Wie vollverschlüsseltes Debian umziehen?

Du kommst mit der Installation nicht voran oder willst noch was nachfragen? Schau auch in den "Tipps und Tricks"-Bereich.
Antworten
dirk11
Beiträge: 2840
Registriert: 02.07.2013 11:47:01

Wie vollverschlüsseltes Debian umziehen?

Beitrag von dirk11 » 18.12.2017 23:00:27

Nabend Leute!

Ich will in Kürze ein vollverschlüsseltes Debian (luks/dmcrypt, noch Debian 8 ) von einem IBM Thinkpad mit HDD auf ein FSC Lifebook mit SSD umziehen. Da das System sehr viele eigene Anpassungen hat, erscheint es (auch aus früheren Erfahrungen heraus) mir schneller, es umzuziehen und dann anzupassen, als es komplett neu aufzusetzen, zumal die allermeisten Hardware-Änderungen vom System selbst gut erkannt werden, nur sowas wie z.B. die MAC muß von Hand angepasst werden.

"Früher", mit unverschlüsselten Systemen, habe ich das immer wie folgt gemacht:
Beide Rechner im selben LAN, beide mit einem Livesystem gebootet, / gemountet und dann einfach die Daten per netcat (nc) von einem System auf's andere geschoben.

Benutzeravatar
Datenteiler
Beiträge: 84
Registriert: 12.10.2008 21:01:46
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Hannover
Kontaktdaten:

Re: Wie vollverschlüsseltes Debian umziehen?

Beitrag von Datenteiler » 19.12.2017 11:11:54

dirk11 hat geschrieben: ↑ zum Beitrag ↑
18.12.2017 23:00:27
"Früher", mit unverschlüsselten Systemen, habe ich das immer wie folgt gemacht:
Beide Rechner im selben LAN, beide mit einem Livesystem gebootet, / gemountet und dann einfach die Daten per netcat (nc) von einem System auf's andere geschoben.
Hi,

du kannst auch einen verschlüsselten LUKS-Container mounten. Ob dein Vorhaben so sinnvoll ist, kann ich schwer abschätzen. Was hast du denn alles für Anpassungen? Reicht es evtl. /etc und /home zu sichern und zu kopieren? Eine Neuinstallation hätte zumindest den Vorteil, dass du gleich Debian 9 installieren kannst und dann schiebst du dein /home und deine Anpassungen aus /etc rüber.

Mit apt-clone kannst du übrigens die Installation eines Rechners auf andere übertragen.

Viele Grüße
Christian

dirk11
Beiträge: 2840
Registriert: 02.07.2013 11:47:01

Re: Wie vollverschlüsseltes Debian umziehen?

Beitrag von dirk11 » 19.12.2017 13:57:23

Ich will den am liebsten gar nicht mounten, sondern komplett auf die neue Partition der neuen SSD kopieren. Geht das?
Was hast du denn alles für Anpassungen? Reicht es evtl. /etc und /home zu sichern und zu kopieren?
Wenn das reichen würde, würde ich mir gar nicht erst die Mühe machen, so etwas zu fragen. /home und /etc kopieren wäre die Arbeit von Minuten - höchstens.

Ich habe aber - das mag manchem merkwürdig vorkommen, es hat mir aber sehr oft die Arbeit und Fehlersuche erleichtert - unter anderem z.B. auf all meinen Rechnern UID und GID aller Einträge synchronisiert. Alleine das ist schon sehr aufwendig, weil man es pro UID/GID einzeln machen muss, denn es müssen auch Files und Verzeichnisse entsprechend angepasst werden.
In meiner Umgebung, sprich meinem Home-Netzwerk, hat sich das sehr bewährt! Ist ein ziemlicher Aufwand, aber den muss man zum Glück nur bei der Erst-Installation treiben.

Außerdem habe ich noch das Problem, daß ich zwingend weiter sysvinit für den Start nutzen muss. Sprich ich will nicht systemd gänzlich rausschmeißen, aber es nicht für den Start nutzen. Das schon laufende System macht das so, bei einer Neuinstallation rechne ich mit Schwierigkeiten.

Benutzeravatar
Datenteiler
Beiträge: 84
Registriert: 12.10.2008 21:01:46
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Hannover
Kontaktdaten:

Re: Wie vollverschlüsseltes Debian umziehen?

Beitrag von Datenteiler » 19.12.2017 14:55:47

Hi,

dann würde ich das mit LUKS verschlüsselte LVM versuchen mit ddrescue von einem Live-System zu klonen:

Code: Alles auswählen

ddrescue -f /dev/sda /dev/sdb log.txt
Ist die neue SSD denn gößer oder kleiner? Dann musst du auf jeden Fall auf die Partitionen achten.

Viele Grüße
Christian

dirk11
Beiträge: 2840
Registriert: 02.07.2013 11:47:01

Re: Wie vollverschlüsseltes Debian umziehen?

Beitrag von dirk11 » 19.12.2017 15:16:29

Ich weiß das noch nicht, weil ich beide Geräte z.Zt. nicht im Zugriff habe und mich schlicht nicht mehr erinnere, wie groß ich die Partition auf der HDD gemacht habe. Die neue SSD wird nur 256GB groß sein, mit etwas Pech ist die alte HDD eine 500GB mit einer Partition >256GB.

Benutzeravatar
jph
Beiträge: 1081
Registriert: 06.12.2015 15:06:07
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Greven/Westf.

Re: Wie vollverschlüsseltes Debian umziehen?

Beitrag von jph » 19.12.2017 15:41:45

Hier wird der Umzug eines LUKS-verschlüsselten LVM beschrieben: https://wiki.debianforum.de/Mini-Howto: ... g_umziehen. Die Quelle dort ist unverschlüsselt; musst du also bei dir vorher entschlüsseln, aber ansonsten ist das Vorgehen weitestgehend gleich.

dirk11
Beiträge: 2840
Registriert: 02.07.2013 11:47:01

Re: Wie vollverschlüsseltes Debian umziehen?

Beitrag von dirk11 » 20.12.2017 19:35:10

Hab kein LVM, sollte aber kein Problem darstellen. Die Idee wäre also, mit einem Live-Stick auf dem neuen Rechner eine neue vollverschlüsselte Partition erstellen bzw. die SSD dort neu zu partitionieren und dann eine verschlüsselte Partition erstellen, diese dann mit einem Live-System mounten, das "alte" System mit einem Live-System mounten und dann die Daten rüberkopieren. Sehe ich das so richtig?

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: Wie vollverschlüsseltes Debian umziehen?

Beitrag von breakthewall » 25.12.2017 03:46:26

An und für sich musst für so eine Aufgabe nicht mehr tun, als die Daten der HDD mittels dd, 1:1 auf die mindestens gleich große SSD zu kopieren. Im Anschluss startest das System, und passt via resize2fs im laufenden Betrieb, die Größe der Volumes automatisch an. Was hier wirklich Probleme machen könnte, wären UUIDs in der fstab, wodurch der Bootvorgang scheitern kann. Ansonsten ist das kein Hexenwerk, schon oft gemacht.

Benutzeravatar
jph
Beiträge: 1081
Registriert: 06.12.2015 15:06:07
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Greven/Westf.

Re: Wie vollverschlüsseltes Debian umziehen?

Beitrag von jph » 29.12.2017 20:38:41

dirk11 hat geschrieben: ↑ zum Beitrag ↑
20.12.2017 19:35:10
Hab kein LVM, sollte aber kein Problem darstellen. Die Idee wäre also, mit einem Live-Stick auf dem neuen Rechner eine neue vollverschlüsselte Partition erstellen bzw. die SSD dort neu zu partitionieren und dann eine verschlüsselte Partition erstellen, diese dann mit einem Live-System mounten, das "alte" System mit einem Live-System mounten und dann die Daten rüberkopieren. Sehe ich das so richtig?
Du siehst das prinzipiell richtig, denke aber bitte daran, dass du zuvor auf dem umzuziehenden System Debiancryptsetup installieren musst. /boot muss auf jeden Fall auf einer separaten, unverschlüsselten Partition liegen. Wie du die Kiste mit dem Livesystem wieder bootfähig bekommst, kannst du dem Wiki-Artikel entnehmen.

Ich empfehle dir dringend, bei der Gelegenheit auf LVM umzustellen. So wird auch Swap mitverschlüsselt.

Da ich der Verfasser des Wiki-Artikels bin, wäre ich anschließend über Rückmeldung/Verbesserungsvorschläge dankbar. :wink:

dirk11
Beiträge: 2840
Registriert: 02.07.2013 11:47:01

Re: Wie vollverschlüsseltes Debian umziehen?

Beitrag von dirk11 » 20.01.2018 12:28:28

Danke für eure Antworten!

Vorweg: ich hab's immer noch nicht angegangen, weil mir derzeit einfach die Zeit fehlt, deshalb auch die späte Reaktion von mir... :(

LVM ist absolut unnötig, und ich weigere mich, ein System, welches sowieso mangels Möglichkeiten niemals mit anderen Hardware-Festplatten aufgerüstet wird, komplizierter zu gestalten, als es notwendig ist. Boot-Partition, eine / und eine /swap, das reicht. Und funktioniert tadellos. Natürlich sind / und swap vollverschlüsselt. Mal ganz davon abgesehen, daß beim Nutzerprofil selbst swap eigentlich unnötig ist. Es wurde meiner Beobachtung nach noch nie irgendwas ausgelagert.

Eine Nachfrage zum resize2fs habe ich aber: funktioniert das auch mit XFS? Dann wäre wirklich das Einfachste, alles per dd zu kopieren und danach anzupassen. Dabei wären die Schwierigkeiten, die umschifft werden müssen:
1. wie kopiere ich per dd von einem Speichermedium auf das andere, wenn im Notebook naturgemäß nur Platz für eines ist. Ich habe derzeit auch kein Gerät, in welches ich beide Platten einsetzen könnte. Kann man z.B. per dd in eine Datei auf eine per USB angeschlossene Backup-HDD speichern und dann, nach Umbau auf die SSD, dorthin zurückkopieren?
2. Wie bzw. wo ändere ich hernach die UUID?
3. Hoffentlich funktioniert resize2fs.

debianoli
Beiträge: 4152
Registriert: 07.11.2007 13:58:49
Lizenz eigener Beiträge: MIT Lizenz

Re: Wie vollverschlüsseltes Debian umziehen?

Beitrag von debianoli » 20.01.2018 15:41:47

Klar kann man ein Image per dd schreiben und zurückspielen.

Was hast du denn mit der UUID? Wieso willst du die ändern? Die bleibt bei dd gleich.

Du kannst natürlich auch ein System per rsync von einem Rechner auf den anderen klonen. Auf dem Klon läuft in dem Fall ein Live-System

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Wie vollverschlüsseltes Debian umziehen?

Beitrag von NAB » 20.01.2018 17:40:53

Resizefs alleine taugt hier aber nicht. Davor müsste noch erst die Partitionstabelle und danach der Crypt-Container "resized" werden. wanne hatte das mal beschrieben, das war ziemlich fummelig.
dirk11 hat geschrieben: ↑ zum Beitrag ↑
18.12.2017 23:00:27
"Früher", mit unverschlüsselten Systemen, habe ich das immer wie folgt gemacht:
Beide Rechner im selben LAN, beide mit einem Livesystem gebootet, / gemountet und dann einfach die Daten per netcat (nc) von einem System auf's andere geschoben.
Das reicht doch schon lange nicht mehr. Danach müssen noch die UUIDs in der fstab und crypttab angepasst werden, dann braucht's noch ein chroot in das neue System und die initramdisk und grub müssen neu gemacht werden.

Das wird in dem Link von jph aber gut beschrieben.

Vom Prinzip her kannst du es aber immer noch so machen.

Ich würd vorschlagen, du installierst auf dem neuen Laptop erst mal ein Debian, verschlüsselt, im manuellen Modus, ohne LVM. Dann hast du wenigstens die Partitionen richtig und schon mal Vorlagen für fstab und crypttab. Und dann schaust du dir das neue System mal genau an, insbesondere /boot - da gibt's nämlich noch die Frage UEFI vs. BIOS.

Danach kannst du es so machen wie beschrieben - beide Systeme per Livesystem booten - zusätzlich den Cryptcontainer entschlüsseln, und dann das neue System ausradieren und mit dem alten überschreiben. Lass dich dabei von der Anleitung von jph inspirieren - den LVM-Kram kannst du ja auslassen. Wenn das neue System einen UEFI-Boot macht, dann möchtest du im chroot noch /boot/efi mounten und grub-efi installieren.
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

dirk11
Beiträge: 2840
Registriert: 02.07.2013 11:47:01

Re: Wie vollverschlüsseltes Debian umziehen?

Beitrag von dirk11 » 20.01.2018 20:22:45

NAB hat geschrieben: ↑ zum Beitrag ↑
20.01.2018 17:40:53
dirk11 hat geschrieben: ↑ zum Beitrag ↑
18.12.2017 23:00:27
"Früher", mit unverschlüsselten Systemen, habe ich das immer wie folgt gemacht:
Beide Rechner im selben LAN, beide mit einem Livesystem gebootet, / gemountet und dann einfach die Daten per netcat (nc) von einem System auf's andere geschoben.
Das reicht doch schon lange nicht mehr. Danach müssen noch die UUIDs in der fstab und crypttab angepasst werden, dann braucht's noch ein chroot in das neue System und die initramdisk und grub müssen neu gemacht werden.
Ja klar, das allein hat "damals" auch nicht gereicht, da kamen dann noch spezifische Anpassungen rein. Das zu beschreiben habe ich mir gespart, weil es nicht relevant ist.

Antworten