star
Anmeldungsdatum: 1. November 2009
Beiträge: 274
|
Ich wollte neben Windows ein verschlüsseltes Ubuntu installieren. Das geht nur auf manuellem Weg.
Aber irgendwas hab ich dabei falsch gemacht und jetzt bootet nur noch die grub bash. Ich hab bisher weder mit LVM oder Encryption irgendwelche Erfahrung, also schlagt mich nicht 😉
Vielleicht kann mir jemand mit einem Tip helfen ob und wie ich die Installation noch retten kann, bzw was ich falsch gemacht hab.
Ich liste die Schritte mal kurz auf:
(zusätzlich zu der Win-Installation (sda1..4) ein 500MB Boot-partition angelegt sda5 ein verschlüsseltes Volume angelegt. sda6-crypt in diesem 3 Partition /, swap, /opt und dann installiert. Ich kann mich gar nicht erinnern ob ich irgendetwas bzgl Installtion bootloader usw entscheiden musste (was mich sonst auch immer etwas ratlos zurück läßt), wenn dann hab ich das möglicherweise achtlos abgenickt/bestätigt.
Wo liegt genau der Fehler? Hat die Verschlüsselung eigentlich irgendwas mit dem TPM oder mit secure Boot im Bios zu tun?
Vielen Dank schon mal
|
fleet_street
Top-Wikiautor
Anmeldungsdatum: 30. August 2016
Beiträge: 2130
Wohnort: Hunsrück
|
… ich kann mich gar nicht erinnern ob ich irgendetwas bzgl Installtion bootloader usw entscheiden musste (was mich sonst auch immer etwas ratlos zurück läßt), wenn dann hab ich das möglicherweise achtlos abgenickt/bestätigt.
Dann wird das vermutlich auch nicht verschlüsselt installiert worden sein. Rettungsversuch würde ich da nicht unternehmen, sondern von vorn → System verschlüsseln.
|
star
(Themenstarter)
Anmeldungsdatum: 1. November 2009
Beiträge: 274
|
Warum nicht? Ich hatte ein Passwort eingegeben usw. Mein Verdacht ist, dass lediglich der bootloader nicht richtig installiert wurde.
|
ChickenLipsRfun2eat
Anmeldungsdatum: 6. Dezember 2009
Beiträge: 12067
|
Hallo! Interessant wären konkrete Angaben. Mangels dieser mal in der Theorie für EFI: Dein System guckt im nvram, was zu laden ist und überlässt alles weitere dann dem Kernel, Config, usw. Mal Auszüge aus einem Kubuntu mit systemd-boot (ehemals Gummiboot, also kein GRUB!): Beispiel:
/dev/sda1 mit der UUID 848f1224-12ed-4c30-896e-410adff2f23b ist die boot-Partition (/boot im System) /dev/sda3 mit der UUID 8571137e-e30f-4dc8-8acf-2caa4f388456 ist das crypto_luks-device. sudo efibootmgr -v zeigt in etwa Boot0019* Linux Boot Manager HD(1,GPT,848f1224-12ed-4c30-896e-410adff2f23b,0x800,0x300000)/File(\EFI\systemd\systemd-bootx64.efi)
Ein entsprechender Eintrag würde so aussehen: title Kubuntu
linux /KUBUNTU/vmlinuz-generic
initrd /KUBUNTU/initrd.img-generic
options cryptdevice=UUID=8571137e-e30f-4dc8-8acf-2caa4f388456:volgrp root=/dev/mapper/volgrp-kubuntu rw
EFI guckt jetzt auf /dev/sda1 im Ordner KUBUNTU nach vmlinuz-generic und initrd.img-generic und führt diese dann aus. Die Optionen besagen, dass das Cryptdevice geöffnet werden muss, dass darin befindliche LVM volgrp genannt werden soll und sich die root-Partition unter volgrp-kubuntu findet, welche mit Lese- und Schreibrechten eingebunden werden muss. Damit kannst du jetzt deinen Aufbau vergleichen - falls du EFI nutzt.
|
star
(Themenstarter)
Anmeldungsdatum: 1. November 2009
Beiträge: 274
|
Wahrscheinlich bin ich schneller alles noch mal neu zu installieren, aber ich möchte gern begreifen was hier vor sich geht. Ja, das ist ein Efi System.
Ich hab also noch mal das Installationsmedium von USB gebootet und efibootmgr zeigt
Boot0004* ubuntu HD(2,GPT,<eine uuid>,<hex1>,<hex2>)/File/\EFI\ubuntu\shimx64.efi) die uuid und die beiden hex-Zahlen sind identisch zum Eintrag
Boot0003* Windows Boot Manager .... was mich allerdings wundert - mit ls -as /dev/disk/by-uuid finde ich diese uuid nicht.
So lange Nummern gibts nur für die neu angelegte Boot-Partition und das encrypted volume (sda5, 6)
|
star
(Themenstarter)
Anmeldungsdatum: 1. November 2009
Beiträge: 274
|
fleet_street schrieb: … ich kann mich gar nicht erinnern ob ich irgendetwas bzgl Installtion bootloader usw entscheiden musste (was mich sonst auch immer etwas ratlos zurück läßt), wenn dann hab ich das möglicherweise achtlos abgenickt/bestätigt.
Dann wird das vermutlich auch nicht verschlüsselt installiert worden sein. Rettungsversuch würde ich da nicht unternehmen, sondern von vorn → System verschlüsseln.
Ja, die Anleitung bezieht sich auf ein älteres System. 1910 kann schon verschlüsselte Partitionen anlegen, zumindest deutet das der Installer an. Hat nur leider nicht richtig geklappt - was auch immer da schief gegangen ist....
|
fleet_street
Top-Wikiautor
Anmeldungsdatum: 30. August 2016
Beiträge: 2130
Wohnort: Hunsrück
|
star schrieb: … 19[.]10 kann schon verschlüsselte Partitionen anlegen, zumindest deutet das der Installer an.
Da habe ich nicht darauf geachtet, weil ich etwas anderes testen wollte. Meine nächste Installation wird „erst“ 20.04 sein. Ach, da war doch noch was: star schrieb: … Hat die Verschlüsselung eigentlich irgendwas mit dem TPM oder mit secure Boot im Bios zu tun?
secure boot hat was mit EFI zu tun. TPM kann für die Verschlüsselung genutzt werden, aber – soweit ich weiß – nur mit zusätzlicher Software. (Mein Wissensstand ist in dem Fall fast drei Jahre alt.)
|
star
(Themenstarter)
Anmeldungsdatum: 1. November 2009
Beiträge: 274
|
Bei einem UEFI/GPT Layout kommt der Bootloader normal nach /dev/sda (ohne Nummer). So habe ich es gelesen.
Wie ist das aber wenn man im Linux eine eigene Boot-Partition hat? Kommt der bootloader dann nach /dev/sda5 (z.B.)?
Oder was steht sonst in der boot-Partition wenn nicht Kernel und Grub?
Hätte nicht gedacht das das so kompliziert ist .... Ich hab das jetzt noch ein zweites Mal versucht (mit zwei LUKS Partitionen / und /opt) und den Bootloader in sda5 installiert, aber es kommt keine Passwort-Abfrage und dann stoppt das Booten(initramfs unpacking failed; Decoding failed). Später kommt noch: Gave up waiting for rootfs .... Alert! UID=..... doesn't exist. Dropping to shell. (Wenn ich in das Installationsmedium boote, kann ich die beiden encryptet Partitions lesen und mounten. Denke das da irgendwas beim booten nicht stimmt.
In der unverschl. Bootpartition gibt es einen leeren efi Ordner und den grub-Ordner, dazu die Kernel, systemmaps und initrd.
Im grub.cfg sehe ich jetzt nichts was auf eine verschlüsselte Partition hindeutet - aber ich kenn mich damit auch nicht wirklich aus. Oder ist das Aufgabe des Kernels und rund initrd?
|
fleet_street
Top-Wikiautor
Anmeldungsdatum: 30. August 2016
Beiträge: 2130
Wohnort: Hunsrück
|
star schrieb: Bei einem UEFI/GPT Layout kommt der Bootloader normal nach /dev/sda (ohne Nummer). So habe ich es gelesen.
Genau, obwohl es im Artikel heißt:
Bei EFI Bootmanagement ist es egal, welche Einstellung man für den Bootloader wählt. Er wird immer in die EFI-Partition installiert.
star schrieb: Oder was steht sonst in der boot-Partition wenn nicht Kernel und Grub?
Ja, das schon, aber das sind Dateien, die vom Bootloader geladen werden. Dazu muss er genau wissen, wo er sie findet. PS: Ups, zu langsam. ☹
|
star
(Themenstarter)
Anmeldungsdatum: 1. November 2009
Beiträge: 274
|
Ok, dann ist die Frage nach dem Bootloader in diesem Falle eine Fangfrage 😉.
Also BIOS läd die (gemeinsame Win/Lin) EFI Partition und geht dann in die Boot-Partition. Aber warum dann nicht nach dem Passwort gefragt wird und ob das im grub oder im initrd erfolgt - und wie ich das beheben kann ... mhh... Also mein erster Versuch war dann sozusagen mit einem verschlüsseltem LVM Medium und der aktuelle mit zwei LUKS-Partitionen - die ich immerhin manuell (aus dem USB-Bootmedium) öffnen kann.
|
ChickenLipsRfun2eat
Anmeldungsdatum: 6. Dezember 2009
Beiträge: 12067
|
star schrieb: was mich allerdings wundert - mit ls -as /dev/disk/by-uuid finde ich diese uuid nicht.
So lange Nummern gibts nur für die neu angelegte Boot-Partition und das encrypted volume (sda5, 6)
Kann auch eine PARTUUID sein. Siehe sudo blkid .
|
star
(Themenstarter)
Anmeldungsdatum: 1. November 2009
Beiträge: 274
|
Ich hab mich jetzt mit der Beta 20.04 noch mal dran gemacht.
Ich habe also einige Windows-Partitionen.
Ich lege ein /boot sda5 an
Dann erzeuge ich zwei verschlüsselte Volume sda6 und sda7 (gleiches Passwort)
In sda6 ensteht dann sda6_crypt und in sda7 sda7_crypt.
sda6_crpyt wird ext4 /
sda7_crypt wird ext4 /opt
Soweit so gut (und hoffentlich richtig). Wenn ich dann im nächsten Schritt username, Gerätename und Passwort für den User eingeben soll dann kommt:
Beim Versuch ein Dateisystem vom Typ ext4 auf verschlüsseltes Volume sda6_crypt als / einzubinden ist fehlgeschlagen. Das ist doch ein Bug oder wie/wann hätte ich das einbinden sollen? Nach dem Passwort bin ich nur beim Einrichten gefragt worden.
|
ChickenLipsRfun2eat
Anmeldungsdatum: 6. Dezember 2009
Beiträge: 12067
|
Hast du die beiden denn vor der Installation entschlüsselt? Mir ist gerade nicht klar, was genau du wo gemacht hast, daher mal in knapp:
|
star
(Themenstarter)
Anmeldungsdatum: 1. November 2009
Beiträge: 274
|
Nein, ich hab alles im Installer gemacht. Dafür ist der doch da?!? Da kann ich die Festplatte partitionieren und verschlüsselte Volumes erzeugen. Theoretisch sollte damit alles gemacht werden - ohne Kommandozeile.... Also erst die Partitionen anglegt und dann die jeweils als verschlüsseltes Volume konfiguriert (da muss man dann das Passwort für angeben).
|
ChickenLipsRfun2eat
Anmeldungsdatum: 6. Dezember 2009
Beiträge: 12067
|
Okay. Kannst du anhand Manuelle Partitionierung arbeiten und dann sagen, an welcher Stelle es nicht funktioniert? Und wenn möglich noch die Ausgaben von sudo parted --list
sudo blkid
sudo cryptsetup status NAME_DES_CONTAINERS anhängen, um den aktuellen Stand der Dinge zu wissen. Ich kann das dann mal nachbauen, muss aber auch sagen, dass ich meine Partitionen bisher vorher vorbereitet habe.
|