ubuntuusers.de

Hallo,

heute mal was ganz anderes als sonst, ich bin mir nämlich dieses Mal sicher, im richtigen Unterforum zu sein 🤣 Meine Frage ist wahrscheinlich pillepalle, aber ich habe mit der Suche nichts gefunden, deshalb belästige ich euch damit. Ich habe mir einen neuen PC gekauft, weil mir der alte auf meinen Wunsch, von 22.04 auf das angebotene 24.04 upzugraden, die kalte Schulter gezeigt hat. Und wenn ich schon so grundsätzlich da ran gehe, dann... Naja, grundsätzlich eben. Die erste Hürde, Aktualisierung des Bootprogramms, habe ich dadurch umschifft, dass ich mir in weiser Voraussicht zwei Sticks zurechtgemacht habe. Jetzt läuft die Installation mit dem zweiten Stick und ich soll/will die Platte partitionieren. Weil ich eine verschlüsselte Partition haben möchte, kann ich wohl die automatische Installation nicht nehmen. Und hier kommt jetzt endlich die Frage:

Was für Partitionen muss ich wie anlegen?

Ich habe 1 TB Platz, es kommt nur Ubuntu rauf und ich möchte, wie angedeutet, einen Bereich haben, der unverschlüsselt ist und einen weiteren verschlüsselten Bereich. Die Erklärung - es wird ja sowieso danach gefragt werden 🙃 - ist einfach: ich bin alt. So alt, dass ich zwar nicht hoffe, aber einkalkulieren muss, dass der PC mich überlebt. Und ich habe eine Menge Dateien aus fast 40 Jahren PC-Nutzung, die mir sehr wichtig sind, die aber meine Erben bitte nicht, niemals, sehen sollen. Es könnte das Bild von ihrem Vater... beeinflussen.

Viel Text, tut mir leid, so bin ich auch "in echt". Wenn Informationen fehlen, bitte nachfragen. Der PC? Ist ein Mini-PC, Intel i3 11. Generation, 16 GB und 1 TB Nvme. Dank im voraus

Hallo bbbbb, das was Du möchtest ist mit Sicherheit machbar, evtl. aber nicht so gut.

Ich würde vorschlagen das Du ein ganz normales Linux installiert. Du kannst beim Installationsprozess angeben das Du die HOME-Verschlüsselung benutzt.

Für diese speziellen Daten würde ICH Dir empfehlen ein ext.USB-HDD zu besorgen und dieses dann mit dem Partitionsformat EXT3/4 erstellen.

Dann installierst Du Dir in deinem Linux das Programm ZULU-CRYPT und mit diesem Programm erstellst Du einen VERSCHLÜSSELTEN Bereich auf dem ext.USB-HDD. Dort hinein kopierst Du diese speziellen Daten.

Vorteil Der Rechner ist weiter verwendbar… die Daten befinden sich auf dem ext.USB-HDD das Du einfach auch irgendwo los werden kannst. Lesen oder analysieren kann man das Medium nur, wenn man das ZULU-CRYPT Zugangspasswort hat. Verwende ein 32-48 stelliges Passwort - kryptisch - somit bekommt das keiner und die Daten sind ziemlich sicher. 😀

BYE HS

Schau mal hier

https://duckduckgo.com/?keyword=verschl%C3%BCsselung&q=site%3Awiki.ubuntuusers.de+verschl%C3%BCsselung&kam=osm&kj=F4AA90&ka=Ubuntu&ia=web

und such dir dann das passende raus, Möglichkeiten werden mehr als genug angeboten. 😉

Du schreibst, es sei möglich, aber evtl. nicht so gut. Die Frage ist, weshalb? Sehr komplziert? Oder ist es möglich, erfordert dann aber zwingend die Eingabe des Passwortes beim Rechnerstart mit der Gefahr, bei Verlust des Passwortes alles zu verlieren?

STRAGIC-IT schrieb:

ein ganz normales Linux installiert

Meinst du ein normales Ubuntu oder eine andere Distribution?

Und was bedeutet

STRAGIC-IT schrieb:

HOME-Verschlüsselung

? Die kenne ich nicht.

STRAGIC-IT schrieb:

Für diese speziellen Daten würde ICH Dir empfehlen ein ext.USB-HDD zu besorgen und dieses dann mit dem Partitionsformat EXT3/4 erstellen.

Hm... Muss das unbedingt extern sein? Stört es Ubuntu, wenn ich eine zweite Platte einbaue und nur die verschlüssele?

Frieder108 schrieb:

Schau mal hier

https://duckduckgo.com/?keyword=verschl%C3%BCsselung&q=site%3Awiki.ubuntuusers.de+verschl%C3%BCsselung&kam=osm&kj=F4AA90&ka=Ubuntu&ia=web

und such dir dann das passende raus, Möglichkeiten werden mehr als genug angeboten. 😉

Klasse, da bin ich fündig geworden. Allerdings stellt sich eine weitere Frage: Wenn ich eine zusätzliche Partition mit LUKS verschlüssele und die nicht wie in https://wiki.ubuntuusers.de/Daten_verschl%C3%BCsseln/ als /home automatisch mounten will, kann ich die einfach mounten, wenn ich auf sie zugreifen will und werde dann dabei nach dem Passwort gefragt?

bbbbb schrieb:

…, kann ich die einfach mounten, wenn ich auf sie zugreifen will und werde dann dabei nach dem Passwort gefragt?

ja

Der Sinn der Verschlüssung ist, dass man nicht dran kommt. Geht also nicht ohne Passwort. Du kannst natürlich LUKS automatisiert öffnen lassen, das ist dann aber recht sinnfrei, denn dann brauchst du nicht verschlüsseln.

Hallo bbbbb,

eines sollte dir bewusst sein. Auf nur teilweise verschlüsselten Systemen können Daten aus der verschlüsselten Partition in unverschlüsselten Bereichen landen. z.B. im Swap.

bbbbb schrieb:

Und ich habe eine Menge Dateien aus fast 40 Jahren PC-Nutzung, die mir sehr wichtig sind, die aber meine Erben bitte nicht, niemals, sehen sollen. Es könnte das Bild von ihrem Vater... beeinflussen.

Immer dran denken, sich nicht verdächtig zu machen.😉.

adelaar schrieb:

Auf nur teilweise verschlüsselten Systemen können Daten aus der verschlüsselten Partition in unverschlüsselten Bereichen landen. z.B. im Swap.

Richtig. Im Swap, im /tmp, im ~/.cache, es gibt tausend Möglichkeiten.

Wenn du sensible Daten hast, die niemand sonst sehen soll, kommst du um ein vollverschlüsseltes System nicht herum. Auch die Systempartition muss dann verschlüsselt sein, wegen der temporären Dateien.

Ich würde so partitionieren:

• 500 MB ESP (ist sehr reichlich, 50 wären auch genug, aber Ubuntu will es AFAIK so), unverschlüsselt

• 1 GB Boot-Partition, ext4, unverschlüsselt, auf /boot mounten – hier liegt nur der Kernel und sein initramfs drin.

Den Rest als Crypt-Partition anlegen, mit sicherer Passphrase. In der Crypt-Partition zwei logische Laufwerke mit LVM:

• 50 GB fürs System, ext4, auf / gemountet, darin Swap als Swapfile angelegt (also keine Swap-Partition, damit die geswappten Daten sicher im verschlüsselten Bereich liegen)

• der Rest als home-Partition, ext4 oder was du willst, auf /home gemountet

Die Passphrase für die Crypt-Partition wird jedes Mal beim Booten abgefragt. Ab da ist sie offen, solange das System läuft, d.h. nur durch dein Benutzerpasswort geschützt, wenn der Rechner gesperrt ist. Also bei Nichtgebrauch immer ganz runterfahren.

Und Zulucrypt brauchst du nicht, wenn du alles mit LUKS machst, was sowieso zu empfehlen ist, weil praktisch jedes Linuxsystem schon LUKS ab Werk an Bord hat. Wenn du ein LUKS-verschlüsseltes Medium mountest, wird der Schlüssel abgefragt. Erst wenn du noch ein paar alte Truecrypt- oder Veracrypt-Schinken hast, ist Zulucrypt praktisch, weil es das alles öffnet.

--ks

STRAGIC-IT schrieb:

… Du kannst beim Installationsprozess angeben das Du die HOME-Verschlüsselung benutzt. …

Nee, das wurde zuletzt in Ubuntu 17.10 angeboten. Quasi gestern, aber vorbei. 😉

PS: Kreuzschnabel schrieb:

… Den Rest als Crypt-Partition anlegen, mit sicherer Passphrase. In der Crypt-Partition zwei logische Laufwerke mit LVM: …

Spielt da die neue Installationsroutine mittlerweile mit?

Ruth-Wies schrieb:

Kreuzschnabel schrieb:

… Den Rest als Crypt-Partition anlegen, mit sicherer Passphrase. In der Crypt-Partition zwei logische Laufwerke mit LVM: …

Spielt da die neue Installationsroutine mittlerweile mit?

Ich bitte um Entschuldigung, falls sie es nicht tut ☹

Ich komme von Debian, jetzt merkt man’s. Da muss man so was zwar von Hand anlegen, aber wenn man weiß, wie, geht es flott.

Ansonsten empfehle ich ja allen, die mal einen richtig guten Installer sehen wollen, zum Spaß openSUSE zu installieren, von mir aus in einer VM. Aber das gehört hier thematisch nicht mehr her, oder nur insofern, als der Threadstarter ja systemoffen ist. Also dann.

--ks

Frieder108 schrieb:

bbbbb schrieb:

…, kann ich die einfach mounten, wenn ich auf sie zugreifen will und werde dann dabei nach dem Passwort gefragt?

ja

Danke

tomtomtom schrieb:

Der Sinn der Verschlüssung ist, dass man nicht dran kommt. Geht also nicht ohne Passwort. Du kannst natürlich LUKS automatisiert öffnen lassen, das ist dann aber recht sinnfrei, denn dann brauchst du nicht verschlüsseln.

Ja klar. Deshalb habe ich auch nicht gefragt, ob das ohne Passwort geht 🙃

tomtomtom schrieb:

bbbbb schrieb: Immer dran denken, sich nicht verdächtig zu machen.😉.

Dein/e Kind/er arbeitet/arbeiten bei der Kripo? Und du hast es dir so nachhaltig mit dem/denen versaut, dass das/die dich dienstlich beobachten? Und du daraus Konsequenzen fürchten musst? Hm...

adelaar schrieb:

Hallo bbbbb,

eines sollte dir bewusst sein. Auf nur teilweise verschlüsselten Systemen können Daten aus der verschlüsselten Partition in unverschlüsselten Bereichen landen. z.B. im Swap.

Ja, aber... Ich dachte, diese Bereiche würden beim Ausschalten gelöscht?

Ja, aber... Ich dachte, diese Bereiche würden beim Ausschalten gelöscht?

Gelöscht = nicht gelöscht. Wäre gelöscht = gelöscht gäbe es keine erfolgreichen Datenrettungen.

Sicher gelöscht = nur das was mit Zufallsdaten oder meinetwegen dreimal hintereinander mit Nullen oder so überschrieben wird. Das aber passiert nicht, wenn du den Rechner ausschaltest, mit dem was zuvor im /tmp oder im swap war. UND bei SSD statt HDD ist das ganze nochmals komplizierter.

Zudem: zur Verschlüsselung gehört auch immer eine gute Datensicherung, die dann natürlich auch verschlüsselt sein muss. Datenrettung von verschlüsselten Datenträgern ist nämlich nahezu unmöglich.

Das bedeutet: sicherst du z.B. bisher die Daten auf ein NAS, unverschlüsselt, so kannst du dir die ganze Verschlüsselung sparen.

Ich stehe auf dem Standpunkt: wenn Verschlüsselung dann ganz und zwar konsequent. Also System voll verschlüsseln, Datensicherungen natürlich auch.

adelaar schrieb:

Ich stehe auf dem Standpunkt: wenn Verschlüsselung dann ganz und zwar konsequent. Also System voll verschlüsseln, Datensicherungen natürlich auch.

seh ich ziemlich ähnlich - System inkl. Home-Verzeichnis und Swap sowie zumindest einer kleinen Datenpartition voll Verschlüsseln und bei Bedarf kannst du da auch noch eine weitere, unverschlüsselte Datenpartition dazu packen.

Und wenn Ubuntu dabei rumzickt, dann nimm Debian - mit dem Debian-Installer geht das wunderbar einfach, im Grunde selbsterklärend. 😉