Neuinstallation und Verschlüsselung

[rhHeini]

So wie ich den Installer kenne wird der bei verschlüsseltem / und /home anmeckern das /swap nicht verschlüsselt ist, es geht nicht weiter.

Mach ein /boot ohne Verschlüsselung, dann ein Volume für Verschlüsselung als neue Partition, egal ob normal oder extended, nur gross genug. Default-Einstellungen. Darin dann ein LVM für /, home, swap. Du brauchst nur einen Schlüssel, dann ist das System arbeitsfähig.

Bei Bedarf: automatische Entschlüsselung über Keyfile auf USB-Stick oder ähnlich.

Ich setze inzwischen aufgrund der gesellschaflichen Randbedingungen jeden Rechner nur noch verschlüsselt auf.

Gruss, rolf

[wanne]

Unter Berücksichtigung meiner Risikobetrachtung vertretbar als Kompromiss und besser wie nix?

Kurz: Beschissen.
Dank unverschlüsseltem SWAP deutlich unsicherer als alle hier vorgeschlagenen Varianten bei maximaler Umständlichkeit: Du brauchst eine Neuinstallation und musst dich mit LVM auseinandersetzen.
Wie gesagt: SWAP und /tmp enthalten mit Abstand die sensibelsten Informationen und sind dabei am einfachsten abzusichern.
/ enthält dagegen kaum sensible Infos, verursacht aber die meisten Probleme beim Verschlüsseln (Einfach nur durch Neuinstallation umzusetzen und die größten Performanceeinbußen).

Es gilt die Reihenfolge:
===> schwieriger Abzusichern ====>
/tmp <-> SWAP <-> /home,/opt,/var <-> /
<=== mehr Sicherheitsgewinn <====

[Celica]

OK, noch ist nicht`s passiert und ich kann ohne Probleme neu installieren, was ich ohne hin machen möchte.

"/boot" unverschlüsselt, ext4, 300MB
"/" + "/home" + "SWAP" als LVM mit LUKS (AES) durch den Debian Installer.

Damit hätte ich alle sensiblen Bereiche, außer "/boot" verschlüsselt.
Einmal beim Booten ein Passwort eingeben und alles wird freigegeben, richtig?

Wie ist die Performanceeinbuße bei dieser Konstellation einzuschätzen mit einer SSD und dem T440 (Schätzung)?
Wie sieht das mit Suspend aus? Funktioniert das dann?

Ich denke das ich weiß warum ich bei meiner ersten Installation nicht verschlüsseln konnte: Ich hatte SWAP nicht verschlüsselt und das hat der Installer nicht gemacht.
Kann das angehen?

Geführte Installation geht glaube ich wegen der "/boot" nicht, oder habe ich das falsch in Erinnerung?
Möchte halt keinen Fehler beim Partitionieren machen um hinterher wieder festzustellen, dass ich etwas falsch gemacht habe.
Wenn ich verschlüssel, wann bei der Installation muss ich das Passwort eingeben?

Das Debian Handbuch finde ich an dieser Stelle nicht so detailliert, wobei es ansonsten super ist.
Gibt es eine bessere Anleitung die diese Stelle detaillierter beschreibt?

[tobo]

Einmal beim Booten ein Passwort eingeben und alles wird freigegeben, richtig?

Ja.

Wie ist die Performanceeinbuße bei dieser Konstellation einzuschätzen mit einer SSD und dem T440 (Schätzung)?

Meiner Meinung nach irrelevant niedrig.

Wie sieht das mit Suspend aus? Funktioniert das dann?

Es spricht nichts dagegen.

Ich denke das ich weiß warum ich bei meiner ersten Installation nicht verschlüsseln konnte: Ich hatte SWAP nicht verschlüsselt und das hat der Installer nicht gemacht.
Kann das angehen?

Kann gut sein, wurde hier ja auch schon genannt.

Geführte Installation geht glaube ich wegen der "/boot" nicht, oder habe ich das falsch in Erinnerung?

Ja.
https://linux-gefaellt-mir.blogspot.com ... linux.html
Gilt (vielleicht nicht in jeder Kleinigkeit) auch so für Stretch.

Wenn ich verschlüssel, wann bei der Installation muss ich das Passwort eingeben?

Guckst du im Link oder lässt dich überraschen.

[Celica]

Das sieht sehr einfach aus.
Komplette Platte bedeutet hier auch /boot und wird verschlüsselt?
So werde ich das ausprobieten

Wo ist den hier der Pferdefuß ?

[tobo]

Komplette Platte bedeutet hier auch /boot und wird verschlüsselt?

Du meinst das, was extra unter "Wichtige Info zur /boot Partition" nochmal angesprochen wird?

Wo ist den hier der Pferdefuß ?

Wenn einer vorhanden ist, dann vermutlich direkt vor deinem Monitor!?

[Celica]

Ok, geführte Installation mit LVM wird die /boot Partition automatisch angelegt und nicht verschlüsselt.
Nicht geführte Installation muss zwingend Töne nicht verschlüsselte /boot angelegt werden. Halt manuell.
Ich denke alles verstanden zu haben und geht am WE lis.

Danke für eure Hilfe.

[wanne]

Wie ist die Performanceeinbuße bei dieser Konstellation einzuschätzen mit einer SSD und dem T440 (Schätzung)?

Bei AES: Keine. Die Prozessoren der 4th Generation von Intel haben alle AES in Hardware. Da merkst du nichts mehr von.

Wie sieht das mit Suspend aus? Funktioniert das dann?

Um suspend gieng es nie. Lediglich der selten genutzte hibernate ist in manchen Konfigurationen problematisch.

[wanne]

Ich habe hier mal die Grundlagendiskussion, was für Verschlüsselungsverfahren welche Garantien und Sicherheiten geben, abgetrennt. Die gibt es jetzt hier:
Gursätzliches zu Festplattenverschlüsselung