Wie vollverschlüsseltes Debian umziehen?
Wie vollverschlüsseltes Debian umziehen?
Nabend Leute!
Ich will in Kürze ein vollverschlüsseltes Debian (luks/dmcrypt, noch Debian 8 ) von einem IBM Thinkpad mit HDD auf ein FSC Lifebook mit SSD umziehen. Da das System sehr viele eigene Anpassungen hat, erscheint es (auch aus früheren Erfahrungen heraus) mir schneller, es umzuziehen und dann anzupassen, als es komplett neu aufzusetzen, zumal die allermeisten Hardware-Änderungen vom System selbst gut erkannt werden, nur sowas wie z.B. die MAC muß von Hand angepasst werden.
"Früher", mit unverschlüsselten Systemen, habe ich das immer wie folgt gemacht:
Beide Rechner im selben LAN, beide mit einem Livesystem gebootet, / gemountet und dann einfach die Daten per netcat (nc) von einem System auf's andere geschoben.
Ich will in Kürze ein vollverschlüsseltes Debian (luks/dmcrypt, noch Debian 8 ) von einem IBM Thinkpad mit HDD auf ein FSC Lifebook mit SSD umziehen. Da das System sehr viele eigene Anpassungen hat, erscheint es (auch aus früheren Erfahrungen heraus) mir schneller, es umzuziehen und dann anzupassen, als es komplett neu aufzusetzen, zumal die allermeisten Hardware-Änderungen vom System selbst gut erkannt werden, nur sowas wie z.B. die MAC muß von Hand angepasst werden.
"Früher", mit unverschlüsselten Systemen, habe ich das immer wie folgt gemacht:
Beide Rechner im selben LAN, beide mit einem Livesystem gebootet, / gemountet und dann einfach die Daten per netcat (nc) von einem System auf's andere geschoben.
- Datenteiler
- Beiträge: 84
- Registriert: 12.10.2008 21:01:46
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Hannover
-
Kontaktdaten:
Re: Wie vollverschlüsseltes Debian umziehen?
Hi,dirk11 hat geschrieben:18.12.2017 23:00:27"Früher", mit unverschlüsselten Systemen, habe ich das immer wie folgt gemacht:
Beide Rechner im selben LAN, beide mit einem Livesystem gebootet, / gemountet und dann einfach die Daten per netcat (nc) von einem System auf's andere geschoben.
du kannst auch einen verschlüsselten LUKS-Container mounten. Ob dein Vorhaben so sinnvoll ist, kann ich schwer abschätzen. Was hast du denn alles für Anpassungen? Reicht es evtl. /etc und /home zu sichern und zu kopieren? Eine Neuinstallation hätte zumindest den Vorteil, dass du gleich Debian 9 installieren kannst und dann schiebst du dein /home und deine Anpassungen aus /etc rüber.
Mit apt-clone kannst du übrigens die Installation eines Rechners auf andere übertragen.
Viele Grüße
Christian
Re: Wie vollverschlüsseltes Debian umziehen?
Ich will den am liebsten gar nicht mounten, sondern komplett auf die neue Partition der neuen SSD kopieren. Geht das?
Ich habe aber - das mag manchem merkwürdig vorkommen, es hat mir aber sehr oft die Arbeit und Fehlersuche erleichtert - unter anderem z.B. auf all meinen Rechnern UID und GID aller Einträge synchronisiert. Alleine das ist schon sehr aufwendig, weil man es pro UID/GID einzeln machen muss, denn es müssen auch Files und Verzeichnisse entsprechend angepasst werden.
In meiner Umgebung, sprich meinem Home-Netzwerk, hat sich das sehr bewährt! Ist ein ziemlicher Aufwand, aber den muss man zum Glück nur bei der Erst-Installation treiben.
Außerdem habe ich noch das Problem, daß ich zwingend weiter sysvinit für den Start nutzen muss. Sprich ich will nicht systemd gänzlich rausschmeißen, aber es nicht für den Start nutzen. Das schon laufende System macht das so, bei einer Neuinstallation rechne ich mit Schwierigkeiten.
Wenn das reichen würde, würde ich mir gar nicht erst die Mühe machen, so etwas zu fragen. /home und /etc kopieren wäre die Arbeit von Minuten - höchstens.Was hast du denn alles für Anpassungen? Reicht es evtl. /etc und /home zu sichern und zu kopieren?
Ich habe aber - das mag manchem merkwürdig vorkommen, es hat mir aber sehr oft die Arbeit und Fehlersuche erleichtert - unter anderem z.B. auf all meinen Rechnern UID und GID aller Einträge synchronisiert. Alleine das ist schon sehr aufwendig, weil man es pro UID/GID einzeln machen muss, denn es müssen auch Files und Verzeichnisse entsprechend angepasst werden.
In meiner Umgebung, sprich meinem Home-Netzwerk, hat sich das sehr bewährt! Ist ein ziemlicher Aufwand, aber den muss man zum Glück nur bei der Erst-Installation treiben.
Außerdem habe ich noch das Problem, daß ich zwingend weiter sysvinit für den Start nutzen muss. Sprich ich will nicht systemd gänzlich rausschmeißen, aber es nicht für den Start nutzen. Das schon laufende System macht das so, bei einer Neuinstallation rechne ich mit Schwierigkeiten.
- Datenteiler
- Beiträge: 84
- Registriert: 12.10.2008 21:01:46
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Hannover
-
Kontaktdaten:
Re: Wie vollverschlüsseltes Debian umziehen?
Hi,
dann würde ich das mit LUKS verschlüsselte LVM versuchen mit ddrescue von einem Live-System zu klonen:
Ist die neue SSD denn gößer oder kleiner? Dann musst du auf jeden Fall auf die Partitionen achten.
Viele Grüße
Christian
dann würde ich das mit LUKS verschlüsselte LVM versuchen mit ddrescue von einem Live-System zu klonen:
Code: Alles auswählen
ddrescue -f /dev/sda /dev/sdb log.txt
Viele Grüße
Christian
Re: Wie vollverschlüsseltes Debian umziehen?
Ich weiß das noch nicht, weil ich beide Geräte z.Zt. nicht im Zugriff habe und mich schlicht nicht mehr erinnere, wie groß ich die Partition auf der HDD gemacht habe. Die neue SSD wird nur 256GB groß sein, mit etwas Pech ist die alte HDD eine 500GB mit einer Partition >256GB.
- jph
- Beiträge: 1081
- Registriert: 06.12.2015 15:06:07
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Greven/Westf.
Re: Wie vollverschlüsseltes Debian umziehen?
Hier wird der Umzug eines LUKS-verschlüsselten LVM beschrieben: https://wiki.debianforum.de/Mini-Howto: ... g_umziehen. Die Quelle dort ist unverschlüsselt; musst du also bei dir vorher entschlüsseln, aber ansonsten ist das Vorgehen weitestgehend gleich.
Re: Wie vollverschlüsseltes Debian umziehen?
Hab kein LVM, sollte aber kein Problem darstellen. Die Idee wäre also, mit einem Live-Stick auf dem neuen Rechner eine neue vollverschlüsselte Partition erstellen bzw. die SSD dort neu zu partitionieren und dann eine verschlüsselte Partition erstellen, diese dann mit einem Live-System mounten, das "alte" System mit einem Live-System mounten und dann die Daten rüberkopieren. Sehe ich das so richtig?
-
- Beiträge: 507
- Registriert: 30.12.2016 23:48:51
Re: Wie vollverschlüsseltes Debian umziehen?
An und für sich musst für so eine Aufgabe nicht mehr tun, als die Daten der HDD mittels dd, 1:1 auf die mindestens gleich große SSD zu kopieren. Im Anschluss startest das System, und passt via resize2fs im laufenden Betrieb, die Größe der Volumes automatisch an. Was hier wirklich Probleme machen könnte, wären UUIDs in der fstab, wodurch der Bootvorgang scheitern kann. Ansonsten ist das kein Hexenwerk, schon oft gemacht.
- jph
- Beiträge: 1081
- Registriert: 06.12.2015 15:06:07
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Greven/Westf.
Re: Wie vollverschlüsseltes Debian umziehen?
Du siehst das prinzipiell richtig, denke aber bitte daran, dass du zuvor auf dem umzuziehenden System cryptsetup installieren musst. /boot muss auf jeden Fall auf einer separaten, unverschlüsselten Partition liegen. Wie du die Kiste mit dem Livesystem wieder bootfähig bekommst, kannst du dem Wiki-Artikel entnehmen.dirk11 hat geschrieben:20.12.2017 19:35:10Hab kein LVM, sollte aber kein Problem darstellen. Die Idee wäre also, mit einem Live-Stick auf dem neuen Rechner eine neue vollverschlüsselte Partition erstellen bzw. die SSD dort neu zu partitionieren und dann eine verschlüsselte Partition erstellen, diese dann mit einem Live-System mounten, das "alte" System mit einem Live-System mounten und dann die Daten rüberkopieren. Sehe ich das so richtig?
Ich empfehle dir dringend, bei der Gelegenheit auf LVM umzustellen. So wird auch Swap mitverschlüsselt.
Da ich der Verfasser des Wiki-Artikels bin, wäre ich anschließend über Rückmeldung/Verbesserungsvorschläge dankbar.
Re: Wie vollverschlüsseltes Debian umziehen?
Danke für eure Antworten!
Vorweg: ich hab's immer noch nicht angegangen, weil mir derzeit einfach die Zeit fehlt, deshalb auch die späte Reaktion von mir...
LVM ist absolut unnötig, und ich weigere mich, ein System, welches sowieso mangels Möglichkeiten niemals mit anderen Hardware-Festplatten aufgerüstet wird, komplizierter zu gestalten, als es notwendig ist. Boot-Partition, eine / und eine /swap, das reicht. Und funktioniert tadellos. Natürlich sind / und swap vollverschlüsselt. Mal ganz davon abgesehen, daß beim Nutzerprofil selbst swap eigentlich unnötig ist. Es wurde meiner Beobachtung nach noch nie irgendwas ausgelagert.
Eine Nachfrage zum resize2fs habe ich aber: funktioniert das auch mit XFS? Dann wäre wirklich das Einfachste, alles per dd zu kopieren und danach anzupassen. Dabei wären die Schwierigkeiten, die umschifft werden müssen:
1. wie kopiere ich per dd von einem Speichermedium auf das andere, wenn im Notebook naturgemäß nur Platz für eines ist. Ich habe derzeit auch kein Gerät, in welches ich beide Platten einsetzen könnte. Kann man z.B. per dd in eine Datei auf eine per USB angeschlossene Backup-HDD speichern und dann, nach Umbau auf die SSD, dorthin zurückkopieren?
2. Wie bzw. wo ändere ich hernach die UUID?
3. Hoffentlich funktioniert resize2fs.
Vorweg: ich hab's immer noch nicht angegangen, weil mir derzeit einfach die Zeit fehlt, deshalb auch die späte Reaktion von mir...
LVM ist absolut unnötig, und ich weigere mich, ein System, welches sowieso mangels Möglichkeiten niemals mit anderen Hardware-Festplatten aufgerüstet wird, komplizierter zu gestalten, als es notwendig ist. Boot-Partition, eine / und eine /swap, das reicht. Und funktioniert tadellos. Natürlich sind / und swap vollverschlüsselt. Mal ganz davon abgesehen, daß beim Nutzerprofil selbst swap eigentlich unnötig ist. Es wurde meiner Beobachtung nach noch nie irgendwas ausgelagert.
Eine Nachfrage zum resize2fs habe ich aber: funktioniert das auch mit XFS? Dann wäre wirklich das Einfachste, alles per dd zu kopieren und danach anzupassen. Dabei wären die Schwierigkeiten, die umschifft werden müssen:
1. wie kopiere ich per dd von einem Speichermedium auf das andere, wenn im Notebook naturgemäß nur Platz für eines ist. Ich habe derzeit auch kein Gerät, in welches ich beide Platten einsetzen könnte. Kann man z.B. per dd in eine Datei auf eine per USB angeschlossene Backup-HDD speichern und dann, nach Umbau auf die SSD, dorthin zurückkopieren?
2. Wie bzw. wo ändere ich hernach die UUID?
3. Hoffentlich funktioniert resize2fs.
Re: Wie vollverschlüsseltes Debian umziehen?
Klar kann man ein Image per dd schreiben und zurückspielen.
Was hast du denn mit der UUID? Wieso willst du die ändern? Die bleibt bei dd gleich.
Du kannst natürlich auch ein System per rsync von einem Rechner auf den anderen klonen. Auf dem Klon läuft in dem Fall ein Live-System
Was hast du denn mit der UUID? Wieso willst du die ändern? Die bleibt bei dd gleich.
Du kannst natürlich auch ein System per rsync von einem Rechner auf den anderen klonen. Auf dem Klon läuft in dem Fall ein Live-System
Re: Wie vollverschlüsseltes Debian umziehen?
Resizefs alleine taugt hier aber nicht. Davor müsste noch erst die Partitionstabelle und danach der Crypt-Container "resized" werden. wanne hatte das mal beschrieben, das war ziemlich fummelig.
Das wird in dem Link von jph aber gut beschrieben.
Vom Prinzip her kannst du es aber immer noch so machen.
Ich würd vorschlagen, du installierst auf dem neuen Laptop erst mal ein Debian, verschlüsselt, im manuellen Modus, ohne LVM. Dann hast du wenigstens die Partitionen richtig und schon mal Vorlagen für fstab und crypttab. Und dann schaust du dir das neue System mal genau an, insbesondere /boot - da gibt's nämlich noch die Frage UEFI vs. BIOS.
Danach kannst du es so machen wie beschrieben - beide Systeme per Livesystem booten - zusätzlich den Cryptcontainer entschlüsseln, und dann das neue System ausradieren und mit dem alten überschreiben. Lass dich dabei von der Anleitung von jph inspirieren - den LVM-Kram kannst du ja auslassen. Wenn das neue System einen UEFI-Boot macht, dann möchtest du im chroot noch /boot/efi mounten und grub-efi installieren.
Das reicht doch schon lange nicht mehr. Danach müssen noch die UUIDs in der fstab und crypttab angepasst werden, dann braucht's noch ein chroot in das neue System und die initramdisk und grub müssen neu gemacht werden.dirk11 hat geschrieben:18.12.2017 23:00:27"Früher", mit unverschlüsselten Systemen, habe ich das immer wie folgt gemacht:
Beide Rechner im selben LAN, beide mit einem Livesystem gebootet, / gemountet und dann einfach die Daten per netcat (nc) von einem System auf's andere geschoben.
Das wird in dem Link von jph aber gut beschrieben.
Vom Prinzip her kannst du es aber immer noch so machen.
Ich würd vorschlagen, du installierst auf dem neuen Laptop erst mal ein Debian, verschlüsselt, im manuellen Modus, ohne LVM. Dann hast du wenigstens die Partitionen richtig und schon mal Vorlagen für fstab und crypttab. Und dann schaust du dir das neue System mal genau an, insbesondere /boot - da gibt's nämlich noch die Frage UEFI vs. BIOS.
Danach kannst du es so machen wie beschrieben - beide Systeme per Livesystem booten - zusätzlich den Cryptcontainer entschlüsseln, und dann das neue System ausradieren und mit dem alten überschreiben. Lass dich dabei von der Anleitung von jph inspirieren - den LVM-Kram kannst du ja auslassen. Wenn das neue System einen UEFI-Boot macht, dann möchtest du im chroot noch /boot/efi mounten und grub-efi installieren.
Never change a broken system. It could be worse afterwards.
"No computer system can be absolutely secure." Intel Document Number: 336983-001
"No computer system can be absolutely secure." Intel Document Number: 336983-001
Re: Wie vollverschlüsseltes Debian umziehen?
Ja klar, das allein hat "damals" auch nicht gereicht, da kamen dann noch spezifische Anpassungen rein. Das zu beschreiben habe ich mir gespart, weil es nicht relevant ist.NAB hat geschrieben:20.01.2018 17:40:53Das reicht doch schon lange nicht mehr. Danach müssen noch die UUIDs in der fstab und crypttab angepasst werden, dann braucht's noch ein chroot in das neue System und die initramdisk und grub müssen neu gemacht werden.dirk11 hat geschrieben:18.12.2017 23:00:27"Früher", mit unverschlüsselten Systemen, habe ich das immer wie folgt gemacht:
Beide Rechner im selben LAN, beide mit einem Livesystem gebootet, / gemountet und dann einfach die Daten per netcat (nc) von einem System auf's andere geschoben.