenem Ermessen. Partition falls man Windows hat vom Typ NTFS, Größe auch wieder nach eigenem Ermessen.
Die UEFI Partition missbrauchst du auch gleichzeitig als /boot, dann sparst du dir eine Partition und ersetzt diese durch eine welche du bei UEFI eh benötigst.
Die erste ist eine primäre, mit ext2 formatiert.
ext4, es gibt kein ext2 mehr außer man steht auf Nostalgie und Dateisystemchecks.
Ich habe versucht, eine große erweiterte zu erstellen, die kann ich aber dann nicht verschlüsseln.
Erweiterte Partitionen gibt es nur bei MS-DOS Partitionstabellen, und du brauchst für UEFI aber GPT als Typ der Partitionstabelle. Erweiterte Partitionen können keine Dateisysteme beinhalten, sondern nur logische Partitionen. Logische Partitionen können dann aber wieder ein Dateisystem haben. mfg Stefan Betz
|
T1w2i3s4t5e6r
(Themenstarter)
Anmeldungsdatum: 5. Februar 2014
Beiträge: 14
|
Ich danke dir für deine Antwort. Dort lag ein Fehler bei mir. Ich nutzte einfach das Partitionierungsprogramm von KDE. Bei dem kann ich nicht unterschiedliche Partitionierungstabellen erstellen, da geht nur eine Art, und das ist offensichtlich die falsche. Mit GParted konnte ich dann eine GPT Tabelle erstellen und habe jetzt auch zwei Partitionen erstellt. Soweit alles gut. Nur geht es jetzt ans verschlüsseln. Im Wiki-Artikel zu System verschlüsseln kommt dazu folgender Befehl: | cryptsetup -c aes-xts-plain64 -s 512 luksFormat /dev/sdX2
|
Wenn ich diesen verwenden will, sagt er mir, dass meine Partition entweder nicht vorhanden ist oder Zugriff verweigert ist. Ich habe die Partition gemounted, es geht nicht, wieder unmounted, geht auch nicht. Kann das sein, dass dieser Befehl mit der GPT Tabelle nicht klar kommt? FDisk konnte ich auch nicht ausführen, das kann die GPT Tabelle auch nicht lesen. Dennis
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17450
|
Generell: Vergiss die alten Tools, d.h. fdisk und cfdisk ▶ Können mit GPT nichts anfangen. Du kannst aber parted/gparted sowie gdisk nutzen. Den an das sudo vor dem Befehl, du brauchst root Rechte dafür. Falls es noch nicht geht ggf. mal ein beherztes sudo partprobe um dem Kernel deine neuen Partitionen aufzuzwingen. Normal kann der Installer aber auch ein passendes Setup anlegen, das habe ich aber noch nie probiert. mfg Stefan Betz
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
encbladexp schrieb: Generell: Vergiss die alten Tools, d.h. fdisk und cfdisk ▶
und den KDE-Partitionierer. Er kann GParted nicht das Wasser reichen.
|
T1w2i3s4t5e6r
(Themenstarter)
Anmeldungsdatum: 5. Februar 2014
Beiträge: 14
|
Oh mann, die einfachsten Sachen mache ich immer noch ab und zu falsch. Klar braucht ich Root-Rechte dafür, steht auch in jedem zweiten Satz im Wiki dazu. Da lag einfach noch mein Fehler. Ist schon schlimm, wenn man auf sowas nicht selber kommt. Aber da bin ich noch zu sehr Win-User, da wurde die Benutzersteuerung ja eher etwas lockerer gesehen.. Danke euch für eure Hinweise, ich hoffe, dass ich es jetzt auch mal alleine schaffe. Dennis
|
Benno-007
Anmeldungsdatum: 28. August 2007
Beiträge: 29240
Wohnort: Germany
|
V for Vortex schrieb: Benno-007 schrieb: Nach der Anleitung System verschlüsseln nicht unbedingt. Kopieren und Einfügen, Werte und Namen anpassen... Natürlich verspielt man dann die weiteren Vorteile von LVM
Welche genau? (reine Neugier)
Ich meinte damit, dass man dann nicht zwingend die eigentlichen Vorteile von LVM nutzt, also die flexible Größenänderung von Dateisystemen ohne Neupartitionierung, über irgendwelchen freien Platz irgendwo im physisch definierten PV hinweg. Den man dann auch extra freilassen müsste, was die Anleitung nicht berücksichtigt, sondern auf 100% aufrechnet. Man kann also, muss sich aber dann damit befassen. Für die reine Verschlüsselung kann man auf dieses Detailstudium verzichten. @ T1w2i3s4t5e6r (wie spricht man deinen Nick eigentlich aus? 😊 ):
/dev/sdX2
Da musst du natürlich bei X noch was einsetzen, also z.B. sda2 als Ergebnis, wenn sda deine zu verschlüsselnde Festplatte ist.
|
T1w2i3s4t5e6r
(Themenstarter)
Anmeldungsdatum: 5. Februar 2014
Beiträge: 14
|
Hallo! Ich habe es jetzt hinbekommen. Allerdings musste ich zwei unverschlüsselte Partitionen erstellen. Ich kann in der Installationsroutine für die erste Partition "efi-boot" auswählen. Allerdings kann ich dann dort nicht /boot als Einhängpunkt auswählen. Lasse ich /boot einfach weg, kommt während der Installation eine Fehlermeldung, dass er grub nicht installieren kann. Jetzt habe ich zwei Partitionen gemacht, eine für efi-boot und auf der anderen habe ich /boot eingehängt. So hat es dann geklappt. Der Artikel System verschlüsseln ist wirklich sehr gut geschrieben, selbst ein Kommandozeilen-Dau, wie ich es bin kapiert es damit ☺ Mein Nick ist ganz einfach erklärt, das ist Twister und die Zahlen 1 bis 6 einfach zwischen die Buchstaben geschrieben. Aber Twister war schon vergeben, deswegen diese Variante. Dennis
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
Benno-007 schrieb: V for Vortex schrieb: Benno-007 schrieb: Nach der Anleitung System verschlüsseln nicht unbedingt. Kopieren und Einfügen, Werte und Namen anpassen... Natürlich verspielt man dann die weiteren Vorteile von LVM
Welche genau? (reine Neugier)
Ich meinte damit, dass man dann nicht zwingend die eigentlichen Vorteile von LVM nutzt, also die flexible Größenänderung von Dateisystemen ohne Neupartitionierung, über irgendwelchen freien Platz irgendwo im physisch definierten PV hinweg.
Stimmt, wobei ich nicht von Verspielen reden würde, da sie einem ja bei Bedarf weiterhin und quasi ganz automatisch zur Verfügung stehen – ohne z.B. neben dem Dateisystem und Partition oder logischem Laufwerk auch noch den Crypt-Container anpassen zu müssen. 👍 @T1w2i3s4t5e6r: Glückwunsch für das Gelingen!
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17450
|
Das ist ja hässlich das Ubuntu auf ein extra /boot bei UEFI beharrt, aber dann sei es halt so. Moderne UEFI Bootloader wie gummiboot benötigen keinen derartigen Schnickschnack. Aber jetzt läuft es ja, also lassen wir das auch so. mfg Stefan Betz
|