ubuntuusers.de

verschlüsselte Partitionen via LVM & LUKS

Status: Gelöst | Ubuntu-Version: Xubuntu 20.04 (Focal Fossa)
Antworten |

atmos

Anmeldungsdatum:
1. November 2018

Beiträge: 735

Hallo!

Habe eine 250GB SSD und eine 1TB SSD verbaut.

Auf die 250GB SSD habe ich Xubuntu installiert (ohne manuelle Partition, Vollverschlüsselung mit LUKS ausgewählt).

So sieht es aktuell aus:

xubuntu@xps17-9700:~$ lsblk
NAME                   MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
nvme1n1                259:0    0 232,9G  0 disk  
├─nvme1n1p1            259:1    0   512M  0 part  /boot/efi
├─nvme1n1p2            259:2    0   732M  0 part  /boot
└─nvme1n1p3            259:3    0 231,7G  0 part  
  └─nvme1n1p3_crypt    253:0    0 231,7G  0 crypt 
    ├─vgxubuntu-root   253:1    0 230,7G  0 lvm   /
    └─vgxubuntu-swap_1 253:2    0   976M  0 lvm   [SWAP]
nvme0n1                259:4    0 953,9G  0 disk 

Wie schaffe ich es jetzt aber, dass ich alles, außer /boot und /boot/efi verschlüsselt sind?

Das Ziel wäre: (so habe ich es im Debian Installer immer problemlos hinbekommen)

250GB SSD:

EFI-System-Partition

/boot

vollverschlüsselte Volume-Gruppe via LVM erstellt, mit folgenden logischen Volumes als Inhalt:

/

/home

/swap

1TB SSD:

vollverschlüsselte Volume-Gruppe via LVM erstellt, mit folgendem logischen Volume:

/media/DATEN

fertig. Das ganze dann mit einem Entschlüsselungspasswort beim Hochfahren freigeben und schon wäre ich zufrieden ☺

Im Xubuntu-Installer konnte man aber keine verschlüsselten Volumegruppen und darin logische Volumes anlegen.

Bin all meine Aufzeichnungen nochmal durchgegangen und hab gegoogelt was das Zeug hält, aber ich hab es nicht hinbekommen.

Daher habe ich wie eingangs beschrieben zunächst mal die automatische Partitionierung & LUKS gewählt.

Jetzt frage ich mich allerdings, wie ich das von der Aufteilung her wieder so hinbekommen kann, dass das eben beschriebene Konzept erreicht wird?

Die ganze LVM-Geschichte über die Kommandozeile zu bewerkstelligen traue ich mir nicht zu. Welche Möglichkeiten habe ich alternativ noch?

Viele Grüße atmos

Lidux

Anmeldungsdatum:
18. April 2007

Beiträge: 16751

Hallo atmos,

Ist doch alles verschlüsselt, außer die 1 TB SSD .... so wie du die Installation gewählt hast.

Gruss Lidux

atmos

(Themenstarter)

Anmeldungsdatum:
1. November 2018

Beiträge: 735

Ja, soweit ist das auch echt ok, allerdings würde ich gern die 1TB SSD direkt bei der Installation mit verschlüsseln, um Nacharbeit mit irgendwelchen Tools zu vermeiden. Eine separate /home-Partition wäre mir auch lieber. Gibt es hierfür noch andere Wege?

atmos

(Themenstarter)

Anmeldungsdatum:
1. November 2018

Beiträge: 735

Anhand dieses super Skripts: https://github.com/nbros652/LUKS-guided-manual-partitioning habe ich es nun hinbekommen, dass zumindest die Systemplatte so verschlüsselt und aufgeteilt wurde, wie ich mir das vorstelle:

xubuntu@xubuntu-XPS-17-9700:~$ lsblk
NAME                MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
nvme1n1             259:0    0 232,9G  0 disk  
├─nvme1n1p1         259:1    0   500M  0 part  /boot
├─nvme1n1p2         259:2    0   200M  0 part  /boot/efi
└─nvme1n1p3         259:3    0 232,2G  0 part  
  └─nvme1n1p3_crypt 253:0    0 232,2G  0 crypt 
    ├─vg0-swap      253:1    0    32G  0 lvm   [SWAP]
    ├─vg0-root      253:2    0    60G  0 lvm   /
    └─vg0-home      253:3    0 140,2G  0 lvm   /home
nvme0n1             259:4    0 953,9G  0 disk  

Jetzt muss ich es nur noch hinbekommen, dass die verbleibende Daten-SSD noch verschlüsselt wird.

Wie muss ich jetzt vorgehen, um (gern auch via Terminal) folgendes zu erreichen:

- vollständige Verschlüsselung von nvme0n1 mit LUKS - darin eine Partition namens DATEN erstellen - diese Partition dann dauerhaft einhängen unter /media/DATEN - wenn möglich: irgendwie einstellen, dass beim Systemstart nicht beide Passphrasen (für Systemplatte und Datenplatte) separat eingegeben werden müssen. Sind beide identisch.

Bitte um Hilfe 😳

atmos

(Themenstarter)

Anmeldungsdatum:
1. November 2018

Beiträge: 735

PS: Das wurde noch nach der Installation angezeigt:

Bilder

ChickenLipsRfun2eat Team-Icon

Anmeldungsdatum:
6. Dezember 2009

Beiträge: 12067

Hallo!

Dafür gibt es kein Script. Beide Passphrasen wenn sie identisch sind zeitgleich zu entschlüsseln geht auch nicht [1]. Du legst also manuell eine LUKS-Verschlüsselung auf dem zweiten Datenträger an und aktualisierst crypttab und initramfs entsprechend.

atmos

(Themenstarter)

Anmeldungsdatum:
1. November 2018

Beiträge: 735

Habe es jetzt mal noch so versucht:

sudo apt install gnome-disk-utility
gnome-disks

Dann neue verschlüsselte Partition angelegt, Passphrase festgelegt, und siehe da.... jetzt ist es schon wie ich es haben wollte ☺

sieht jetzt insgesamt so aus:

xubuntu@xubuntu-XPS-17-9700:~$ lsblk
NAME                             MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
nvme1n1                          259:0    0 232,9G  0 disk  
├─nvme1n1p1                      259:1    0   500M  0 part  /boot
├─nvme1n1p2                      259:2    0   200M  0 part  /boot/efi
└─nvme1n1p3                      259:3    0 232,2G  0 part  
  └─nvme1n1p3_crypt              253:0    0 232,2G  0 crypt 
    ├─vg0-swap                   253:1    0    32G  0 lvm   [SWAP]
    ├─vg0-root                   253:2    0    60G  0 lvm   /
    └─vg0-home                   253:3    0 140,2G  0 lvm   /home
nvme0n1                          259:4    0 953,9G  0 disk  
└─nvme0n1p1                      259:5    0 953,1G  0 part  
  └─luks-c73ebdf1-b261-427e-b1ab-b4d51f2d827d
                                 253:4    0 953,1G  0 crypt /media/xubuntu/DATEN

Vielleicht hilft es ja noch dem ein oder anderen ☺

san04

Anmeldungsdatum:
19. Januar 2010

Beiträge: 1264

Entschlüsseln alle Platten beim Booten nach einmaliger Eingabe des Passworts? Und das ist identisch für beide Container?

sudo lvs
sudo pvs

wäre für mich noch interessant. Die müssten ja völlig unabhängig voneinander sein oder?

frostschutz

Avatar von frostschutz

Anmeldungsdatum:
18. November 2010

Beiträge: 7790

san04 schrieb:

Entschlüsseln alle Platten beim Booten nach einmaliger Eingabe des Passworts?

systemd kann das (systemd-ask-password --accept-cached).

Das hat in Ubuntu auch schon mal funktioniert - wie hier der aktuelle Stand ist, weiß ich allerdings nicht. Ich benutze Ubuntu meist unverschlüsselt.

Die müssten ja völlig unabhängig voneinander sein oder?

Zumindest laut der lsblk Ausgabe verwendet nvme0n1 gar kein LVM. pvs, lvs dürfte somit nur nvme1n1/vg0 zeigen. Also ja, das sind zwei unabhängige LUKS Container.

san04

Anmeldungsdatum:
19. Januar 2010

Beiträge: 1264

frostschutz schrieb:

systemd kann das (systemd-ask-password --accept-cached).

Guter Hinweis. Danke!

Zumindest laut der lsblk Ausgabe verwendet nvme0n1 gar kein LVM. pvs, lvs dürfte somit nur nvme1n1/vg0 zeigen. Also ja, das sind zwei unabhängige LUKS Container.

Stimmt, da steht es ja bereits. Wer lesen kann... 🙄

atmos

(Themenstarter)

Anmeldungsdatum:
1. November 2018

Beiträge: 735

Also soweit bin ich jetzt zufrieden, allerdings habe ich noch das Problem, dass beim Start der Datenträger nicht automatisch eingehängt wird. Zumindest so lange nicht, bis ich ihn öffne, denn dann wird er automatisch entsperrt und eingehängt, ohne Passwortabfrage - so war es auch gewünscht. Das Problem ist jetzt allerdings aktuell, dass mein Cloud-Client, der einen Ordner synchronisieren muss, scheinbar nichtmehr auf den Ordner zugreifen kann, da seitens meines Notebooks nixmehr in die Cloud hochgeladen wird, also nicht automatisch so wie sonst.

Ich kann mir das nur so erklären, dass das Laufwerk dauerhaft eingehängt und entsperrt bleiben muss, solange der Rechner an ist, und/oder, dass der Cloud-Client noch spezielle Zugriffsrechte auf den Ordner oder die verschlüsselte Partition braucht. War bisher aber auch nie ein Problem - da habe ich allerdings auch immer via LVM/Luks direkt bei der Installation verschlüsselt (Debian Installer).

Hat jemand noch eine Idee dazu? 😳

Ich glaube ich muss das via LVM machen, sonst wird das nix, oder?

Denn, auf meinem Debianrechner funktioniert es ja auch ohne Probleme mit dem automatischen Einhängen und der Cloud.

Zum Vergleich:

DATEN-Platte des Debian-Rechners:

sdb                          8:16   0   2,7T  0 disk  
└─sdb1                       8:17   0   2,7T  0 part  
  └─sdb1_crypt             254:4    0   2,7T  0 crypt 
    └─LUKS_LVM_DATEN-DATEN 254:5    0   2,7T  0 lvm   /run/timeshift/backup

DATEN-Platte des Ubuntu-Rechners, bei dem ich es via gnome-disks gemacht habe:

nvme0n1                  259:4    0 953,9G  0 disk  
└─nvme0n1p1              259:5    0 953,1G  0 part  
  └─luks-c73ebdf1-b261-427e-b1ab-b4d51f2d827d
                         253:4    0 953,1G  0 crypt /media/xubuntu/DATEN

Also das Ziel wäre jetzt, die Datenplatte des Ubunturechners wieder plattzumachen, zB mit gParted, und anschließend (warsch. mit Kommandozeile), es hinbekommen, dass die Platte auch zu einer verschlüsselten LVM Volumegruppe, mit einem logischen Volume darin, wird.

Oder bin ich hier auf dem Holzweg? Was wäre hier euer Lösungsansatz?

atmos

(Themenstarter)

Anmeldungsdatum:
1. November 2018

Beiträge: 735

eventuell könnte das hier relevant sein?

https://nerdblog.steinkopf.net/2018/12/verschluesselte-partition-automatisch-mounten/

https://wiki.ubuntuusers.de/Externe_Laufwerke_statisch_einbinden/

https://wiki.ubuntuusers.de/Daten_verschl%C3%BCsseln/#Mit-LUKS-verschluesselte-home-Partition-automatisch-beim-Anmelden-einbinden

Ich bin mir jetzt einfach nicht sicher, ob es bei meiner Konstellation jetzt nur darum geht, die bereits vorhandene und verschlüsselte Platte dauerhaft zu mounten, oder sie nochmal komplett plattzumachen und eine LVM draus zu machen, um sie dann automatisch einzubinden beim Systemstart.

Bearbeitet von ChickenLipsRfun2eat:

Portalregelverstoß korrigiert.

atmos

(Themenstarter)

Anmeldungsdatum:
1. November 2018

Beiträge: 735

san04 schrieb:

Entschlüsseln alle Platten beim Booten nach einmaliger Eingabe des Passworts? Und das ist identisch für beide Container?

sudo lvs
sudo pvs

wäre für mich noch interessant. Die müssten ja völlig unabhängig voneinander sein oder?

Nein, lediglich die Systemplatte wird beim Booten durch Passwortabfrage entschlüsselt. Die andere, nachträglich verschlüsselte leider nicht ☹

xubuntu@xubuntu-XPS-17-9700:~$ sudo lvs
[sudo] Passwort für xubuntu: 
  LV   VG  Attr       LSize   Pool Origin Data%  Meta%  Move Log Cpy%Sync Convert
  home vg0 -wi-ao---- 140,18g                                                    
  root vg0 -wi-ao----  60,00g                                                    
  swap vg0 -wi-ao----  32,00g                                                    
xubuntu@xubuntu-XPS-17-9700:~$ sudo pvs
  PV                          VG  Fmt  Attr PSize   PFree
  /dev/mapper/nvme1n1p3_crypt vg0 lvm2 a--  232,18g    0 

frostschutz

Avatar von frostschutz

Anmeldungsdatum:
18. November 2010

Beiträge: 7790

Du musst es in crypttab (mit der LUKS-UUID) und fstab (mit der Dateisystem-UUID) eintragen, damit es schon beim Booten automatisch eingehängt wird.

Wichtig ist dann auch daß der Mountpunkt existiert, der im /media/user wird ja dynamisch angelegt für dich.

LVM oder nicht spielt da erstmal keine Rolle - kannst du machen aber gibt auch keine Pflicht dazu.

atmos

(Themenstarter)

Anmeldungsdatum:
1. November 2018

Beiträge: 735

vielen Dank für Deine Antwort! Könntest Du mich bitte durch den Prozess begleiten und mir sagen, was ich wo eintragen soll? Ich bin nur noch verunsichert und will nicht das ganze System jetzt wieder zerschießen, das ich mir jetzt mühsam aufgebaut habe....

Antworten |