ubuntuusers.de

Hallo allerseits,

ich möchte mir demnächst meinen Laptop neu Aufsetzen, und dabei gerne ein komplett (bis auf /boot) verschlüsseltes Linux-System installieren. Der Laptop verfügt über eine 128 GB SSD (die ich gerne als Festplatte für das System verwenden würde, also nach / mounten würde) und eine 500 GB Festplatte, die ich für eine Windows-Partition und /home nutzen möchte. Die SSD sowie die /home-Partition sollen dabei verschlüsselt sein, mein Windows-System brauche ich nicht verschlüsselt.

Meine gewünschte Aufteilung ist also wie folgt:

SSD: (unverschlüsselte) Boot-Partition sowie verschlüsselte Systempartition

HD: verschlüsselte /home-Partition und unverschlüsselte Windows-Partition.

Meine erste Frage ist nun, wie ich dieses Setup so eingerichtet bekomme, dass ich ein gemeinsames Passwort für die beiden verschlüsselten Partitionen vergeben kann.

Ich sehe die folgenden zwei Möglichkeiten:

1. Ich lege die Partitionen wie oben an, füge dann mit dem LVM die System-Partition und die /home-Partition zu einem virtuellen Volumen zusammen, richte darauf dann die Verschlüsselung ein, und lege im verschlüsselten Bereich dann wieder zwei Partitionen an (/ und /home). Dann ist mir allerdings nicht ganz klar, wie ich sicherstellen soll, dass die System-Partition komplett auf der SSD liegt und /home auf der HD. Ich könnte natürlich probieren die Größen der / und der /home-Partition genau anzupassen, das kommt mir aber weder sehr elegant noch sehr verlässlich vor.

2. Die zweite Möglichkeit wäre, dass ich die Partitionen wie oben einrichte, beide unabhängig voneinander verschlüssle und in den Start-Prozess (der von der System-Partition aus läuft) irgendwo das automatische mounten der /home-Partition reinhacke. (Dafür muss ich den Schlüssel für /home natürlich auf / ablegen.) Wie und wo ich das aber genau einbauen sollte/müsste, ist mir aber unklar.

Hat dazu vielleicht jemand eine Idee, wie es noch gehen könnte?

Meine zweite Frage ist, welches "Verschlüsselungsverfahren" (genauer gesagt: welchen Betriebsmodus) ich wählen sollte, um nicht zu viele Schreibzugriffe auf die SSD zu provozieren. AES-GCM? AES-XTS? Vorschläge?

Viele Grüße,

noe

Du verschlüsselst mit LUKS. Deine Methode 1 wäre System verschlüsseln, deine Methode 2 System verschlüsseln/Schlüsselableitung. Nimm die dort jeweils empfohlenen AES-Einstellungen, die sind sehr gut und auch auf SSD problemlos anwendbar. Du kannst im Zweifel nochmal das Alignment prüfen, nachdem du Partitionen angelegt hast.

Zu 1.:

und lege im verschlüsselten Bereich dann wieder zwei Partitionen an (/ und /home).

Die nennen sich dann LVs, nicht Partitionen.

Sinnbildlich zur Unterstützung des Artikels: PE → VG → LVs. Ich betreibe LVM auf Partitionen, für /boot brauchst du ohnehin eine normale.

Und nimm eine aktuelle DVD/ CD: Heute kam 14.04 LTS raus, manche Derivate brauchen eventuell noch den Verlaufe des Tages.

Bei Verschlüsselung von SSDs SSD/Verschlüsselung und TRIM mit Festplattenverschlüsselung nicht vergessen. 🤓

Hallo,

danke für die Antworten und die Links. Ich habe zwischenzeitlich mein System mit Methode 2 (System verschlüsseln/Schlüsselableitung) aufgesetzt. Nun habe ich das Problem, dass keine graphische Oberfläche startet, wenn ich die Verschlüsselte /home-Partition in der fstab eintrage. Kommentiere ich die entsprechende Zeile in der fstab aus, startet das System brav mit graphischer Oberfläche.

Einige weitere Symptome:

Trage ich /home in die fstab ein, erscheint manchmal für einen kurzen Moment die Fehlermeldung "Das Laufwerk für /home ist noch nicht bereit oder noch nicht vorhanden. Warten Sie weiterhin, überspringen Sie das Einhängen mit >>S<< oder führen Sie eine manuelle Wiederherstellung mit >>M<< aus. Die Fehlermeldung blinkt jedoch für höchstens eine Sekunde auf; ich musste eine Kamera bemühen, um den Text überhaupt lesen zu können. Jedenfalls verschwindet die Fehlermeldung sofort wieder, und danach tut sich nichts mehr. Wechsle ich mit Strg+Alt+F1 auf eine Konsole, kann ich mich ganz normal einloggen. Schaue ich mich so im System um, stelle ich fest, dass /home korrekt gemountet ist. Ich habe auch mal probeweise im Wiederherstellungsmodus gebootet, und dort "fsck" und "mount -all" probiert. "fsck" meldete keine Fehler, "mount -all" funktionierte auch problemlos.

Meine Theorie ist deshalb, dass das mounten von /home eigentlich funktioniert, nur eben etwas länger dauert (vermutlich wegen der rechenaufwändigen Schlüsselableitung). Kurze Zeit nachdem die Fehlermeldung erscheint, legt cryptsetup dann die entsprechende Datei in /dev/mapper an, und die wird gemountet. Was demnach nicht funktioniert, ist das fortsetzen des Boot-Vorgangs, nachdem /home eingehängt wurde. Habt ihr vielleicht Vorschläge, was ich probieren könnte? Oder habt ihr andere Interpretationen für das, was passiert?

Viele Grüße,

noe

Edit: Problem gelöst. Ich hatte als root die automatisch angelegten Daten von dem /home-Ordner auf der System-Partition auf die neue /home-Partition kopiert. Die /home-Partition wurde zwar korrekt gemountet, alle Dateien und Ordner darauf gehörten jedoch root und waren unbeschreibbar. Der X-Server wollte aber einige Dateien in meinem home-Ordner anlegen.

Lösung:

1

sudo chown -R Benutzername:Benutzername /home

Noch einmal herzlichen Dank!

das chown ist zuviel, sollte /home/benutzername am ende sein. /home selbst gehört normalerweise root mit chmod 755 o.ä.

noe schrieb:

Meine Theorie ist deshalb, dass das mounten von /home eigentlich funktioniert, nur eben etwas länger dauert

Das war hier ja nicht die Ursache, aber für eventuell Mitlesende/Suchende mit einem solchen Problem sei hier kurz auf die Option bootwait in der fstab hingewiesen. Auszug aus der Manpage der fstab:

The mountall(8) program that mounts filesystem during boot also recognises additional options that the ordinary mount(8) tool does not. These are: bootwait which can be applied to remote filesystems mounted outside of /usr or /var, without which mountall(8) would not hold up the boot for these

Danke noch für die Hinweise. Ich habe bootwait in meine fstab eingetragen und den Besitzer von /home zurückgesetzt.