ubuntuusers.de

Für diese Funktion musst du eingeloggt sein.

EFI und /boot: 2 Partitionen oder 1?

Status: Ungelöst | Ubuntu-Version: Kubuntu 21.04 (Hirsute Hippo)
Antworten |

guy.brush

Anmeldungsdatum:
13. Februar 2011

Beiträge: 216

Wohnort: Earth

Hallo,

in einem UEFI System, bei dem es auch eine extra /boot Partition gibt: Sollten oder müssen die EFI Partition und /boot in 2 getrennte Partitionen installiert werden (z.B. /dev/sda1 und /dev/sda2) oder können oder sollten beide auf nur 1 gemeinsamen Partition (dann wohl FAT32) installiert werden?

Wie sieht das aus, wenn ein oder mehrere der folgenden Punkte ebenfalls zutreffen:

  • das Linux-System verschlüsselt ist (LUKS)

  • Dual Boot mit einem Windows 10

  • Dual Boot mit einer anderen Linux Distribution (und ggf. auch noch Windows 10)

  • aktiviertem Secure Boot

  • verschlüsseltem /boot (EFI Partition kann meines Wissens nach nicht verschlüsselt werden)

  • GRUB mit einem Passwort versehen ist

In meinem Fall wäre es ein verschlüsseltes Kubuntu mit einem verschlüsselten Windows 10 (Secure Boot oder verschlüsseltes /boot noch unklar). Falls nicht zu komplex, würde mich hier aber eine allgemeinere Antwort interessieren.

Ich habe beim Googlen sowohl gelesen, dass 2 Partitionen weniger problematisch seien als auch dass 1 gemeinsame Partition besser sei.

Viele Grüße

DJKUhpisse Team-Icon

Supporter, Wikiteam
Avatar von DJKUhpisse

Anmeldungsdatum:
18. Oktober 2016

Beiträge: 18220

Wohnort: in deinem Browser, hier auf dem Bildschirm

Bei einem EFI-System kann man problemlos GPT nutzen, denn Windows will für eine EFI-Installation auch eine GPT-Partitionstabelle. Die EFI-Partition und /boot sind 2 unterschiedliche Dinge, lasse diese getrennt. Bei GPT ist das ja kein großes Problem. Die /boot kann man nicht verschlüsseln, denn irgendwie muss ja was gebootet werden können, damit man dann / entschlüsseln kann- /boot wird daher bei einem verschlüsselten System benötigt, bei einem anderen System dagegen nicht. Der Inhalt liegt dann auf /.

Dual Boot mit einem Windows 10

Geht, beide Systeme im EFI, der wird dir dann beim Upgrade nur die Efi-Bootreihenfolge ändern, ist aber ganz schnell wieder geändert.

aktiviertem Secure Boot

Ubuntu kann Secure Boot, Win 10 auch. Problematisch wird es bei fremden unsignierten Kernelmodulen, die dann nicht geladen werden können. Dann muss man SecureBoot abstellen.

guy.brush

(Themenstarter)

Anmeldungsdatum:
13. Februar 2011

Beiträge: 216

Wohnort: Earth

DJKUhpisse

Bei einem EFI-System kann man problemlos GPT nutzen, denn Windows will für eine EFI-Installation auch eine GPT-Partitionstabelle.

Ja, ich werde eh GPT benutzen. Es geht mir dabei auch nicht um die Anzahl der Partitionen, sondern, was eher zu empfehlen wäre.

Die EFI-Partition und /boot sind 2 unterschiedliche Dinge, lasse diese getrennt.

Das war bisher auch mein Ansatz. Da es für mich aber so aussah, als ob einige 1 gemeinsame Partition empfohlen haben, frage ich hier nochmal nach.

Die /boot kann man nicht verschlüsseln, denn irgendwie muss ja was gebootet werden können, damit man dann / entschlüsseln kann- /boot wird daher bei einem verschlüsselten System benötigt, bei einem anderen System dagegen nicht. Der Inhalt liegt dann auf /.

Man kann wohl /boot mittlerweile verschlüsseln, allerdings nur mit LUKS1 (siehe hier). Entweder muss man dann 2 Passwörter eingeben oder wie im selben Artikel hier vorgehen.

Ich verstehe davon noch nicht alles. Auch wenn ich ein verschlüsseltes /boot vorziehen würde, sieht es für mich bisher so aus, als ob das Kosten-Nutzen-Aufwand-Risiko-Verhältnis hier eher schlecht ist.

Geht, beide Systeme im EFI, der wird dir dann beim Upgrade nur die Efi-Bootreihenfolge ändern, ist aber ganz schnell wieder geändert.

Du meinst, Windows Feature Upgrades ändern gerne einmal die EFI-Bootreihenfolge?

Ubuntu kann Secure Boot, Win 10 auch. Problematisch wird es bei fremden unsignierten Kernelmodulen, die dann nicht geladen werden können. Dann muss man SecureBoot abstellen.

Mein Verständnis war bisher, dass bei fremden Kernelmodulen (z.B. VirtualBox mithilfe von DKMS oder proprietäre NVIDIA/ATI Treiber) bei der Installation nach einem Passwort gefragt wird, dass ich nach dem Booten eingeben muss, um das entsprechende Modul zu verifizieren oder signieren. (Stichwort "MOK"; das steht noch auf meiner TODO-Liste und kann ich daher nicht genauer erklären.)

Ist das falsch?

DJKUhpisse Team-Icon

Supporter, Wikiteam
Avatar von DJKUhpisse

Anmeldungsdatum:
18. Oktober 2016

Beiträge: 18220

Wohnort: in deinem Browser, hier auf dem Bildschirm

Ok, dann probiere das mal mit verschlüsselter /boot.

Du meinst, Windows Feature Upgrades ändern gerne einmal die EFI-Bootreihenfolge?

Ja, bei MBR-Systemen schrotten sie dir den MBR mit dem GRUB. Bei EFI ist der Schaden kleiner.

Antworten |