[gelöst] Verschlüsselte Installation mit 2 HDDs

[Boggle]

Hallo zusammen,
dies ist mein erster Post hier im Forum :- ) Nachdem ich mir im letzten halben Jahr ein paar Distributionen und unterschiedliche DEs angeschaut habe, habe ich mich nun für Debian für mein Thinkpad x230 entschieden.

Verbaut sind eine 120 GB SSD und ein 320 GB HDD.
Beide Laufwerke sollen für den Fall eines Diebstahls verschlüsselt sein.
Root, Swap und Home sollen auf die SSD.
Die HDD soll als reines Datengrab für Multimediadateien dienen.
Ich möchte beim booten einmal ein Passwort eingeben, um beide Laufwerke zu entschlüsseln.

Bei meinen bisherigen Testinstallationen hatte ich nie eine zweite Festplatte verbaut.
Könntet ihr mir bitte erklären, wie ich meine Wunschkonfiguration hin bekomme?
Danke.

[NAB]

Da dein Datengrab zum Booten nicht notwendig ist, ist die Sache recht einfach.

Du legst dir eine ganz normale verschlüsselte Installation auf die SSD. Wenn du dich mit dem "manual partitioner" des Debian Installers auskennst, kannst du auf der HDD auch gleich eine verschlüsselte Partition anlegen und die als z.B. /daten einbinden ... andernfalls kannst du das auch in Ruhe nach der Installation machen.

Da du nur ein Passwort eingeben willst, muss das zweite Passwort im verschlüsselten Container der SSD in eine Datei gespeichert werden ... das nennt man dann "keyfile".

Über die /etc/crypttab kannst du dem System dann beibringen, die HDD mit diesem Keyfile beim Booten zu entschlüsseln.

Danach brauchst du noch einen Link aus deinem Home-Verzeichnis nach /daten und musst die Berechtigungen setzen, dass du da auch lesen und schreiben darfst ... und die Sache ist fertig

[mistersixt]

Siehe vielleicht auch Punkt 4.2.13.5 im Debian Handbuch, da steht es quasi nochmal so beschrieben wie von NAB (also direkt innerhalb des Installers erstellen).

[Boggle]

Danke für die Hilfe zur Selbsthilfe

Mit dem Installer habe ich bisher nur wenig Erfahrung, bei meinen Testinstallationen konnte ich eigentlich immer stumpf auf "Weiter" klicken.

Ich habe mithilfe von dieser Anleitung eine manuelle Partitionierung und verschlüsselung der SSD versucht, bin am Ende aber gescheitert, weil im verlinkten Beispiel nur eine root Partition, aber kein Home und Swap angelegt werden.

Laut Debian Handbook 4.2.13 soll ich dann das erstellte, verschlüsselte Volume wie jede andere Partition einfach nach Bedarf partitionieren.

Once this step has been completed, and you have returned to the partitioning tool menu, a new partition will be available in an “encrypted volume”, which you can then configure just like any other partition. In most cases, this partition is used as a physical volume for LVM so as to protect several partitions (LVM logical volumes) with the same encryption key, including the swap partition (see sidebar SICHERHEIT Verschlüsselte Swap-Partition).

Aber hier komme ich nicht mehr klar. Kann jemand mit anfängerfreundlichen Worten weiter helfen? Oder kann jemand einen Link zu einer passenderen Anleitung da lassen, gern auch bebildert

Danke.

[NAB]

soll ich dann das erstellte, verschlüsselte Volume wie jede andere Partition einfach nach Bedarf partitionieren.

"Partitionieren" trifft es hier nicht ganz. Du willst in dem verschlüsselten Volume eine "Volume Group" erstellen, die so groß ist wie das gesamte verschlüsselte Volume. Innerhalb dieser Volume Group willst du dann drei "Logical Volumes" erstellen - für root, home, und swap.

Such mal in deiner Anleitung nach "unterhalb des verschlüsselten Volumen".

Da hat er das verschlüsselte Volume anscheinend schon zum formatieren (f) mit ext4 ausgewählt. Das willst du gar nicht. Statt dessen willst du zum nächsten Schritt des Partitionierers übergehen - "Logical Volume Manager konfigurieren". Dann wird er erst mal wieder die bisherigen Änderungen auf die Platte schreiben wollen ... und dann kannst du oben erwähnte Volume Group und die Logical Volumes anlegen. Zwei dieser Logial Volumes willst du mit ext4 formatieren und als root und /home verwenden. Das dritte für Swap.

Du kannst übrigens im Partitionierer auch gleich deine HDD vorbereiten - die muss:
1) Partitioniert werden
2) in diese Partition muss ein verschlüsselter Container
3) diesen verschlüsselten Container willst du mit ext4 formatieren und den Einhängepunkt /daten benutzen.

Ein LVM kannst du dir hier sparen. Dass wäre dann genau das gleiche Vorgehen wie in deiner Anleitung.

[Boggle]

Danke NAB,
habe die Installation vor allem dank deiner Ausführungen so hinbekommen wie ich mir das vorgestellt habe.

Was jetzt noch fehlt ist das automatische entschlüsseln der HDD. Momentan muss ich beim Systemstart mein Passwort noch zweimal eingeben.

Wenn ich was ich bisher gelesen habe richtig verstanden habe, muss ich ein Keyfile anlegen und dieses in der /etc/crypttab hinterlegen, richtig?
Das Passwort wird nicht im Klartext in der /etc/crypttab eingetragen, oder?

[NAB]

Ja, richtig. In deiner /etc/crypttab haben Passwörter nichts zu suchen, da jeder die Datei lesen kann.

Du verwendest jetzt "cryptsetup" mit der "Luks"-Erweiterung. Luks sorgt für so hilfreiche Sachen wie das automatische erkennen der richtigen Verschlüsselungsparameter und außerdem können mehrere Passwörter hinterlegt werden, in sogenannten "KeySlots". Dein jetziges Passwort belegt einen KeySlot.

Ich würde dir raten, ein Keyfile zu erstellen, aus 512 Byte unhandlicher Zufallszahlen. Dieses Keyfile darf nur root lesen können und sonst niemand. Dieses Keyfile fügst du als zweite Möglichkeit, deine HDD entschlüsseln zu können, dem Container hinzu, dann sind zwei KeySlots belegt.

Danach trägst du das Keyfile in die /etc/crypttab ein, mit komplettem Pfad. Dann wird die HDD beim Booten automatisch entschlüsselt, aber in Notfällen kommst du immer noch mit deinem Passwort dran.

[Boggle]

Danke für die Hilfe.