Der Partitionierungsdialog des Debian Installers (Text oder Grafikversion ist egal) kann zwar verschlüsselte Logical Volumens innerhalb einer LVM Volume Group anlegen, aber das hat den Nachteil, dass ich jedem Logical Volume ein Passwort geben und dieses eingeben muss.
Was ich gerne hätte ist, dass die Verschlüsselung auf der Ebene der gesamten Volume Group stattfindet, damit ich das PW nur einmal eingeben muss. So hatte ich es mal bei einer Kubuntu Installation, aber der Debian Installer lässt mich so etwas nicht erstellen.
Wenn ich versuche eine verschlüsselte primäre Partition anzulegen, um darin eine LVM Volume Group zu packen, überschreibt mir der Installer die verschlüsselte primäre Partition und es ist wieder eine klartext LVM Volume Group.
So etwas geht:
Primäre Partition vom Typ LVM -> LVM Volume Group 1..n (für gewöhnlich reicht hier eine)-> Logical Volume 1..n -> Verschlüsselte Logical Volume 1 .. n -> Dateisystemtyp
Folgendes möchte ich haben:
Primäre Partition -> Verschlüsselt -> Typ LVM -> LVM Volume Group -> Logical Volume 1..n -> Dateisystemtyp
Der Vorteil wäre, alles innerhalb der LVM Partition wäre alles mit nur einem Passswort verschlüsselt, weil die Verschlüssung quasi die gesamte LVM Partition umfasst.
Geht das irgendwie?
Wie kann ich mit dem Debian Installer eine ganze Volume Group verschlüsseln?
Re: Wie kann ich mit dem Debian Installer eine ganze Volume Group verschlüsseln?
Diese Anleitung habe ich damals übrigens bei Kubuntu benutzt:
https://wiki.ubuntuusers.de/System_verschl%C3%BCsseln/
Damit ist das komplette LVM Volume verschlüsselt und die einzelnen Logical Volumes liegen innerhalb dieses LVM Volumes. Man muss daher auch nur ein Passwort eingeben, um alles entschlüsselt zu haben.
Ich werde mal Morgen versuchen ob ich diese Anleitung irgendwie auf Debian adaptiert bekomme.
Bis jetzt habe ich mal alle Schritte dieser Anleitung unter einem Kubuntu Live System bis zum Anfang von "Ins verschlüsselte System wechseln" durchgeführt. Morgen werden ich also mal schauen, wie ich die nun bereits erstellten Logical Volums in Debian für die Installation von Debian einbinde. Ich hoffe der Debian Installer ist mir da nicht wieder im Weg.
https://wiki.ubuntuusers.de/System_verschl%C3%BCsseln/
Damit ist das komplette LVM Volume verschlüsselt und die einzelnen Logical Volumes liegen innerhalb dieses LVM Volumes. Man muss daher auch nur ein Passwort eingeben, um alles entschlüsselt zu haben.
Ich werde mal Morgen versuchen ob ich diese Anleitung irgendwie auf Debian adaptiert bekomme.
Bis jetzt habe ich mal alle Schritte dieser Anleitung unter einem Kubuntu Live System bis zum Anfang von "Ins verschlüsselte System wechseln" durchgeführt. Morgen werden ich also mal schauen, wie ich die nun bereits erstellten Logical Volums in Debian für die Installation von Debian einbinde. Ich hoffe der Debian Installer ist mir da nicht wieder im Weg.
Re: Wie kann ich mit dem Debian Installer eine ganze Volume Group verschlüsseln?
Hier sind die 3 Varianten der Verschlüsselung übrigens übersichtlich aufgelistet:
http://www.andreas-janssen.de/cryptodisk.html#a5
Die zweite, also "LVM auf verschlüsseltem Volume" wollte ich haben, funktioniert hat aber nur die dritte Variante "verschlüsselte Volumes auf LVM" oder die erste, die dann ohne LVM ist.
Weiß jemand, ob die zweite Variante mit dem Debian Installer umsetzbar ist?
Und falls ja, wie?
http://www.andreas-janssen.de/cryptodisk.html#a5
Die zweite, also "LVM auf verschlüsseltem Volume" wollte ich haben, funktioniert hat aber nur die dritte Variante "verschlüsselte Volumes auf LVM" oder die erste, die dann ohne LVM ist.
Weiß jemand, ob die zweite Variante mit dem Debian Installer umsetzbar ist?
Und falls ja, wie?
Re: Wie kann ich mit dem Debian Installer eine ganze Volume Group verschlüsseln?
Ja klar geht das. Manuell partitionieren, eine separate /boot unverschlüsselt, die grosse Partition mit Volume für Entschlüsselung erstellen, darin ein LVM anlegen. Die Zwischenschritte sind nicht gaaanz straight forward, aber auch dazu gibt es im Netz Anleitungen.
Rolf
PS: Geht auch geführt. Verschlüsseltes LVM.
Rolf
PS: Geht auch geführt. Verschlüsseltes LVM.
Re: Wie kann ich mit dem Debian Installer eine ganze Volume Group verschlüsseln?
Ich möchte mich mal zurückmelden. Ich habe es an dem Tag, als ich den Thread gestartet habe doch noch hingekriegt, trotzdem danke.
Das Problem war der Debian Installer, der hier ziemlich irreführend war.
Jetzt ist es dummerweise schon wieder ein paar Tage her, aber an ein paar Dinge kann ich mich noch erinnern, einfach eine crypt Partition anlegen und dann LVM auswählen reichte nicht. Man musste auch noch die die Option zum Verschlüsselungsdialog auswählen und den Dialog durcharbeiten, dort meldet er allerdings irreführend irgendwas von "ext4 Partition wird erstellt", obwohl ein Dateisystem noch gar nicht definiert wurde und LVM steht auch nicht zur Auswahl. Die Meldung muss man einfach ignorieren und das Zeugs akzeptieren. Erst wenn das getan ist, kann man im LVM Menü die Partition nutzen, um eine Volume Group daraus zu bilden. Der Rest ist dann wie gehabt.
Ansonsten hat gerade der manuelle Setupbereich noch einige weitere Bugs. Im Verschlüsselungsdialog (oder war es bei den LVM Volumes?) konnte man z.B: nicht zurückgehen oder abbrechen, wenn man abbrechen/zurück auswählte, der machte einfach weiter, als wenn man immer "weiter" ausgewählt hätte. Da ist also irgendwo die Abzweigung im Programmcode des Installers kaputt.
Tja und wenn man dann innerhalb von LVM eine verschlüsselte Partition angelegt und zugewiesen hatte, dann konnte man nicht mehr zurück. Die Partition war nicht mehr löschbar, die Schritte konnten nicht rückgängig gemacht werden. Ich musste ein Ubuntu Live CD booten und mit gparted die Partitionseinträge manuell löschen um dann wieder Debian zu booten und mit der Partitionierung weiterzumachen.
Ebenso böse war, dass er beim Erstellen einer crypt Partition bei der Abfrage nach der Größe der Partition, die eingegebene Größe ignorierte er einfach, wenn dahinter noch mehr Platz frei, also nicht mit einer Partition belegt war. Der hat praktisch den Platz dahinter auch noch mit Zufallszahlen beschrieben und aus dem gesamten freien Speicherplatz anschließend dann eine große Partition gebildet.
Um das zu verhindern, musste ich für den freien Platz, den ich nicht für eine crypt Partition nutzen wollte, eine extra Partition anlegen, damit der das merkte. Erst das hat funktioniert.
Also irgendwie scheint der Installer wenig getestet zu werden. Aber nun gut, ich sehe es optimistisch. Das ist dann wenigstens ein Zeichen, dass ein Versionswechsel auf die nächste Majorversion ohne Neuinstallation gut funktionieren muss.
Das Problem war der Debian Installer, der hier ziemlich irreführend war.
Jetzt ist es dummerweise schon wieder ein paar Tage her, aber an ein paar Dinge kann ich mich noch erinnern, einfach eine crypt Partition anlegen und dann LVM auswählen reichte nicht. Man musste auch noch die die Option zum Verschlüsselungsdialog auswählen und den Dialog durcharbeiten, dort meldet er allerdings irreführend irgendwas von "ext4 Partition wird erstellt", obwohl ein Dateisystem noch gar nicht definiert wurde und LVM steht auch nicht zur Auswahl. Die Meldung muss man einfach ignorieren und das Zeugs akzeptieren. Erst wenn das getan ist, kann man im LVM Menü die Partition nutzen, um eine Volume Group daraus zu bilden. Der Rest ist dann wie gehabt.
Ansonsten hat gerade der manuelle Setupbereich noch einige weitere Bugs. Im Verschlüsselungsdialog (oder war es bei den LVM Volumes?) konnte man z.B: nicht zurückgehen oder abbrechen, wenn man abbrechen/zurück auswählte, der machte einfach weiter, als wenn man immer "weiter" ausgewählt hätte. Da ist also irgendwo die Abzweigung im Programmcode des Installers kaputt.
Tja und wenn man dann innerhalb von LVM eine verschlüsselte Partition angelegt und zugewiesen hatte, dann konnte man nicht mehr zurück. Die Partition war nicht mehr löschbar, die Schritte konnten nicht rückgängig gemacht werden. Ich musste ein Ubuntu Live CD booten und mit gparted die Partitionseinträge manuell löschen um dann wieder Debian zu booten und mit der Partitionierung weiterzumachen.
Ebenso böse war, dass er beim Erstellen einer crypt Partition bei der Abfrage nach der Größe der Partition, die eingegebene Größe ignorierte er einfach, wenn dahinter noch mehr Platz frei, also nicht mit einer Partition belegt war. Der hat praktisch den Platz dahinter auch noch mit Zufallszahlen beschrieben und aus dem gesamten freien Speicherplatz anschließend dann eine große Partition gebildet.
Um das zu verhindern, musste ich für den freien Platz, den ich nicht für eine crypt Partition nutzen wollte, eine extra Partition anlegen, damit der das merkte. Erst das hat funktioniert.
Also irgendwie scheint der Installer wenig getestet zu werden. Aber nun gut, ich sehe es optimistisch. Das ist dann wenigstens ein Zeichen, dass ein Versionswechsel auf die nächste Majorversion ohne Neuinstallation gut funktionieren muss.