ubuntuusers.de

Hallo Linuxer,

was habe ich zu beachten wenn ich ein verschlüseltes UEFI LVM Multibootsystem mit Windows und Linux einrichten möchte? Mit LVM und Verschlüsselung hatte ich bisher nichts zu tun.

Ist mein Vorhaben realisierbar?

Greetz

undine

Ich bin auch erst seit einigen Wochen dabei, aber wäre es nicht das selbe wie in meinem Thread https://media-cdn.ubuntu-de.org/forum/attachments/06/17/8231173-crypto.PNG . Der einzige Unterschied würde darin bestehen, dass du noch eine EFI sowie NTFS (Windows) dazu erstellen musst und eben deine größe anpassen.

Hallo Miokie,

Du verwendest eine VM, ich möchte "echte" Hardware verwenden.

Der einzige Unterschied würde darin bestehen, dass du noch eine EFI sowie NTFS (Windows) dazu erstellen musst und eben deine größe anpassen.

Für mich ist das nicht trivial, ich finde das heftig. Mal so eben ist das nicht.

Zudem schreibst Du in deinem Posting:

https://forum.ubuntuusers.de/topic/verschluesselung-meines-systems/

Hallo, ja das Thema wurde daher auf gelöst gesetzt.

Kapern wollte ich den Thread nicht, das ist hier nicht erwünscht.

Dein Thread bezieht sich auch nicht auf ein Windows Linux Multibootsystem, zu der UEFI Problematik habe ich dort auch nichts gelesen. Du verwendest zudem eine Kombination aus HDD und SSD, das verkompliziert. Das sind für mich zu viele Prolbeme auf einmal. Mit Verschlüsselung und LVM habe ich keine Erfahrung.

Greetz

undine

Also für mich macht das keinen Unterschied ob die Schritte zu erst in einer VM durchgeführt werden, da ich ja auch das ganze nun Live umgesetzt habe. Ich würde ganz einfach Windows installieren und danach anhand Linux eine Boot erstellen sowie eine LVM und Verschlüsselung. Danach die LVM sowie Verschlüsselung konfigurieren und Linux installieren fertig. Wie gesagt ich bin selbst Anfänger aber das sollte so funktionieren. Dein Windows musst du dann aber noch extra verschlüsseln....

Hallo Miokie,

wie simulierst Du in Virtualbox dein UEFI Bios?

Greetz

undine

undine schrieb:

Hallo Miokie,

wie simulierst Du in Virtualbox dein UEFI Bios?

Greetz

undine

Überhaupt nicht, ich hab das ganze einfach ohne EFI in einer VM installiert und danach auf meinem Livesystem mit EFI.

Hallo, jetzt gefunden:

Virtualbox –- System –- EFI aktivieren (nur spezielle Gäste)

Die Option kannte ich bisher nicht.

Hallo undine, Du hast Recht, das ist nicht trivial. Es gibt verschiedene Punkte im Voraus zu bedenken:

• Windows-, EFI-, und Boot-Partition dürfen nicht auf einem verschlüsselten Laufwerk liegen

• Windows kann nicht auf LUKS-verschlüsselte Container zugreifen.

• Die EFI-Partition muss zwingend eine FAT-Partition sein (ob FAT16 oder FAT32 liegt bei Dir, aber FAT32 ist im Normalfall vorzuziehen.

  • Der Windows-Bootlader beansprucht ca. 20-30 MB auf der EFI-Partition. Soweit ich dies bisher mitbekommen habe, ist dabei unerheblich ob ein oder mehrere Windows-Versionen damit gestartet werden - das wird offenbar immer über einen Entrag im NVRam bzw. einen Unterordner auf der EFI-Partition erledigt.

  • Linux-Bootlader belegen auf der EFI-Partition ca. 3-5 MB

  • mit 100 MB sollte also eine EFI-Partition angemessen partitioniert sein.

• Die Boot-Partition wird vom Installer mit ca 200 MB bemessen. Wenn man regelmäßig Systempflege betreibt, genügt dies. Sobald man aber z.B. 2 verschiedene Kernelversionen gleichzeitig installiert hat (z.b unter 14.04 den 3.13er und den 3.19er aus den LTS Enablement Stacks) oder wenn man nicht ganz so regelmäßig aufräumt, kann es sinnvoll sein eher 500 MB für Boot einzuplanen. (Ich habe mir das Skript zum entfernen alter Kernel nach $HOME/bin gelegt, um es immer parat zu haben)

  • Wenn man nicht nur eine Ubuntu-Version, sondern mehrere installieren möchte, muss man bedenken, dass jede Installation ihre eigenen Boot-Partition benötigt. Dafür muss man also vorher Platz reservieren, außerhalb des verschlüsselten Bereichs.

• Wenn man ein gemeinsames Datenlaufwerk für Windows und Linux erstellen möchte, so muss man überlegen, ob dies unverschlüsselt sein darf, oder ob man auf eine OS-übergreifende Lösung zurückgreift, wie bspw. truecrypt oder veracrypt. Auf jeden Fall muss dieses Laufwerk ebenfalls außerhalb des mit LUKS verschlüsselten Bereichs liegen. Stattdessen kann man Daten, auf die man unter Windows zugreifen möchte, jeweils von Linux auf die Windows-Partition kopieren. Der Zugriff ist ja inzwischen in diese Richtung problemlos möglich.

• Das Prinzip der Verschlüsselung mit LVM ist folgendes: Man erstellt eine Partition mit dem gesamten zu verschlüsselnden Bereich und erstellt hierin einen LUKS-Container. Diesen Luks-Container öffnet man und statt dort ein Dateisystem anzulegen erstellt man hierin ein LVM. Innerhalb dieses LVM erstellt man für alle benötigten Partitionen jeweils ein logisches Laufwerk, also für /, home, swap usw. Auf diese Weise muss man sich keine Gedanken darüber machen, ob die Swap-Datei auch korrekt verschlüsselt ist etc, da ja der gesamte Bereich in dem verschlüsselten LUKS-Container liegt.

Wenn man jetzt noch ein wenig mit dem manuellen Erstellen und Ändern von LUKS und LVM herumprobiert, kann eigentlich gar nichts mehr schief gehen. Ach so, wenn man will, kann man für die Boot-Partitionen auch ein LVM außerhalb des LUKS-Containers verwenden, denn LVMs werden bereits von Grub erkannt und gelesen.

undine schrieb:

Hallo, jetzt gefunden:

Virtualbox –- System –- EFI aktivieren (nur spezielle Gäste)

Die Option kannte ich bisher nicht.

Mir ist es bisher nicht gelungen, ein Multibootsystem mit EFI in Virtualbox zu installieren. Ich habe aber auch nicht lange probiert, nachdem das nicht auf anhieb funktionierte.

Hallo an Alle - es gibt da ein kleines Problem

• Ubuntu verschlüsseln kann der Installer nur ganze Festplatte

  • das stellt bei zwei internen HD's kein Problem dar

• Windows kann man partitiell verschlüsseln

  • wichtig bei Dualboot auf der gleichen HD

Wir habe uns mal Gedanken dazu gemacht und entsprechende Versuche mit einem UEFI-Rechner durchgeführt - es geht hierbei auch auf einer HD - nur eben etwas komplexer.

Wie schon oben erwähnt muss die

• EFI-Partition unverschlüsselt vorliegen

  • ist die Regel, das kann auch unter Windows so eingerichtet werden

Das ist eigentlich schon fast alles, was bei einer einzelnen HD beachtet werden muss:

• Unter Windows ausreichend Platz schaffen

• Verschlüsselte Installation von Ubuntu

  • System verschlüsseln/Alternate Installation

  • EFI USB-Stick → Verschlüsselt installieren

Nun macht was draus - gruß syscon-hh

Hallo Sycon-HH,

welche Lösung schlägst Du für eine Datenaustauschpartition Window-Linux vor?

Windows kann man partiell verschlüsseln

Meinst Du eine Lösung mit Bitlocker von Windows?

Sind noch Besonderheiten bezüglich der LVM Partitionierung zu beachten?

https://wiki.ubuntuusers.de/System_verschl%C3%BCsseln/Alternate_Installation/

Vorbereitungen Als Vorbereitung lädt man sich ein alternate.iso (zur Zeit nur noch für Lubuntu verfügbar) oder ein mini.iso herunter und bringt dieses ISO auf eine CD bzw. auf einen USB-Stick.

Warum sind die alternate.iso jetzt nicht mehr für jeden Dekstop verfügbar? Gibt es einen Grund dafür? Warum wurde gerade Lubuntu 16.04 LTS für die Möglichkeit einer Alternate-Installation ausgewählt?

Greetz

undine

Edit:

Das Wiki für mini.iso ist nicht aktuell, der aktuelle Link für xenial 16.04 mini.iso:

http://de.archive.ubuntu.com/ubuntu/dists/xenial/main/installer-amd64/current/images/netboot/

undine schrieb:

welche Lösung schlägst Du für eine Datenaustauschpartition Window-Linux vor?

Wenn beide Systeme verschlüsselt sind ist ein Datenaustausch nicht mehr möglich - das wäre ja auch widersinnig und eine Einladung zum (externen) Datenklau.

Dazu müsste man eine Partition außerhalb der Verschlüsselung anlegen - was prinzipiell mit der verlinkten Methode machbar ist - nur sehe ich dann keinen Sinn mehr in einer Verschlüsselung.

Dann sollte man besser einen externen, verschlüsselten Datenträger verwenden. Eine USB-Platte kann man so verschlüsseln, dass sowohl Ubuntu als auch Windows diese beim Einstecken aufschließen und darauf zugreifen können.

Windows kann man partiell verschlüsseln

Meinst Du eine Lösung mit Bitlocker von Windows?

Ja - aber siehe oben, dann kann man nur von Windows auf diese Partitionen zugreifen.

Ich habe die Mini.iso verwendet, mir würde jetzt Trucrypt einfallen um eine Datenplate unter Windows und Linux zu nutzen, aber das wurde ja eingestellt.....

syscon-hh schrieb:

Wenn beide Systeme verschlüsselt sind ist ein Datenaustausch nicht mehr möglich - das wäre ja auch widersinnig und eine Einladung zum (externen) Datenklau.

Das ist so nicht ganz richtig. Es gibt die theoretische Möglichkeit, auf einer Platte mit MBR ein Windows 7 auf eine Partition, also einen Teil der Festplatte, im Leagcy-Modus zu installieren, und das System mit truecrypt zu verschlüsseln. Anschließend kann man auf dem übrigen Teil der Platte ein Ubuntu im EFI-Modus installieren, diese Installation kann man manuell verschlüsselt durchführen. Um Windows zu starten muss man dann den Rechner in den Legacy Modus umschalten, um Ubuntu zu starten muss man in den UEFI-Modus zurückschalten. Wenn Ubuntu läuft, kann man mittels eines installierten Trucrypt die verschlüsselte Windows-Partition ebenfalls ins Dateisystem einbinden, so man denn die Passphrase kennt, und eben auch schreibend auf die Windows-Partition zugreifen.

Und ganz theoretisch ist diese Möglichkeit nicht, weil ich das auf meinem Lenovo Thinkpad-Edge genau so realisiert habe. Allerdings ist das keine massentaugliche Lösung, weshalb ich es eben eher als theoretisch bzw. proof of concept verstanden wissen möchte.

Miokie schrieb:

Ich habe die Mini.iso verwendet, mir würde jetzt Trucrypt einfallen um eine Datenplate unter Windows und Linux zu nutzen, aber das wurde ja eingestellt.....

Die letzte voll funktionsfähige Windows-Version kann man bei Heise nach wie vor herunterladen, für Ubuntu gibt es noch immer ein funktionierendes PPA.