[Gelöst] LMDE-3 verschlüsselt installieren?
- ottonormal
- Beiträge: 3404
- Registriert: 20.01.2014 22:25:29
[Gelöst] LMDE-3 verschlüsselt installieren?
Hallo,
kürzlich habe ich für einen Bekannten LMDE-3 installiert. Er ist davon sehr angetan und mir selbst gefällt es auch recht gut. Nun möchte er das gleiche System aber auch verschlüsselt haben, so wie auch mein eigenes Debian verschlüsselt ist.
Ich habe im Netz mal etwas gesucht und finde immer nur den Hinweis, dass das nur über den Umweg Debian geht. Näheres ist aber immer nur in englisch.
Würde es funktionieren wenn ich ein minimales, verschlüsseltes Debian installiere, dann die originalen Debian-Paketquellen mit denen von LMDE ersetze und dann die komplette Paketliste des unverschlüsselten LMDE da herein installiere?
Was müsste sonst noch alles gemacht werden um auch die komplette, originale LMDE-Konfiguration zu übernehmen?
Hat jemand Erfahrung damit?
Ja, ich weiß, warum nicht gleich direkt Debian pur? Nein, es soll ein "richtiges" LMDE sein mit allem drum und dran. Nur eben verschlüsselt. Der originale Installer bietet das leider nicht an.
kürzlich habe ich für einen Bekannten LMDE-3 installiert. Er ist davon sehr angetan und mir selbst gefällt es auch recht gut. Nun möchte er das gleiche System aber auch verschlüsselt haben, so wie auch mein eigenes Debian verschlüsselt ist.
Ich habe im Netz mal etwas gesucht und finde immer nur den Hinweis, dass das nur über den Umweg Debian geht. Näheres ist aber immer nur in englisch.
Würde es funktionieren wenn ich ein minimales, verschlüsseltes Debian installiere, dann die originalen Debian-Paketquellen mit denen von LMDE ersetze und dann die komplette Paketliste des unverschlüsselten LMDE da herein installiere?
Was müsste sonst noch alles gemacht werden um auch die komplette, originale LMDE-Konfiguration zu übernehmen?
Hat jemand Erfahrung damit?
Ja, ich weiß, warum nicht gleich direkt Debian pur? Nein, es soll ein "richtiges" LMDE sein mit allem drum und dran. Nur eben verschlüsselt. Der originale Installer bietet das leider nicht an.
Zuletzt geändert von ottonormal am 31.10.2018 00:28:50, insgesamt 1-mal geändert.
Re: LMDE-3 verschlüsselt installieren?
Wenn ich das hier überfliege, sieht das nicht danach aus ....
https://forums.linuxmint.com/viewtopic. ... 6&t=280145
https://forums.linuxmint.com/viewtopic. ... 6&t=280145
Re: LMDE-3 verschlüsselt installieren?
Das Geheimnis liegt wohl darin, vom Live-System aus erst die HDD zu verschlüsseln, und dann darauf den eigentlichen Installer loszulassen, ohne die HDD nochmal zu formatieren. [1]
Es gibt wohl ein mehr oder weniger fertiges Script, welches genau das, oder zumindest etwas sehr ähnliches tut. [2]
Den Umweg, ein pures Debian zu LMDE umzubauen, würde ich nur ungern gehen. Konkret begründen kann ich das nicht, aber ich hätte Bauchschmerzen beim Umstellen der sources.list.
[1] https://gist.github.com/seanorama/12c6383684022456a522
[2] https://github.com/pepa65/lmdescrypt
Es gibt wohl ein mehr oder weniger fertiges Script, welches genau das, oder zumindest etwas sehr ähnliches tut. [2]
Den Umweg, ein pures Debian zu LMDE umzubauen, würde ich nur ungern gehen. Konkret begründen kann ich das nicht, aber ich hätte Bauchschmerzen beim Umstellen der sources.list.
[1] https://gist.github.com/seanorama/12c6383684022456a522
[2] https://github.com/pepa65/lmdescrypt
-
- Beiträge: 36
- Registriert: 30.10.2018 14:18:35
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Eitorf
Re: LMDE-3 verschlüsselt installieren?
Hast Du mal im forum Linuxmintusers.de nachgefragt ?
Die haben wohl zwei Installer im Live-Sysstem. Der zweiteist Calamares.
https://www.linuxmintusers.de/index.php?topic=50694.0
Die haben wohl zwei Installer im Live-Sysstem. Der zweiteist Calamares.
https://www.linuxmintusers.de/index.php?topic=50694.0
- ottonormal
- Beiträge: 3404
- Registriert: 20.01.2014 22:25:29
Re: LMDE-3 verschlüsselt installieren?
Danke für den Tip. Calamares, das ist es!Andy64 hat geschrieben:30.10.2018 16:01:20Die haben wohl zwei Installer im Live-Sysstem. Der zweiteist Calamares.
Damit funktionierte eine verschlüsselte Installation in der Virtualbox. Es ist nur alles etwas seltsam, ich habe nur die Möglichkeit gefunden, die ganze Festplatte zu verschlüsseln. Wenn ich nach der Installation neustarte, wird ganz zu Anfang die Passphrase abgefragt. Danach kommt erst das Grub-Menü. Es ist nur eine einzige (die verschlüsselte) Partition auf der Festplatte. Keine Bootpartition. Aber es funktioniert.
Nur, wie mache ich das, wenn ich diese verschlüsselte Partition aus der Virtualbox auf eine reale Festplatte klone wenn noch eine zweites System darauf ist. Das regle ich ja normalerweise mit der Super-Grub-Disk, aber wie soll das in diesem Fall gehen? Wie findet Super-Grub die Bootdateien wenn die Partition verschlüsselt ist? Hab ich beim Installieren etwas falsch gemacht oder noch etwas übersehen?
Re: LMDE-3 verschlüsselt installieren?
Soll das wirklich ein voll verschlüsseltes System werden? Normalerweise reicht doch ein verschlüsseltes /home und Swap. Das geht immer und vor allem nachträglich ohne Probleme.
-
- Beiträge: 36
- Registriert: 30.10.2018 14:18:35
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Eitorf
Re: LMDE-3 verschlüsselt installieren?
Ich wüde für auch für /home eine eigene Parttion machen und dann nur diese verschlüsseln
- ottonormal
- Beiträge: 3404
- Registriert: 20.01.2014 22:25:29
Re: LMDE-3 verschlüsselt installieren?
Ja, das soll es. Ich habe das meinem Bekannten voller Stolz bei mir gezeigt worauf er das unbedingt nun auch so haben will. Aber sein LMDE muss bleiben...debianoli hat geschrieben:30.10.2018 17:50:45Soll das wirklich ein voll verschlüsseltes System werden?
Hab's grad noch mal neu installiert. Diesmal mit manueller Partitionierung. Das hatte ich beim ersten Versuch zwar auch probiert, hatte dabei aber übersehen, dass man zum Verschlüsseln einen Haken setzen kann.
Nun habe ich, wie üblich, eine kleine unverschlüsselte Bootpartition angelegt und eine verschlüsselte für "/". Dann wurde aber gemeckert, dass die unverschlüsselte Bootpartition nicht verschlüsselt ist. Ist das aber nicht immer so? Das sei ein Sicherheitsrisiko wurde gemeldet. Hab es aber trotzdem weiterinstalliert.
Nun bootet das System aber nicht. Ich habe jetzt zwar am Anfang normal das Grubmenü, dann passiert aber nichts mehr. Es kommt nur bis zur Meldung:
Code: Alles auswählen
cryptsetup: going to sleep for 60 seconds...
Irgendwas mache ich wohl noch falsch. Soll ich wirklich die Bootpartition verschlüsseln?
-
- Beiträge: 36
- Registriert: 30.10.2018 14:18:35
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Eitorf
Re: LMDE-3 verschlüsselt installieren?
Ich habe noche keine Partition verschlüsselt. Vielleicht hilft dir das
https://wiki.ubuntuusers.de/System_verschl%C3%BCsseln/
https://wiki.ubuntuusers.de/System_verschl%C3%BCsseln/
- ottonormal
- Beiträge: 3404
- Registriert: 20.01.2014 22:25:29
Re: LMDE-3 verschlüsselt installieren?
Mit dem Verschlüsseln von Systemen habe ich normalerweise keine Probleme. Ich habe alle meine Debian-Systeme verschlüsselt. Auch eine Installation mit Linux-Mint-18 (Kein LMDE) habe ich verschlüsselt. Nur bei diesem LMDE, das will nicht so...
Ich habe jetzt zum 3. Mal neu installiert und dabei nur die Home-Partition verschlüsselt. Das war kein Problem. Warum nur will das mit der "/"-Partition nicht klappen? Vielleicht probiere ich es noch einmal. Wenn dann nicht ist, dann eben nur Home. Obwohl ich das nicht so schön finde. Wenn schon, denn schon.
Ich habe jetzt zum 3. Mal neu installiert und dabei nur die Home-Partition verschlüsselt. Das war kein Problem. Warum nur will das mit der "/"-Partition nicht klappen? Vielleicht probiere ich es noch einmal. Wenn dann nicht ist, dann eben nur Home. Obwohl ich das nicht so schön finde. Wenn schon, denn schon.
Re: LMDE-3 verschlüsselt installieren?
Vielleicht können sie dir im Forum zur betreffenden Distri besser weiterhelfen? Deren Installer hat ja nun gar nix mit Debian zu tun, so dass die meisten Debianuser da nicht so toll weiterhelfen können werden.
-
- Beiträge: 36
- Registriert: 30.10.2018 14:18:35
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Eitorf
Re: LMDE-3 verschlüsselt installieren?
Ich zitiere Kofler aus seinem Buch:"Linux-Einsteigern rate ich, wegen der damit verbundenen Komplexität auf RAID, LVM und Verschlüsselung gleichermaßen zu verzichten"
Kostet auf jede Menge einiges an CPU-Performance.
Würde ich nur machen, wenn ich hochsensible Daten auf dem Notebook hätte, und ich befürchtete, daß dieses gestohlen wird.
Wenn dann mal die Platte "morsch" wird und Clusterdefekte hat, kann man ein nicht vershclüsseltesLaufwerk noch hochfahren, ein verschclüsseltes u.U. nicht mehr.
Ich wollte meine HD auch mal verschlüsseln. Die Nachteile, die daraus entstehen und entstehen können , sind mir zu hoch.
Kostet auf jede Menge einiges an CPU-Performance.
Würde ich nur machen, wenn ich hochsensible Daten auf dem Notebook hätte, und ich befürchtete, daß dieses gestohlen wird.
Wenn dann mal die Platte "morsch" wird und Clusterdefekte hat, kann man ein nicht vershclüsseltesLaufwerk noch hochfahren, ein verschclüsseltes u.U. nicht mehr.
Ich wollte meine HD auch mal verschlüsseln. Die Nachteile, die daraus entstehen und entstehen können , sind mir zu hoch.
-
- Beiträge: 36
- Registriert: 30.10.2018 14:18:35
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Eitorf
Re: LMDE-3 verschlüsselt installieren?
Was ich gemacht habe: Ich habe einen Truecryt Container von Wndows auf eine eigene Linux-Partition kopiert und mache diese mit Veracrypt im Truecrypt-modus auf. Da TC ja tot ist, muss man halt einen Veracrypt-Container erstellen.
Mit Verarcrypt kann man auch ganze Partitonen verschlüsseln. Ich würde abr nur einen großen verschlüsselten Container in /home/user erstellen.
Ansonsten frage mal im linuxmint-forum nach.
Mit Verarcrypt kann man auch ganze Partitonen verschlüsseln. Ich würde abr nur einen großen verschlüsselten Container in /home/user erstellen.
Ansonsten frage mal im linuxmint-forum nach.
Re: LMDE-3 verschlüsselt installieren?
Warum fummeln eigentlich so viele unter Debian mit Veracrypt aus Drittquellen rum, wenn Zulucrypt im Repo liegt?
-
- Beiträge: 36
- Registriert: 30.10.2018 14:18:35
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Eitorf
Re: LMDE-3 verschlüsselt installieren?
Danke, wußte ich noch gar nicht. Nun, Veracrypt war sehr bekannt und ich wußte daß der bestehende TC-Container handeln kann.
- ottonormal
- Beiträge: 3404
- Registriert: 20.01.2014 22:25:29
Re: LMDE-3 verschlüsselt installieren?
Mit der kompletten Verschlüsselung von LMDE komme ich nicht weiter. Nur die Home-Partition geht problemlos zu verschlüsseln. Ich werd es wohl dabei belassen. Außerdem, hier kam ja auch der Verweis auf das Mint-Forum, LMDE ist doch zu fast(?) 100% Debian. In der sources.list sehe ich nicht anderes. Es ist kein normales Mint, das ja ein direkter Ableger von Ubuntu ist.
Ich erinnere mich, dass ich vor einigen Jahren mal ein Sparky-Linux installiert hatte. Da war es ähnlich. Ich glaub' das war auch zum größten Teil reines Debian. Das wollte ich auch verschlüsseln und habe es so gemacht wie eingangs geschrieben. Da hatte mir auch jemand hier aus dem Forum Hilfe geleistet, weiß aber nicht mehr wer das war. Ein verschlüsseltes Debian installiert und dann sparkyisiert. Ich finde aber leider nichts mehr dazu in meinen Unterlagen. Auf jeden Fall hatte das funktioniert.
Zum Verschlüssen von einzelnen Datenpartitionen und TrueCrypt. Das habe ich ich auch lange Zeit mit TrueCrypt gemacht weil ich das mit Luks trotz diverser Anleitungen nicht hinbekam. Inzwischen mache ich das ganz einfach sehr leicht und schnell mit gnome-disks. Das ist in jedem Standard-Linux dabei. Klappt wunderbar, auch das automatische Öffnen beim Systemstart falls gewünscht.
Es geht also auch ohne cryptische Konsolenbefehle und händisches Herumfummeln in Systemdateien. Auch wenn's vielleich nicht der reinen (Debian) -Lehre entspricht.
Ich erinnere mich, dass ich vor einigen Jahren mal ein Sparky-Linux installiert hatte. Da war es ähnlich. Ich glaub' das war auch zum größten Teil reines Debian. Das wollte ich auch verschlüsseln und habe es so gemacht wie eingangs geschrieben. Da hatte mir auch jemand hier aus dem Forum Hilfe geleistet, weiß aber nicht mehr wer das war. Ein verschlüsseltes Debian installiert und dann sparkyisiert. Ich finde aber leider nichts mehr dazu in meinen Unterlagen. Auf jeden Fall hatte das funktioniert.
Zum Verschlüssen von einzelnen Datenpartitionen und TrueCrypt. Das habe ich ich auch lange Zeit mit TrueCrypt gemacht weil ich das mit Luks trotz diverser Anleitungen nicht hinbekam. Inzwischen mache ich das ganz einfach sehr leicht und schnell mit gnome-disks. Das ist in jedem Standard-Linux dabei. Klappt wunderbar, auch das automatische Öffnen beim Systemstart falls gewünscht.
Es geht also auch ohne cryptische Konsolenbefehle und händisches Herumfummeln in Systemdateien. Auch wenn's vielleich nicht der reinen (Debian) -Lehre entspricht.
-
- Beiträge: 36
- Registriert: 30.10.2018 14:18:35
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Eitorf
Re: LMDE-3 verschlüsselt installieren?
ich habe auch LMDE3 und ich würde es genauso wie Du jetzt machen
- ottonormal
- Beiträge: 3404
- Registriert: 20.01.2014 22:25:29
Re: LMDE-3 verschlüsselt installieren?
Es hat mich doch noch nicht losgelassen.
Ich habe es also noch einmal in der VBox installiert. Wieder den "Calamares"-Installer benutzt, bei der Partitionierung den Punkt "Festplatte löschen" gewählt und dann "verschlüsseln" angehakt.
Der Installationsvorgang lief dann ohne Probleme durch. Meine virtuelle Festplatte hatte eine Größe von 20 GB. Also hatte ich ich als Ergebnis auch eine crypt-luks-verschlüsselte Partition von 20 GB. Sonst keine weitere Partition, auch keine Boot-Partition.
Dann habe ich diese virtuelle Partition mit dd auf eine externe USB-Festplatte kopiert. Darauf befand sich schon ein verschlüsseltes Test-Debian und eine Datenpartition. Auf der virtuellen Platte befand sich die LMDE-Partition am Anfang (sad1), auf der USB-Platte war sie dann am Ende (sdc4).
Damit ich die dann booten konnte, habe ich auf dem USB-Debian Grub-Customizer installiert (der Könner macht's natürlich ohne ) und dort per Hand einen neuen Booteintrag erstellt. Dafür natürlich das LMDE von Debian aus erst geöffnet und die erforderlichen Daten aus der grub.cfg kopiert.
Den MBR neu installiert und neu gestartet. Im Bootmenü konnte ich dann das verschlüsselte LMDE auswählen. Dann kam eine etwas seltsame Meldung:
Es sollte "versucht" werden die verschlüsselte Partition zu booten (oder so ähnlich) und die Passworteingabe wurde verlangt. Das hat dann noch ein paar Sekunden gedauert und dann bootete das System ganz normal.
Ehrlich gesagt war ich selbst erstaunt, wirklich gerechnet habe ich nicht damit. Nur gedacht, ich kann's ja mal so versuchen.
Es geht also doch, wieder einiges dazugelernt. Vielleicht kann damit ja jemand zur Nachahmung angeregt werden.
Nachtrag:
Hier die genaue Meldung beim Booten:
Ich habe es also noch einmal in der VBox installiert. Wieder den "Calamares"-Installer benutzt, bei der Partitionierung den Punkt "Festplatte löschen" gewählt und dann "verschlüsseln" angehakt.
Der Installationsvorgang lief dann ohne Probleme durch. Meine virtuelle Festplatte hatte eine Größe von 20 GB. Also hatte ich ich als Ergebnis auch eine crypt-luks-verschlüsselte Partition von 20 GB. Sonst keine weitere Partition, auch keine Boot-Partition.
Dann habe ich diese virtuelle Partition mit dd auf eine externe USB-Festplatte kopiert. Darauf befand sich schon ein verschlüsseltes Test-Debian und eine Datenpartition. Auf der virtuellen Platte befand sich die LMDE-Partition am Anfang (sad1), auf der USB-Platte war sie dann am Ende (sdc4).
Damit ich die dann booten konnte, habe ich auf dem USB-Debian Grub-Customizer installiert (der Könner macht's natürlich ohne ) und dort per Hand einen neuen Booteintrag erstellt. Dafür natürlich das LMDE von Debian aus erst geöffnet und die erforderlichen Daten aus der grub.cfg kopiert.
Den MBR neu installiert und neu gestartet. Im Bootmenü konnte ich dann das verschlüsselte LMDE auswählen. Dann kam eine etwas seltsame Meldung:
Es sollte "versucht" werden die verschlüsselte Partition zu booten (oder so ähnlich) und die Passworteingabe wurde verlangt. Das hat dann noch ein paar Sekunden gedauert und dann bootete das System ganz normal.
Ehrlich gesagt war ich selbst erstaunt, wirklich gerechnet habe ich nicht damit. Nur gedacht, ich kann's ja mal so versuchen.
Es geht also doch, wieder einiges dazugelernt. Vielleicht kann damit ja jemand zur Nachahmung angeregt werden.
Nachtrag:
Hier die genaue Meldung beim Booten:
Code: Alles auswählen
Es wird versucht, den Master-Schlüssel zu entschlüsseln...
Kennwort für hd0, msdos4 angeben (e498b.........55a95):_