ubuntuusers.de

Hallo liebe Ubuntugemeinde.

Ich habe mich nun entschlossen Windows, weitestgehend, den Rücken zu kehren. Weitestgehend deshalb, da ich es zum Zocken benötige. Alles andere möchte ich in Zukunft aber ausschliesslich mit Ubuntu/Linux erledigen, da ich mich mit Windows einfach nicht mehr sicher fühle.

Nun habe ich allerdings vorab einige offene Fragen vor der Installation zu klären, um Datenverlust vorzubeugen.

Ich möchte mein System, bis auf die Windows-Partition komplett verschlüsseln.

Folgendes Problem: Es existiert bereits eine mit ext4 formatierte Platte einer testweisen Ubuntu-Installation welche bereits mit reichlich wertvoller Daten persönlicher Natur (Bilder,Musik..) belegt ist welche ich nicht anderweitig sichern kann. Diese Platte ist im Besitz des Hauptbenutzers meiner vorigen ubuntu-"Test"-Installation. Ich weiß dass ich den Besitz mit chown ganz leicht übernehmen kann/könnte. Wie sieht es aber aus wenn ich während der Neuinstallation diese Platte verschlüssele ? Kann ich die Benutzerrechte ggf. nachträglich trotzdem noch ändern oder ist das dann nicht mehr möglich ?

Ich habe mir folgende Vorgehnsweise vorgestellt:

Während der Ubuntu-Installation möchte ich der Platte direkt einen Einhängepunkt zuweisen und diese verschlüsseln. Übernimmt Ubuntu dann auch direkt die Besitzrechte und ich kann nach der Installation auf die Platte zugreifen ? Oder muss ich vorab Vorkehrungen treffen und die Besitzrechte auf Root abändern ?

Ich hoffe ich konnte mein Anliegen verständlich vermitteln 😳

Verschlüsselung kommt VOR dem Schreiben des Dateisystems auf die verschlüsselte Partition, nachträglich verschlüsseln ist also nicht möglich.

Was gehen würde wäre höchstens ecryptfs oder EncFS möglich sein.

Vielen Dank schon mal für die Antwort. Wie sollte ich den jetzt am besten vorgehen ? Erstmal Ubuntu (verschlüsselt)installieren , das vorhandene Laufwerk auslassen und dieses nachträglich verschlüsseln ?

Datensicherung (rsync) der unverschlüsselten Daten (sowieso nötig und geht auch bei den anderen Verfahren nicht anders: die Daten belegen kurzzeitig den doppelten Platz), manuell System verschlüsseln, Daten ins verschlüsselte System zurücksichern.

Es gibt also unter Linux immer mehrere logische Einzelschritte, die aufeinander wie Schichten aufbauen oder miteinander wie Befehle zusammenhängen. Da kann nicht nur an vielen Stellen was schiefgehen, sondern man kann auch nicht einfach nachträglich ohne Platzverbrauch verschlüsseln, muss also alles sichern.

Generelle Ausreden wie kein Platz gelten also nicht, externe Platten kosten 50 € und sind für regelmäßiges Datensichern sowieso unerlässlich. Ansonsten sind die Daten (weiterhin) nicht wichtig, dann kannst du sie beim Neuinstallieren einfach löschen durch Drüberinstallieren. 😉

Ich muss es wohl leider doch aufgeben, ich kriege es absolut nicht hin. Bin seit heute morgen dran.

Folgendes Problem tut sich auf: Ich will im UEFI Modus installieren. Dual Boot mit Windows und Secure boot aktiviert. Dazu habe ich folgendes gemacht:

Efi Partition erstellt mit Boot und ESP flag (laut Anleitung). Dann noch eine Fat32 Partiton fuer Windows (diese wird spater wenn windows isnatlliert wird noch automatisch umformatiert, dient nur der eigenen Uebersicht) Im Anschluss dann das Verschluesselte Laufwerk mit dem retslichen Speicherplatz erstellt. Da ich mit der normalen Installation keine ausreichenden Einstellungen bzgl. LVM vornehmen kann, was jedoch notwendig ist, da ich in dem verschluesselten Container bzw. Laufwerk ja noch die Root und Swap partition unterbringen will, musste ich das ganze via Mini.ISO (15.10 64bit) machen, da ich dort wesentlich mehr Einstellungsmoeglichkeiten habe. Ich boote die Mini.iso also von der gebrannten CD, waehle den UEFI Modus aus. Komme bei der Installation immer nur zu dem Punkt wo GRUB installiert werden SOLL, was aber nicht passiert da die Installation immer an diesem Punkt mit einer Fehlermeldung das Grub nicht installiert werden kann beendet wird. Grub muss ja, so wie ich es verstanden habe, auf die unverschluesselte EFI Partition, oder ? Oder muesste ich innerhalb, also paralel zur root und swap partition innerhalb des verschluesselten laufwerks noch ein extra /boot partition einrichten ? Ich verzweifele hier gerade wirklich....Auf UEFI und secure boot moechte ich wegen Windows nicht verzichten. Waere fuer Loesungsvorschlaege SEHR dankbar.

Das wäre mir neu, dass man UEFI mit dem mini.iso nutzen kann - vgl. Hinweis auf der offiziellen Seite: https://help.ubuntu.com/community/Installation/MinimalCD

Note: While the minimal iso image is handy, it isn't useful for installing on UEFI-based systems that you want to run in UEFI mode. The mini iso lacks the proper files for booting the computer in UEFI mode. Thus, the computer will boot in BIOS compatibility mode, and the installation will be in BIOS mode.

Die Vorgehensweise für die Desktop-CDs ist eigentlich in System verschlüsseln gut beschrieben, ansonsten würde ich mit einer Server-CD statt dem mini.iso arbeiten, damit funktioniert der UEFI-Modus.

seahawk1986 schrieb:

Das wäre mir neu, dass man UEFI mit dem mini.iso nutzen kann - vgl. Hinweis auf der offiziellen Seite: https://help.ubuntu.com/community/Installation/MinimalCD

Note: While the minimal iso image is handy, it isn't useful for installing on UEFI-based systems that you want to run in UEFI mode. The mini iso lacks the proper files for booting the computer in UEFI mode. Thus, the computer will boot in BIOS compatibility mode, and the installation will be in BIOS mode.

Die Vorgehensweise für die Desktop-CDs ist eigentlich in System verschlüsseln gut beschrieben, ansonsten würde ich mit einer Server-CD statt dem mini.iso arbeiten, damit funktioniert der UEFI-Modus.

Die Vorgehensweise ist tats'chlich gut beschrieben, aber eben nur fuer eine normale Installation ohne Dual Boot. Da wird es dann kompliziert. Werde es jetzt mal mit der Server-CD versuchen...Danke fuer den Tip

Da wird gar nichts kompliziert - es liegen eben noch Partitionen für Win rum, die folgendes mit der Linux-Installation und Verschlüsselung zu tun haben: Gar nichts. Du musst dann lediglich nach Ubuntu Installation, Manuelle Partitionierung sowie EFI vorgehen, also die entsprechenden Partitionen beachten. Die EFI-Partition von Win wird mitbenutzt! /boot ist extra unverschlüsselt anzulegen, wie in System verschlüsseln.

Ok, mit der Server CD hat es auch nicht geklappt. Letzter Versuch: Ich werde jetzt Secureboot waehrend der Installation mal testweise austellen um zu gucken ob es daran liegt :/

Benno-007 schrieb:

Da wird gar nichts kompliziert - es liegen eben noch Partitionen für Win rum, die folgendes mit der Linux-Installation und Verschlüsselung zu tun haben: Gar nichts.

Windows und Linux muessen sich aber eine bootplatte teilen, also haben die sehr wohl was miteinander zu tun. Leider. Mit der normalen Installation waere das sicherlich alles kein problem, aber ich kann nun mal halt nicht die ganze platte fuer ubuntu nutzen. sonst koennt ich ja ne gany normale gefuehrte installation machen welche das ganze laufwerk platt macht. geht aber nicht da ich dual boot brauche. Und zwar mit UEFI. Und verschluesselt...

Hab was ergänzt. Du gehst leider planlos vor. Ändere das. Und teile uns mit, was du wie machst: Alles. Exakt.

ok, also ich habe folgendes gemacht:

1. Eine leere Platte vorhanden, neue GPT Partitionsstabelle erstellt. (falsch?)

2. Eine 500MB Partiton fuer den Bootloader via Gparted mit fat32 formatiert und boot und esp flag gesetzt (falsch ? habe dies einer Anleitung entnommen) . Wie ich es verstanden habe soll in diese EFI-Boot-Partition der GRUB2 und der Windows Bootmanager rein. (falsch?)

3. Ich erstelle eine Partition fuer Windows, ebenfalls mit Gparted und formatiere diese mit fat32 (windows wird diese spaeter bei der win-installation in ntfs aendern).

4. Neustart.

5. Ich starte die Installation mittles Server-CD. Dazu waehle ich wahrend des Hochfahrens mit F11 meinen UEFI-USB Stick aus. Setup startet.

6. Ich waehle die manuelle Partitionierung aus.

7. Ich erstelle ein neues Verschluesseltes Laufwerk aus dem restlichen freien Speicherplatz des Laufwerks.

8. Ich erstelle in diesem Laufwerk eine neue LVM Gruppe.

9. In dieser LVM Gruppe erstelle ich eine Partion fuer das System mit dem Einbindepunkt / und eine Partition fuer swap.

10. Das Laufwerk welches ich unter Punkt 2. erstellt habe waehle ich "als Efi-Startpartiton verwende"

Die Installation startet bis zu dem Punkt wo Grub installiert/konfiguriert werden soll. Ich habe es so verstanden dass dieser sich in die erste Partion (s.o. bei Punk 2) installiert.

Liegt der Fehler darin dass ich ausserhalb des Verschluesselten Laufwerks noch eine extra /boot Partition erstellen muss ? Dafuer habe ich ja eigentlich die Partiton unter Punkt 2. erstellt ?! Ich hoffe du kannst mir zeigen wo der Wurm liegt und ich habe mich diesmal etwas besser erklaert :/

Im Anhang noch die Fehlermeldung...

Und nachträglich Willkommen!

Auf dem Handy sieht man die Beitragsanzahl und das Datum nicht. 😉 Hab gerade schon angefangen zu tippen, als mir ein Freund EFI-Hinweise schickte und habe wegen deinem Thema auch gleich mal das Wiki erweitert - zumindest den Vorschlag eingereicht: 8152698.

Auf geht's: Bis 4. keine gravierenden Fehler beim ersten Lesen gesehn, aber hast du mal meine Links geschaut, die ich im Post weiter oben nachträglich einfügte, wie erwähnt? Die Partitionierung macht man im Installer, wie in allen Artikeln deutlich wird. Und /boot bekommt natürlich dann ext4.

Ob es wirklich die Server-CD sein muss oder die Alternate-CD darf... - ok, die Server-CD wird im Artikel Minimalinstallation sogar auch empfohlen. Wenn du mal wieder was durchnummerierst, lasse doch mal eine Leerzeile dazwischen, damit die Nummern auch am Zeilenanfang stehenbleiben.

11. Irgendwelche Flags etc. sind überflüssig und schaden für die EFI-Partition eher - teile dem Installer mit, dass das die EFI-Partition sein soll. Wie das in der Server-CD aussieht, weiß ich jetzt nicht, aber du oder seahawk1986 können dazu sicherlich was beitragen. Ich verwende zur Verschlüsselung ja die grafische Variante.

Die Installation startet bis zu dem Punkt wo Grub installiert/konfiguriert werden soll. Ich habe es so verstanden dass dieser sich in die erste Partion (s.o. bei Punk 2) installiert.

Nein: 1. /boot und EFI sind zwei verschiedene Partitionen - und es darf nur EINE EFI-Partition geben und die gibt es bereits von Win. Diese darf nicht formatiert/ gelöscht werden, aber muss dem Installer an der entsprechenden Stelle in irgendeiner Form (der richtigen, wie das Menü das eben anbietet) als EFI mitgeteilt werden.

Liegt der Fehler darin dass ich ausserhalb des Verschluesselten Laufwerks noch eine extra /boot Partition erstellen muss ?

Genau. 👍 Dort kommt nämlich Grub und die Kernel rein. Kleiner Tipp: Wenn du auch paar Wochen oder Monate Systempflege (autoremove) vergessen dürfen willst, mach die Partition ruhig etwas größer. Wenn es dein eigener PC ist, mögen 500 MB reichen, aber wenn man wo nur alle paar Monate vorbeikommt, reicht das schon nicht mehr, dann wäre 1 GB besser.

In EFI liegen nur die wichtigsten Dateien, für eine Stufe vor Grub, für Secure Boot usw. - sie sind später unter /boot/efi/EFI (!) zu finden. Lass dich davon nicht verwirren, es gilt das gesagte zu /boot- und EFI-Partition - das fummelt sich dann das System selbst zu /boot/efi/EFI zusammen.

Grüße, Benno

Vielen Dank für deine Hilfe Benno ! Ich werde es gleich mal probieren. Das Problem mit der grafischen Installation ist halt dass man nicht so viele Optionen zur Verfügung hat. So habe ich es ja auch hinbekommen, aber dann ging kein Dualboot. Naja, ich werde es mal so versuchen wie du es geschrieben hast ☺ . Ich habe jetzt gerade Windows installiert und werde im Anschluss mal Ubuntu paralell versuchen wie es ja auch im WIKI zum Thema Dualboot vorgeschalgen wird: Erst Windows, dann Ubuntu 😉

Bis Später 😀

Die Reihenfolge ist bei EFI egal. Es gibt alle Optionen zur Partitionierung auch grafisch - nur LUKS und LVM muss man eben im Terminal parallel zum Installer vorbereiten, wozu es ja den Artikel gibt. Dass da kein Win oder Dualboot erwähnt wird, heißt ja nicht, dass da keine Win- und EFI-Partition rumliegen darf! Und da gibt es auch nix zu beachten, ansonsten müsste man eben die Hinweise aus Dualboot auch noch mit bedenken und vorbereiten.

Mir fällt übrigens gerade ein, dass zumindest im grafischen Installer eine bereits vorhandene EFI-Partition eigentlich automatisch als solche erkannt und benutzt wird. Aber sie müsste ja auch mit aufgelistet werden und entsprechend benannt sein. Kontrolliere das also zumindest.

Edit: Also auch in der Server-Variante kontrollieren, was du ja nun als Weg für dich gefunden hast.