guy.brush
Anmeldungsdatum: 13. Februar 2011
Beiträge: 216
Wohnort: Earth
|
Hallo, ich habe vor, "demnächst" meinen Laptop neu aufzusetzen und dabei das System nach diesem Wikieintrag System verschlüsseln zu verschlüsseln (vermutlich allerdings mit einer Swap File). Ich setze mich daher aktuell mit der Thematik auseinander und versuche sie, ausreichend weit zu verstehen. Ich habe aber noch ein paar Fragen, die ich bisher nicht klären konnte. Ist es bei einem mit LVM + LUKS verschlüsselten System und separater /boot und /home Partition möglich, Ubuntu neu zu installieren, ohne dabei größere Strapazen auf sich nehmen zu müssen, so dass ein komplett neues Aufsetzen des Systems nach oben erwähntem Wikieintrag sinnvoller wäre? Falls ja, wie geht das? Hintergrund: Ich bevorzuge eigentlich eine separate /home Partition, da ich hin und wieder das Distributionsupgrade nicht über die Software mache, sondern das System neu installiere. Bei separater /home Partition muss ich dann nur / (und in diesem Fall auch /boot) neu installieren und kann /home unangetastet lassen. Geht alles glatt, muss ich meine Daten nicht zurück auf die /home Partition kopieren und es geht einfach schneller. Wenn dies jetzt aber bei einem verschlüsselten System nicht gut möglich ist, müsste ich nochmal überlegen, ob ich auf meinem Laptop tatsächlich eine separate /home Partition anlegen werde, da ich gerade sonst keinen größeren Mehrwert darin sehe. Vielen Dank! guy.brush PS: Ich wusste nicht, ob das Thema besser in das Forum "Sicherheit" oder "Ubuntu installieren und aktualisieren" passt. Da ich aber grundlegend weiß, wie mein ein System zwecks Distributionsupgrade neu installiert, wenn die Festplatte nicht verschlüsselt und das Hauptproblem hier die Verschlüsselung ist, habe ich es einmal hier gepostet.
|
cosinus
Anmeldungsdatum: 11. Mai 2010
Beiträge: 1374
Wohnort: HB
|
guy.brush schrieb: Ist es bei einem mit LVM + LUKS verschlüsselten System und separater /boot und /home Partition möglich, Ubuntu neu zu installieren, ohne dabei größere Strapazen auf sich nehmen zu müssen, so dass ein komplett neues Aufsetzen des Systems nach oben erwähntem Wikieintrag sinnvoller wäre? Falls ja, wie geht das?
Ich verstehe die Frage nicht so recht. Was sind denn für dich größere Strapazen? Und von welchen Fällen gehst du aus? Wieso bzw wann musst du neu installation? Wenn du ein neues release haben willst, machst du einfach ein dist-upgrade.
|
guy.brush
(Themenstarter)
Anmeldungsdatum: 13. Februar 2011
Beiträge: 216
Wohnort: Earth
|
Ich verwende meist ein do-release-upgrade, um auf eine Kubuntuversion zu aktualisieren. In Upgrade wird allerdings empfohlen, das nicht so zu machen und lieber die neue Ubuntuversion neu zu installieren. Das mache ich nur von Zeit zu Zeit, wenn ich der Meinung bin, dass das mal wieder an der Zeit ist (um mal eine neue, ordentliche Installation zu haben) oder wenn do-release-upgrade schiefgegangen ist. Und genau dann ist bei einem unverschlüsselten System eine separate /home Partition sehr hilfreich, da ich einfach nur die neue Kubuntuversion nach / installiere und /home automatisch eingebunden wird und meine Daten weiterhin vorhanden sind (wenn nichts schief läuft). Und ich frage mich jetzt, wie diese Art von Neuinstallation bei einem mit LUKS + LVM verschlüsselten System funktioniert, wenn man 3 getrennte LVM Partitionen hat: /, /boot, /home. (Wie in System verschlüsseln beschrieben.) Strapazen wären für mich jetzt, wenn es deutlich umständlicher wäre, das System so zu aktualisieren anstatt ganz von vorne anzufangen (sprich, System verschlüsseln ganz von vorne durcharbeiten, inkl. überschreiben und neu formatieren der /home Partition).
|
fleet_street
Top-Wikiautor
Anmeldungsdatum: 30. August 2016
Beiträge: 2149
Wohnort: Hunsrück
|
Eine separate Partition für home wäre nicht sinnvoll, wenn ausgerechnet diese unverschlüsselt wäre. Aber wenn man wirklich separat anlegt und mit LUKS verschlüsselt, dann verliert man den Vorteil der Kombination von LUKS & LVM, dass zum Aufschließen nur eine Passwortabfrage nötig ist. Es soll zwar derzeit ein bereits abgefragtes Passwort beim Systemstart auch für weitere LUKS-Geräte gemerkt und probiert werden, aber darauf würde ich mich für die Zukunft nicht verlassen, dass es auch so bleibt. Du kannst dir die Anleitung auch ein wenig anpassen, d. h. ein zusätzliches logical volume in die verschlüsselte Partition packen. Für eine Neuinstallation müsstest du so oder so den Artikel nochmal durchgehen, weil nach Monaten ohne Übung kann kein Gehirn sich an das einst Gelesene erinnern (da schließe ich mich ein). Es gibt aber auch einen Trick bei einer Neuinstallation, wenn es keine separate Partition für home existiert: Man kann sich vom Live-System aus doch Zugriff verschaffen und alles bis auf /home löschen und darf dann nur nicht vergessen, den Datenträger während der Installation nicht zu formatieren.
|
guy.brush
(Themenstarter)
Anmeldungsdatum: 13. Februar 2011
Beiträge: 216
Wohnort: Earth
|
Ahhh ... ich glaub, ich weiß, wo das Missverständnis liegt. Ich habe mich noch nicht an die LVM-Terminologie gewöhnt und verwende den Begriff "Partition" doppelt. Wenn ich hier von einer extra /home Partition rede, dann meine ich keine eigene Partition im Sinne von /dev/sda3 ⇒ home, sondern ein weiteres LV (logical volume). Ich würde also nur eine /boot Partition /dev/sda1 und eine LVM Partition /dev/sda2 erstellen. Und in diesem Schritt dann zusätzlich eine /home LV erstellen. Also etwas wie
lvcreate -L 30G -n root vgubuntu
lvcreate -l 100%FREE -n home vgubuntu
(Eine swap Partition wollte ich ja bisher durch eine swap file ersetzen.)
Gefolgt von
mkfs.ext4 /dev/mapper/vgubuntu-root -L root
mkfs.ext4 /dev/mapper/vgubuntu-home -L home
Und in diesem Schritt mache ich dann
mount /dev/mapper/vgubuntu-root /mnt
mount /dev/mapper/vgubuntu-home /mnt/home
Und alle anderen Schritte sind identisch mit dem Wiki-Eintrag. (root und dann wohl auch home werden hier nicht unmounted, das ist dann wohl richtig so?) Habe ich das soweit richtig verstanden?
|
cosinus
Anmeldungsdatum: 11. Mai 2010
Beiträge: 1374
Wohnort: HB
|
Also es ist soweit richtig, wenn du das so verstanden hast: - /boot muss unverschlüsselt sein, sonst bootet das System nicht - zwei Partitionen erzeugen, eine für boot, die zweite als verschlüsselter "Container" - der verschlüsselte "Container" enthält alles andere und wird dann nach zB /dev/mapper/lukslvm gemountet wo er entschlüsselt zu sehen zu ist - auf /dev/mapper/lukslvm wird der "Container im Container" erzeugt - der erste (äußere) Container ist Verschlüsselung, der zweite (innere) Container sind die logical Volumes für zB root und home
|
guy.brush
(Themenstarter)
Anmeldungsdatum: 13. Februar 2011
Beiträge: 216
Wohnort: Earth
|
Ja, so meinte ich das ☺. Ich war mir nur nicht ganz sicher, ob meine oben genannten und angepassten Befehle für home 100% richtig sind. Und meine ursprüngliche Frage war dann so gemeint: Wenn ich (aus welchen Gründen auch immer) statt einem do-release-upgrade eine Neuinstallation machen möchte/muss, um auf die nächste Kubuntuversion upzugraden, wie mache ich das, indem ich die verwendete Verschlüsselung und Partitions- und LVM-Struktur verwende, ohne das LV für home zu überschreiben? Also nur die neue Version in das root LV installieren (und /boot wird vermutlich auch neu gemacht), aber das home LV und die Verschlüsselung beibehalten.
|
Into_the_Pit
Ehemalige
Anmeldungsdatum: 25. Juni 2008
Beiträge: 9490
Wohnort: Bochum
|
guy.brush schrieb: Und meine ursprüngliche Frage war dann so gemeint: Wenn ich (aus welchen Gründen auch immer) statt einem do-release-upgrade eine Neuinstallation machen möchte/muss, um auf die nächste Kubuntuversion upzugraden, wie mache ich das, indem ich die verwendete Verschlüsselung und Partitions- und LVM-Struktur verwende, ohne das LV für home zu überschreiben? Also nur die neue Version in das root LV installieren (und /boot wird vermutlich auch neu gemacht), aber das home LV und die Verschlüsselung beibehalten.
Live-CD starten, LUKS Container entschlüsseln und dann kannst Du die einzelnen LVs so nutzen im Installer, wie Du Dir das vorgestellt hast. Siehe dazu auch: System verschlüsseln
|
guy.brush
(Themenstarter)
Anmeldungsdatum: 13. Februar 2011
Beiträge: 216
Wohnort: Earth
|
Ok, das heißt, nach dem Starten des Kubuntu Live Systems nur
cryptsetup luksOpen /dev/sdX2 lukslvm
und dann springe ich direkt zum Punkt Installation springen und mache ab dort bis unten alle aufgeführten Schritte, inkl. System verschlüsseln (Abschnitt „Ins-verschluesselte-System-wechseln“)?
Und das Formatieren mit
mkfs.ext4 /dev/mapper/vgubuntu-root -L root
mkfs.ext4 /dev/mapper/vgubuntu-home -L home
kann ich weglassen, weil sie ja schon formatiert sind. (Das soll man zumindest beim ersten Mal ja machen, weil es sonst Probleme mit dem Ubuntu-Installer geben kann.)
|
Into_the_Pit
Ehemalige
Anmeldungsdatum: 25. Juni 2008
Beiträge: 9490
Wohnort: Bochum
|
guy.brush schrieb: Ok, das heißt, nach dem Starten des Kubuntu Live Systems nur
cryptsetup luksOpen /dev/sdX2 lukslvm
und dann springe ich direkt zum Punkt Installation springen und mache ab dort bis unten alle aufgeführten Schritte, inkl. System verschlüsseln (Abschnitt „Ins-verschluesselte-System-wechseln“)?
Genau.
Und das Formatieren mit
mkfs.ext4 /dev/mapper/vgubuntu-root -L root
mkfs.ext4 /dev/mapper/vgubuntu-home -L home
kann ich weglassen, weil sie ja schon formatiert sind. (Das soll man zumindest beim ersten Mal ja machen, weil es sonst Probleme mit dem Ubuntu-Installer geben kann.)
Naja, bei /home lässt Du es eh weg, das willst Du ja mitnehmen.
|
guy.brush
(Themenstarter)
Anmeldungsdatum: 13. Februar 2011
Beiträge: 216
Wohnort: Earth
|
Ok, vielen Dank. Ja, /home würde ich nicht extra formatieren wollen. Allerdings steht der Hinweis im Wikieintrag ja auch nur deshalb drin, weil es wohl einen Bug mit dem Live-Installer gibt. Ich habe noch 2 ergänzende Fragen, weil ich da gerade etwas auf dem Schlauch stehe: Wie finde ich heraus, wie mein LUKS Container heißt, wenn ich das vergessen habe? Im Wiki wäre dies "lukslvm". Und sehe ich das richtig, dass ich bei ext4 diesen Schritt auch machen muss? Afaik ist das ja ein journaling Dateisystem in den Defaulteinstellungen.
|
Benno-007
Anmeldungsdatum: 28. August 2007
Beiträge: 29240
Wohnort: Germany
|
Ja, solltest du. Den Namen kann man frei wählen, man trägt ihn ja in /etc/crypttab ein und schaut danach nur noch in
ls /dev/mapper/
und drückt da mal statt Enter einfach die Tab-Taste für alle Namen von Luks und Lvm.
|
guy.brush
(Themenstarter)
Anmeldungsdatum: 13. Februar 2011
Beiträge: 216
Wohnort: Earth
|
Ah, stimmt. Danke ☺. So, ich habe auf einem alten Laptop eine Testinstallation durchgeführt. Da der etwas älter ist, habe ich Lubuntu 18.10 verwendet (inkl. "forcepae" Option beim Starten der Live-DVD). Allerdings bootet er nicht vollständig. Ich kann zwar erfolgreich den LUKS Container entschlüsseln, danach habe ich dann aber einen weißen Screen nur mit Cursor und kann meinen User nicht anmelden. Wechsel ich auf z.B. die F2-Konsole, kann ich mich einloggen. Ich habe darüber z.B. ein dist-upgrade durchgeführt und eine Swap Datei angelegt. Folgendes verlief anders, als im Wikiartikel beschrieben: (1) Die letzte Partitionierung bzw. Formatierung im Installer war nicht wie im Bild hier. Stattdessen musste ich zwischen dem LVM Container und der "normalen Festplatte" mit nur /dev/sda1 und /dev/sda2 hin- und herwechseln. Zusätzlich stand da nicht /dev/mapper/ubuntu-root, sondern nur /dev/ubuntu-root (oder war es /dev/vgubuntu-root? ... ich vermute fast, dass das Bild nicht ganz zum Wikieintrag passt.). (2) Nach dem Klicken auf "installieren" wurde das Fenster des Installationsassistenten schwarz. Ich habe irgendwann das Fenster geschlossen und den Prozess von vorne begonnen. Auch hier wurde das Fenster wieder schwarz. Ich habe dann paar mal "Enter" gedrückt, als der Laptop nicht mehr am Arbeiten zu sein schien. Ich weiß nicht, ob das was gebracht. Irgendwann hab ich das Fenster etwas verschoben und es war beim "Installation erfolgreich/fertig" Bildschirm. (3)
mount -o rbind /run/lvm /mnt/run/lvm
mount -o rbind /run/lock/lvm /mnt/run/lock/lvm
Konnten beim ersten Durchgang nicht gemountet werden. Ist das schlimm? Als ich mich später nochmal mittels chroot, wie im Artikel beschrieben habe, via Live-DVD eingeloggt habe, klappte es aber. Einen Tippfehler schließe ich aus, habe mehrfach kontrolliert. Es hieß, dass es den Mountpoint nicht gäbe. (4) Beim Shutdown und nach dem Entfernen der Installations-DVD hing sich das Gerät auf und wollte nicht herunterfahren. Konnte ich nur "hart ausschalten" durch Powerknopf gedrückt halten. Das war auch wieder so, als ich mich nochmal mittels chroot eingeloggt hatte. (5) Ich erhielt beim update-grub diese "failed to connect to lvmetad" Meldung, die evtl. ein Bug zu sein scheint (?). Als ich später noch einmal etwas ausprobiert habe und erneut update-grub ausgeführt habe, war die Meldung nicht mehr da. Allerdings erscheint sie auch vor und nach dem Entsperren der Festplatte beim Booten. Zusätzlich erkennt sie die VG "vgubuntu" nicht, was für mich aber spontan Sinn macht, da das System vor der Entschlüsselung diese Gruppe nicht erkennen dürfte. Zusätzlich noch eine Frage, die mir im Wikieintrag nicht klar war: Starte ich den Installationsprozess durch Doppelklick auf die Vernüpfung auf dem Desktop im Live-System (so habe ich das gemacht)? Oder muss ich in dem Terminal, in dem ich zuvor mittels cryptsetup luksOpen /dev/sdX2 lukslvm den Container entschlüsselt habe die Installations per Kommandozeilenbefehl starten?
|
Benno-007
Anmeldungsdatum: 28. August 2007
Beiträge: 29240
Wohnort: Germany
|
1. sieht normal aus, was meinst du mit Hin- und Verwechseln? 3. muss neu im Wiki sein, ist so ein Sollte, aber geht wohl auch ohne. Installer kannst du doppelklicken, wäre bis auf Lubuntu mit seinem neuen calamares der ubiquity im Terminal.
|
guy.brush
(Themenstarter)
Anmeldungsdatum: 13. Februar 2011
Beiträge: 216
Wohnort: Earth
|
zu (1): Bei diesem Schritt gab es oben ein Dropdown-Menü mit der Bezeichnung "Storage Device" oder so. Da konnte ich einmal meine Festplatte auswählen (so etwas wie HITACHI 160 GB blablabla), welche nur in /dev/sda1 und /dev/sda2 unterteilt war, und das PV oder VG, das ich erzeugt habe, welches dann die LVs enthielt (aber nicht /dev/sda1, was ja /boot werden sollte). Allerdings immer ohne das "mapper" im Pfad. Ich habe das ursprünglich so interpretiert, dass man "entweder oder" zur Installation auswählen kann. Ich habe aber bei beiden die entsprechenden Einstellungen vorgenommen und in der Zusammenfassung danach wurden alle gewünschten Einstellungen aufgelistet. Etwas verwirrende Menüführung. Und eben das "mapper" fehlte im Pfad. (3) Ja, es heißt "15.10 und evtl. früher". Ich verwechsel immer, ob das jetzt "älter" oder "jünger" heißt. Mir ist noch aufgefallen, dass er mehrere Sekunden an folgendem Befehl hängen bleibt, glaube aber nicht, dass es was damit zu tun hat.
Scanning for btrfs file systems Hast du eine Idee, warum ich nicht zum User-Login-Screen komme, sondern nur einen weißen Bildschirm + Cursor habe? Bzw. was ich dagegen tun kann?
|