Notebook installation: Partitionierung SSD / HDD und LUKS

[ericbb]

Hallo,

ich habe ein neues notebook (i7 Prozessor). Ich habe 3 Fragen bevor ich drauflosbastel:

a) welche version von debian istalliere ich (amd64??)
b) ich habe 32 GB SSD + 512 HDD (und 8GB memory). Wie partitioniere ich intelligent? Meine Idee:
SSD: /boot 512 MB
/ 23 GB
/root/ 512MB
/usr rest: 7 GB
HDD /var 5G
/swap 16GB (2*mem)
/lib 1G
/home rest

Am liebsten wuerde ich diese "Fragmentierung" sparen aber ich weiss nicht wie. Die Idee ist moeglichst wenig schreiboperation auf SSD zu haben, und beim booten schnell lesen zu koennen. Gibt es bessere Loesungen?

c) LUKS: kann man ein "master" passwort fuer alle partitionen verwenden?

Vielen Dank, Eric

[Lord_Carlos]

Ja, amd64 ist richtig.

Moderne SSD halten laenger als normale HDDs, von daher sehe ich da kein sinn da drin das alle so umstaendlich aufzuteilen. Was man machen kann ist ~10% unpartitoniert lassen, sollten dann Zellen kaputt gehen findet die SSD das selber heraus und hat so freie Zellen um die Daten umzulagern.

/home hat ja auch viele kleine configs und Einstellungen fuer Programme (z.B. Browser history?) Das wuerde ich ggf auch auf die SSD packen. Problem wird der Freie Speicherplatz sein. Muss man sich gut ueberlegen.
Alternative zum Schnellen booten ist standby, da ist der Rechner mit Debian Testing in unter einer Sekunde bereit.

swap wird ja immer gerne diskutiert, aber ich glaube memorey*2 ist ein Relikt aus alten Zeiten, ich habe hier auch 8gb ram und meine ~4gb swap werden so gut wie nie benutzt. Meist nur wenige megabyte. Wuerde ich auch auf die SSD packen, swap soll ja schnell sein.

Verschluesselung:
Wuerde ich nicht verschluesseln, wuerde ich nur eine petition haben Jetzt habe ich zwei: /home und rest.
Die frage ist, warum willst du verschluesseln? Private daten (Bilder, PW etc) wenn der Rechner mal verloeren geht? Ich habe bei mir deswegen nur /home verschluesselt. ich sehe momentan nicht das jemand meine / daten mutwillig auslesen will. Vielleicht langt dir das auch. Auf deine Spezifische Luks frage kann ich leider nicht antworten.

[Rawbit]

Hi man kann eine Partition für den Luksschlüssel anlegen die als erstes entsperrt wird Alle anderen Partitionen werden dann mit diesem Masterschlüssel entsperrt.



Gruss Rawbit

[novalix]

Hi,

amd64 ist der sehr wahrscheinlich der richtige Flavour.
Seperate /boot ist für Vollverschlüsselung mit LUKS zwingend notwendig. Der ganze Rest ist optional.
Unser aller Lieblings-Init-System der Zukunft kommt mit einer seperaten /usr nicht richtig klar
Wäre für eine Laptop-Installation aber auch bis auf die Möglichkeit des ro-mounts als Sicherheitsmaßnahme nicht besonders vorteilhaft.
Außerdem solltest Du /usr auf jeden Fall auf der SSD haben, wenn Du schnelle Startzeiten von Programmen anstrebst.
/lib und /root auf eigenen Partitionen ist weitesgehend unsinnig.
Die Swap-Partition muß bei so viel Ram nicht mehr so groß sein. Sehr wahrscheinlich wirst Dein Rechner nie in die Verlegenheit kommen, überhaupt auf die Festplatte swappen zu müssen. Imho sollte 1GB locker reichen. Wenn Du beabsichtigst regelmäßig suspend-to-disk zu nutzen, bietet sich wiederum die SSD für die Swap-Partition an -> schneller Start.
Der Debian-Installer bietet Dir eine geführte Vollverschlüsselung mit seperatem /home an. Wenn Du keine Rücksicht auf eventuell schon vorhandene Installationen oder Daten auf Deiner Festplatte nehmen musst, kannst Du diese Partitionierung vom Installer vornehmen lassen und diese dann als Grundlage für eine anshließende manuelle Partitionierung her nehmen.
Der Installer benutzt dabei verschlüsselte Logical Volumes. Das halte ich für den empfehlenswerten Weg.
Die Entschlüsselung aller Partitionen bzw. LVs geschieht dann über die Eingabe der Master-Passphrase beim boot.

/boot, / und ggf. swap auf die SSD
/var und /home auf die HDD

Groetjes, niels

[ericbb]

Danke an euch beide.

Die Bemerkung ueber die Haltbarkeit ist beruhigend. Wenn ich mein aktuelles jessie ansehe habe ich ein system von nur 7-8 GB.
Das legt nahe, debian auf SSD zu tun, swap auf HDD und home auf HDD.

"Masterschluessel" : wenn ich das richtig sehe, muss ich ein keyfile erzeugen das fuer alle partitionen gilt und dieses sichern (GPG, LUKS, etc?)
Wie geht der Installationsprozess? Der Standard netinstall sieht das nicht vor )


Dank, Eric

[ericbb]

Hoi Niels,

danke fuer die ausfuehrliche Antwort. Den "Sinn" des LVM hatte ich nicht verstanden ...
ist es also wie folgt: Wenn die volle installation auf SSD kommt und swap + home
auf HDD , dann sorgt der LVM dafuer dass ich nur ein passwort brauche?

Ich denke wenn ich /boot auf einen usb-stick auslagere, aendert das im Prinzip wenig am vorgesagten?

Dank je wel, Eric

[novalix]

Ob statische Partitionen oder LVs ist für die Verschlüsselung selber im Prinzip egal. LVs sind einfacher und flexibler.
Mit seperater /boot meinte ich nicht diese auf ein externes Laufwerk aus zu lagern. Kannst Du natürlich machen. Ist aber nur in den seltensten Fällen empfehlenswert.
Die /boot kann halt nicht verschlüsselt werden und muss deshalb auf einer eigenen Partition bleiben.
Wenn Du ein verschlüsseltes System installierst, fragt der Installer eine Master-Passphrase von Dir ab. Mit dieser wird zunächst die root-Partition entsperrt und in der Folge die zusätzlichen Partitionen, deren Keys von dieser Passphrase abgeleitet werden.
Diesen Aufbau erledigt der Installer für Dich. Früher musste man das noch alles händisch mit iirc "cryptsetup luksDerivedKey" aufsetzen.

Zu @LordCarlos Anmerkung:
In meinen Augen spricht gar nichts dagegen ein Laptop von vorne herein voll zu verschlüsseln. Der minimal höhere Rechenbedarf spielt praktisch überhaupt keine Rolle. Der Gewinn in Bezug auf Sicherheit und Privacy ist deutlich.

[Lord_Carlos]

Der Gewinn in Bezug auf Sicherheit und Privacy ist deutlich.

Ist es?
Um jetzt an meine /home daten zu kommen muessen sie mir vorher verdeckt den Rechner wegnehmen und /root manipulieren damit sie ein software keylogger installieren koennen.
Wenn ich voll verschluessle muessen sie /boot manupulieren oder ein hardware keylogger installieren.

Irgendwie denke ich wenn ich in der Situation bin habe ich schon verkackt. Da reicht es mir wenn meine privaten daten von /home sicher sind vor dem zufaellig Laptop Diebstahl.

Oder meinst du was anders?

[novalix]

Ich meine natürlich die Pr0nsammlung unter /etc.
Im Ernst: Wenn jemand Deine /var, /etc, /lib und /usr auslesen oder gar manipulieren kann, ist das in verschiedenen Situationen durchaus ein Verlust von Privacy bzw. ein Sicheheitsrisiko.
Die Angriffsvektoren auf die /boot sind dagegen deutlich eingeschränkter. Das reine Auslesen der Daten unter /boot bringt niemandem wirklichen Aufschluss über Deine Aktivitäten. Bei /var/log/* sieht das anders aus.

Groetjes, niels

[ericbb]

Hallo nochmals,

vielen Dank fuer die vielen Hinweise. Eine Randbemerkung zur Zwischendiskussion: meine Frage war *wie* ich eine gewisse Installation ausfuehre.
Wenn mein Ziel grob falsch waere, waere jede Kritik erwuenscht und hilfreich. Im Gegenzug ist es aber nicht hilfreich, mir von einer Installationsweise
abzuraten (hier vollverschluesselung) wenn ich meine Gruende (ob berechtigt oder nicht) habe, sie zu wollen.

OK zurueck zum Thema. Ich hatte mit der Installation (Reihenfolge von crypto und LVM ..) so meine Probleme. Ich habe
schliesslich die 32 GB SSD wie folgt partitioniert:
20 GB /root,
4 GB /swap und
5 GB home (3 bleiben frei)
- im 2. Schritt wollte ich nachtraeglich die HDD in /home integrieren, wozu gibt es schlieslich LVM?? Also

Code: Alles auswählen

telinit 1
umount /home
vgextend vg /dev/sda1
lvextend -L+499G /dev/vg/home 

So weit so gut, formal ist lv-home jetzt sehr gross.
Problem: ich konnte dann "den rest" nicht ausfuehern. Geplant war

Code: Alles auswählen

cryptsetup luksOpen /dev/vg/home  mytempdevice
cryptsetup --verbose resize mytempdevice
e2fsck -f /dev/mapper/mytempdevice
resize2fs /dev/mapper/mytempdevice

aber der erste Schritt gibt:

Code: Alles auswählen

/dev/vg/home is not a valid LUKS device. 

Kann mir bitte jemand erklaeren was ich da falsch mache, bzw wie es richtig waere?

Danke, Eric

P.S: ich kann noch booten )

[ericbb]

Nachtrag: Aie! die in den LVM eingefuegte Festplatte ist nicht verschluesselt, fuerchte ich:

Code: Alles auswählen

lsblk
NAME           MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda              8:0    0 465.8G  0 disk  
└─sda1        8:1    0 465.8G  0 part  
  └─vg-home    254:2    0 469.7G  0 lvm   /home
sdb              8:16   0  29.8G  0 disk  
├─sdb1           8:17   0     1K  0 part  
└─sdb5           8:21   0    27G  0 part  
  └─sdb5_crypt 254:0    0    27G  0 crypt 
    ├─vg-root  254:1    0  18.6G  0 lvm   /
    ├─vg-home  254:2    0 469.7G  0 lvm   /home
    └─vg-swap  254:3    0   3.7G  0 lvm   [SWAP]

Meine Frage ist vor allem die Reihenfolge (die schnipppel der einzelnen schritte findet man ueberall): stimmt es so?
a) /dev/sda1 aus dem LVM wieder raus
b) /dev/sda1 mit cryptsetup& derived key aufsetzen (und zus. sicherheitsschluessel)
c) dann wieder rein in den LVM & filesystem resizen?


Danke, Eric