[gelöst] verschlüsseltes Debian in Partition installieren scheitert
-
- Beiträge: 24
- Registriert: 23.09.2020 13:53:35
[gelöst] verschlüsseltes Debian in Partition installieren scheitert
Hallo zusammen,
ich habe eine neue SSD und möchte sie mit zwei Betriebssystemen im Dualboot fahren.
Drei Partititionen habe ich darauf eingerichtet,
sda2 enthält ein vollverschlüsseltes ArchLinux und funktioniert mit Grub
sda3 soll eine vollverschlüsselte Debianinstallation bekommen -> hier scheitert es
sda 4 ist für Daten vorgesehen.
Nun habe ich den Debianinstaller angeworfen und zuerst sda3 verschlüsselt, ein ext4 Dateisystem angelegt und den LVM konfiguriert, es gibt dort /, /home und swap. Danach wurde Debian in dieses
LVM auf sda3 installiert.
Es gab keine Möglichkeit auszuwählen ob Grub installiert werden soll, er hat es jedoch dann nochmal innerhalb der Debianinstallation gemacht..
Hier komme ich nicht mehr weiter, bin ich bis jetzt richtig vorgegangen und wenn ja, was ist noch zu tun um dem schon von Arch aus installierten Grub beizubringen dass hier noch ein verschlüsseltes System
zum booten bereit liegt?
edit: beide Systeme sollen im UEFI Modus hochfahren
ich habe eine neue SSD und möchte sie mit zwei Betriebssystemen im Dualboot fahren.
Drei Partititionen habe ich darauf eingerichtet,
sda2 enthält ein vollverschlüsseltes ArchLinux und funktioniert mit Grub
sda3 soll eine vollverschlüsselte Debianinstallation bekommen -> hier scheitert es
sda 4 ist für Daten vorgesehen.
Nun habe ich den Debianinstaller angeworfen und zuerst sda3 verschlüsselt, ein ext4 Dateisystem angelegt und den LVM konfiguriert, es gibt dort /, /home und swap. Danach wurde Debian in dieses
LVM auf sda3 installiert.
Es gab keine Möglichkeit auszuwählen ob Grub installiert werden soll, er hat es jedoch dann nochmal innerhalb der Debianinstallation gemacht..
Hier komme ich nicht mehr weiter, bin ich bis jetzt richtig vorgegangen und wenn ja, was ist noch zu tun um dem schon von Arch aus installierten Grub beizubringen dass hier noch ein verschlüsseltes System
zum booten bereit liegt?
edit: beide Systeme sollen im UEFI Modus hochfahren
Zuletzt geändert von debian42debian am 15.10.2022 16:01:55, insgesamt 1-mal geändert.
-
- Beiträge: 24
- Registriert: 23.09.2020 13:53:35
Re: verschlüsseltes Debian in Partition installieren scheitert
...oder einfacher und anders herum gefragt:
habe ich da was übersehen?
kann man dem Debian Installer beibringen dass er das verschlüsselte Bullseye in die
Partition sda3 installieren soll und den schon vorhandenen Grub mit einbindet?
Edit: es muss auch nicht über den Installer laufen. Gerne auch "zu Fuss" mit der Konsole.
Was ich noch vergessen habe zu schreiben: auf sda1 befindet sich die unverschlüsselte Bootpartition
die im funktionierenden ersten Betriebssystem (Arch) unter /boot gemountet ist.
Die konkrete Fragestellung ist: (wie) stelle ich die Verknüpfung her damit der Grub das zweite verschlüsselte Betriebssystem erkennt und nach der Eingabe des Keys weiter booten kann?
habe ich da was übersehen?
kann man dem Debian Installer beibringen dass er das verschlüsselte Bullseye in die
Partition sda3 installieren soll und den schon vorhandenen Grub mit einbindet?
Edit: es muss auch nicht über den Installer laufen. Gerne auch "zu Fuss" mit der Konsole.
Was ich noch vergessen habe zu schreiben: auf sda1 befindet sich die unverschlüsselte Bootpartition
die im funktionierenden ersten Betriebssystem (Arch) unter /boot gemountet ist.
Die konkrete Fragestellung ist: (wie) stelle ich die Verknüpfung her damit der Grub das zweite verschlüsselte Betriebssystem erkennt und nach der Eingabe des Keys weiter booten kann?
- Livingston
- Beiträge: 1816
- Registriert: 04.02.2007 22:52:25
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: 127.0.0.1
Re: verschlüsseltes Debian in Partition installieren scheitert
Zumindest im Expert-Modus des Debian-Installers gibt es die Option "Ohne Bootloader fortfahren" oder so ähnlich.
Wenn Du diesen Weg wählst, kannst Du alles wie geplant in die vorgesehene Partition installieren, ohne grub zu installieren. Danach rein in das Arch-System und von dort
In Arch grub vollständig deinstallieren. Danach auf der freien Partition die Installation von Debian komplett mit grub durchziehen, wobei die Arch-Installation gefunden werden sollte.
Wenn Du diesen Weg wählst, kannst Du alles wie geplant in die vorgesehene Partition installieren, ohne grub zu installieren. Danach rein in das Arch-System und von dort
- die Debian-Partition per Hand mit LUKS öffnen
- Volumegroups mit vgscan einsammeln, u.U. mit lvscan die logischen Volumes finden
- die Volumes mounten
- die entsprechenden Geräte in der fstab eintragen
- initramfs updaten
- grub neu installieren
In Arch grub vollständig deinstallieren. Danach auf der freien Partition die Installation von Debian komplett mit grub durchziehen, wobei die Arch-Installation gefunden werden sollte.
Der Hauptunterschied zwischen etwas, was möglicherweise kaputtgehen könnte und etwas, was unmöglich kaputtgehen kann, besteht darin, dass sich bei allem, was unmöglich kaputtgehen kann, falls es doch kaputtgeht, normalerweise herausstellt, dass es unmöglich zerlegt oder repariert werden kann.
Douglas Adams
Douglas Adams
-
- Beiträge: 24
- Registriert: 23.09.2020 13:53:35
Re: verschlüsseltes Debian in Partition installieren scheitert
Danke Livingston für die Richtungsweisung!
in Arch für jeden Part der Gruppe einen eigenen Mountpoint erstellen?
Muss ich /boot von Debian noch explizit ins Arch mounten?
Ich musste bei der Installation des verschlüsselten Archsystems in /etc/default/grub den Rootzweig
der LVM-Gruppe explizit angeben und in der /etc/mkinticpio.conf die encrypt und lvm2 Hooks setzen.
Würde Grub das in deinem Prozedere selbst erkennen dass es sich um ein verschlüsseltes System handelt das es zu booten gilt?
...wie würde das aussehen? kann ich die ganze Gruppe mounten oder muss ich hierdie Volumes mounten
in Arch für jeden Part der Gruppe einen eigenen Mountpoint erstellen?
Muss ich /boot von Debian noch explizit ins Arch mounten?
Ich musste bei der Installation des verschlüsselten Archsystems in /etc/default/grub den Rootzweig
der LVM-Gruppe explizit angeben und in der /etc/mkinticpio.conf die encrypt und lvm2 Hooks setzen.
Würde Grub das in deinem Prozedere selbst erkennen dass es sich um ein verschlüsseltes System handelt das es zu booten gilt?
...wie soll das funktionieren wenn Arch auch verschlüsselt ist?Oder:
In Arch grub vollständig deinstallieren. Danach auf der freien Partition die Installation von Debian komplett mit grub durchziehen, wobei die Arch-Installation gefunden werden sollte.
-
- Beiträge: 24
- Registriert: 23.09.2020 13:53:35
Re: verschlüsseltes Debian in Partition installieren scheitert
erster Versuch leider fehlgeschlagen.
Debianinstallation ohne Bootloader war erfolgreich.
Debian's fstab hatte alle Einträge drin, da musste ich nichts mehr machen.
Ins Arch gewechselt, Debian entsperrt und Mountpoints erstellt und die DebianLVM gemountet
danach
und
...hat leider nicht dazu geführt dass Debian erkannt wurde. Es ist nur Arch im Bootmenü vorhanden.
Debianinstallation ohne Bootloader war erfolgreich.
Debian's fstab hatte alle Einträge drin, da musste ich nichts mehr machen.
Ins Arch gewechselt, Debian entsperrt und Mountpoints erstellt und die DebianLVM gemountet
Code: Alles auswählen
mount /dev/MyDebVolGroup/root /mnt
mount /dev/MyDebVolGroup/home /mnt/home
Code: Alles auswählen
# mkinitcpio -P
Code: Alles auswählen
# grub-install --target=x86_64-efi --efi-directory=/boot --bootloader-id=GRUB
-
- Beiträge: 24
- Registriert: 23.09.2020 13:53:35
Re: verschlüsseltes Debian in Partition installieren scheitert
nochmaliger Versuch mit
hat auch nicht geklappt
Debians fstab hat sich in der herkömmlichen Schreibweise generiert, in Arch arbeite ich allerdings
mit UUID's. Problem?
Code: Alles auswählen
mount /dev/mapper/MyDebVolGroup-root /mnt
mount /dev/mapper/MyDebVolGroup-home /mnt/home
Debians fstab hat sich in der herkömmlichen Schreibweise generiert, in Arch arbeite ich allerdings
mit UUID's. Problem?
- Livingston
- Beiträge: 1816
- Registriert: 04.02.2007 22:52:25
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: 127.0.0.1
Re: verschlüsseltes Debian in Partition installieren scheitert
Bin leider in arch nicht firm, aber der Grund, warum der arch-grub die Debianinstallation nicht eingebaut hat, war wahrscheinlich, dass die Konfiguration des grub nicht neu geschrieben wurde.
Mit grub-install werden zwar die grub-binaries an die richtige Stelle gesetzt, aber die Datei /boot/grub/grub.cfg wird nicht automatisch miterzeugt, welche für das grub-Menu zuständig ist.
Unter debian geschieht das manuell mit update-grub.
Für arch müsste das mit
gehen.
(Debians update-grub ist letztlich nur ein Script, das grub-mkconfig aufruft.)
Mit grub-install werden zwar die grub-binaries an die richtige Stelle gesetzt, aber die Datei /boot/grub/grub.cfg wird nicht automatisch miterzeugt, welche für das grub-Menu zuständig ist.
Unter debian geschieht das manuell mit update-grub.
Für arch müsste das mit
Code: Alles auswählen
# grub-mkconfig -o /boot/grub/grub.cfg
(Debians update-grub ist letztlich nur ein Script, das grub-mkconfig aufruft.)
Der Hauptunterschied zwischen etwas, was möglicherweise kaputtgehen könnte und etwas, was unmöglich kaputtgehen kann, besteht darin, dass sich bei allem, was unmöglich kaputtgehen kann, falls es doch kaputtgeht, normalerweise herausstellt, dass es unmöglich zerlegt oder repariert werden kann.
Douglas Adams
Douglas Adams
-
- Beiträge: 24
- Registriert: 23.09.2020 13:53:35
Re: verschlüsseltes Debian in Partition installieren scheitert
Jetzt bin ich ein Stück weiter, das hat geholfen.
Beide Systeme erscheinen im Bootmenü des Grub. Nur wird der Kernel noch nicht gefunden,
auf der EFI-Bootpartition ist auch nur der Arch Kernel zu finden.
Liegt es eventuell an der /etc/default/grub in der nur der Arch eintrag zu finden ist?
Beide Systeme erscheinen im Bootmenü des Grub. Nur wird der Kernel noch nicht gefunden,
auf der EFI-Bootpartition ist auch nur der Arch Kernel zu finden.
Ich habe nur den Rootzweig eingehängt und alles neu erzeugt.you must load the Kernel first...
Liegt es eventuell an der /etc/default/grub in der nur der Arch eintrag zu finden ist?
Code: Alles auswählen
# GRUB boot loader configuration
GRUB_DEFAULT=0
GRUB_TIMEOUT=5
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="loglevel=3 quiet"
GRUB_CMDLINE_LINUX="cryptdevice=UUID=e498a0ef-653f-4577-9e63-1689fe814457:root root=/dev/mapper/MyVolGroup-root resume=/dev/mapper/MyVolGroup-swap"
# Preload both GPT and MBR modules so that they are not missed
GRUB_PRELOAD_MODULES="part_gpt part_msdos"
Re: verschlüsseltes Debian in Partition installieren scheitert
Nochmal zum Verständnis: Was ist denn sda1 für eine Partition? /boot? /boot/efi? Ist diese Partition auch bei Debian eingebunden?
-
- Beiträge: 24
- Registriert: 23.09.2020 13:53:35
Re: verschlüsseltes Debian in Partition installieren scheitert
sda1 ist die unverschlüsselte Bootpartition und sieht bei mir so aus:
Debian's fstab wurde bei der Installation (ohne Grub) folgendermassen angelegt:
Code: Alles auswählen
[harry@archmachine boot]$ ls
EFI grub initramfs-linux-fallback.img initramfs-linux.img vmlinuz-linux
[harry@archmachine boot]$ cd EFI/
[harry@archmachine EFI]$ ls
Arch-Linux-grub GRUB
[harry@archmachine EFI]$ cd ../grub
[harry@archmachine grub]$ ls
fonts grub.cfg grubenv locale themes x86_64-efi
[harry@archmachine grub]$
Code: Alles auswählen
# <file system> <mount point> <type> <options> <dump> <pass>
/dev/mapper/MyDebVolGroup-root / ext4 errors=remount-ro 0 1
# /boot/efi was on /dev/sda1 during installation
UUID=8DE6-E920 /boot/efi vfat umask=0077 0 1
/dev/mapper/MyDebVolGroup-home /home ext4 defaults 0 2
/dev/mapper/MyDebVolGroup-swap none swap sw 0 0
/dev/sr0 /media/cdrom0 udf,iso9660 user,noauto 0 0
-
- Beiträge: 24
- Registriert: 23.09.2020 13:53:35
Re: verschlüsseltes Debian in Partition installieren scheitert
Grub sucht anscheinend beim Start die UUID der Platte sda3 auf dem Debian drauf ist, kann sie aber noch nicht entsperren da der Kernel noch nicht geladen werden konnte wenn ich das richtig interpretiere.
Ich habe bei allen Schritten nur Debian's / ins Arch gemountet.
Der Eintrag "Arch-Linux-Grub" in /boot/EFI/ ist von der ersten Installation mit Arch als Singlesystem,
der "GRUB" ist der zweite Versuch beide Systeme dort unterzubringen.
Ich habe bei allen Schritten nur Debian's / ins Arch gemountet.
Der Eintrag "Arch-Linux-Grub" in /boot/EFI/ ist von der ersten Installation mit Arch als Singlesystem,
der "GRUB" ist der zweite Versuch beide Systeme dort unterzubringen.
Re: verschlüsseltes Debian in Partition installieren scheitert
Genau hier liegt das Problem. Kernel und Initrd liegen unter /boot, was wiederum auf einem verschlüsselten LVM liegt. Grub kann darauf nicht zugreifen. Die EFI-Partition (/boot/efi) hast du eingebunden, daher erscheint bei einem Upgrade von grub auch der Debian-Eintrag, weil das System zum Zeitpunkt des Updates von grub entschlüsselt ist.debian42debian hat geschrieben:14.10.2022 10:43:49Grub sucht anscheinend beim Start die UUID der Platte sda3 auf dem Debian drauf ist, kann sie aber noch nicht entsperren da der Kernel noch nicht geladen werden konnte wenn ich das richtig interpretiere.
Kernel und Initrd müssen in einem unverschlüsselten Bereich liegen, damit sie beim Systemstart geladen werden können.
edit: Verstehe ich das richtig: sda1 enthält ein FAT-Dateisystem und dient gleichzeitig sowohl als ESP als auch als Partition für /boot? Macht Arch das immer so?
edit2: Interessant: Bullseye ist vielleicht die letzte Version, bei der man das so machen muss:
https://www.debian.org/releases/bullseye/amd64/ch06s03.de.html#partman-crypto hat geschrieben:Grundsätzlich ist ist die /boot-Partition hier die einzige Ausnahme: sie muss unverschlüsselt bleiben. Dies rührt daher, dass es historisch keinen Weg gab, einen Kernel von einer verschlüsselten Partition zu laden. (GRUB ist seit neuestem hierzu in der Lage, aber der debian-installer unterstützt dies derzeit noch nicht. Das Setup hierfür ist daher in einer separaten Anleitung abgelegt.)
-
- Beiträge: 24
- Registriert: 23.09.2020 13:53:35
Re: verschlüsseltes Debian in Partition installieren scheitert
...Gute Frage, ich weiss nicht welcher der vielen Wege "richtig" nach Rom führtmacht Arch das immer so?
Ich habe es aus der Installationsanleitung von Arch jedenfalls so raus gelesen.
Abhilfe? einfach rüber kopieren? Danach wird /boot ja auf sda1 eingehängt und sollte updatesKernel und Initrd müssen in einem unverschlüsselten Bereich liegen, damit sie beim Systemstart geladen werden können.
richtig mitbekommen, oder?
Re: verschlüsseltes Debian in Partition installieren scheitert
Die Frage ist erstmal: Wie groß ist die /boot-Partition? Da liegen künftig mindestens drei Kernel-Initrd-Kombinationen und nichts wäre ärgerlicher als ein Systemupdate, das wegen Platzmangel in /boot abbricht.
Die zweite Sache: Du solltest die /boot-Partition bei Debian in der fstab einbinden.
Drittens: Dein Grub nutzt Variablen (root=,resume=,...) des Arch-Systems, die müsstest du für die Einträge deines Debiansystems ggf. händisch anpassen. Nicht nur einmalig, sondern auch nach jedem Kernelupdate deines Debiansystems, da jeder Kernel eine eindeutige Versionsnummer bekommt. Das kannst du aber umschiffen, wenn...
Viertens: Du dein Debian so konfigurierst, dass es den aktuellen Kernel unter einem festen Pfad ablegt. Das aber dann erst am Ende, wenn du zuverlässig in dein Debian booten kannst.
edit: Ich bin mir gerade nicht sicher, ob Schritt 3 und 4 durch os-prober erledigt werden können. Dann wären die Schritte nicht notwendig. Weiß da jemand mehr zu?
Die zweite Sache: Du solltest die /boot-Partition bei Debian in der fstab einbinden.
Drittens: Dein Grub nutzt Variablen (root=,resume=,...) des Arch-Systems, die müsstest du für die Einträge deines Debiansystems ggf. händisch anpassen. Nicht nur einmalig, sondern auch nach jedem Kernelupdate deines Debiansystems, da jeder Kernel eine eindeutige Versionsnummer bekommt. Das kannst du aber umschiffen, wenn...
Viertens: Du dein Debian so konfigurierst, dass es den aktuellen Kernel unter einem festen Pfad ablegt. Das aber dann erst am Ende, wenn du zuverlässig in dein Debian booten kannst.
edit: Ich bin mir gerade nicht sicher, ob Schritt 3 und 4 durch os-prober erledigt werden können. Dann wären die Schritte nicht notwendig. Weiß da jemand mehr zu?
-
- Beiträge: 24
- Registriert: 23.09.2020 13:53:35
Re: verschlüsseltes Debian in Partition installieren scheitert
ok, danke schonmal für die Hinweise!
die /boot auf sda1 habe ich mit 500MB gewählt, ein bisschen was passt da schon drauf. Ich werde da auch immer mal wieder aufräumen.
sda1.
Ein anderer Rechner mit unverschlüsseltem Windows und verschlüsseltem Debian im Dualboot
hat zwei Partitionen am Anfang und mountet /boot nach sda1(vfat) und /boot/efi nach sda2(ext2).
Dann würde in meinem Problemfall /boot auf sda1 gemountet?!
Ich habe mal gelesen dass die Variablen (root=, resume=) auch gefunden werden können, habe sie jedoch händisch gesetzt da ich damals auf einem 32-bit System mit Arch32 Probleme hatte.
die /boot auf sda1 habe ich mit 500MB gewählt, ein bisschen was passt da schon drauf. Ich werde da auch immer mal wieder aufräumen.
ja, ich habe gerade verglichen. Arch mountet /boot auf sda1, Debian mountet laut fstab /boot/efi aufDie zweite Sache: Du solltest die /boot-Partition bei Debian in der fstab einbinden.
sda1.
Ein anderer Rechner mit unverschlüsseltem Windows und verschlüsseltem Debian im Dualboot
hat zwei Partitionen am Anfang und mountet /boot nach sda1(vfat) und /boot/efi nach sda2(ext2).
Dann würde in meinem Problemfall /boot auf sda1 gemountet?!
wird in diesem Fall der Eintrag für das Debiansystem in /etc/default/grub von Arch mit dazu geschrieben oder wäre dies in der betreffenden Datei des Debian-Systems zu erledigen?Drittens: Dein Grub nutzt Variablen (root=,resume=,...) des Arch-Systems, die müsstest du für die Einträge deines Debiansystems ggf. händisch anpassen.
das wäre meiner Meinung nach ja dann gegeben wenn Debian funktioniert und /boot richtig gemountet ist.Viertens: Du dein Debian so konfigurierst, dass es den aktuellen Kernel unter einem festen Pfad ablegt. Das aber dann erst am Ende, wenn du zuverlässig in dein Debian booten kannst.
Ich habe mal gelesen dass die Variablen (root=, resume=) auch gefunden werden können, habe sie jedoch händisch gesetzt da ich damals auf einem 32-bit System mit Arch32 Probleme hatte.
Re: verschlüsseltes Debian in Partition installieren scheitert
Hab ne Weile mitgelesen, muss jetzt mal ein paar Kommentare aus meinem Erfahrungsschatz loswerden. Ich hab hier 2 Ryzen-Systeme mit X570-Chipsatz mit reinen efi-Installationen. Auf beiden Rechnern hab ich ein Arch und parallel dazu ein oder 2 Devuane laufen. Arch wirklich voll verschlüsselt, die Devuane klassisch mit unverschlüsselter Boot-Partition, root und swap in verschlüsseltem LVM. Die Systeme sehen sich nicht, kennen sich nicht, wenn ich ein anderes als das Default-System booten will muss ich halt übers Bios gehen. Für mich kein Problem da ich das eher selten brauche.
Auf meinen Brettern findet der OS-Prober im übrigen kein anderes verschlüsseltes efi-Linux, nen Windose hab ich nimmer.
Was mir in diesem Faden aufgefallen ist: Die ESP ist nicht die /boot wo Debian die Kernel und die initrd hinterlegt. Mag ja sein das Arch die ESP auf /boot verlinkt, bei Debian sollte man das aber lassen. Die ESP ist in der Regel FAT32, 512MByte ist grosszügig bemessen, und nur dazu da die Startdateien für den efi-Bootloader dort abzuladen, aber Kernel und Zubehör haben da nichts zu suchen. In Debian auf /boot/EFI eingehangen. Bei mir ist die Devuan-/boot-Partition 2048 MByte gross und mit ext4 formatiert (bei den heutigen Plattengrössen macht sparen da auch keinen Sinn). Damit ist da reichlich Platz für viele Kernel und initrds, und die normalen Unix-Rechteverwaltung geht.
Ich denke auch dass der Ansatz den grub des Arch Debian starten zu lassen kein guter Ansatz ist. Arch und Debian sind anzusehen wie 2 verschiedene Windows-Versionen. Quer-Updates gehen höchstwahrscheinlich in die Hose. Ich hab mich beim Aufsetzen meiner beiden X570 bewusst für eine klare Trennung entschieden.
Der OS-Prober ist neuerdings in Debian ausgebremst, sprich in /etc/default/grub disabled. Dazu gibt es ein paar Fäden hier im Forum. Der OP mag ja mal probieren was passiert wenn er den mit root-Rechten aus dem Debian startet. Bei mir auf den X570-Rechnern kommt da sofort wieder das Konsolenprompt. Ich hab noch ein altes AM3-System im Keller das parallel XP, Win7 und ein Debian im Legacy-Modus laufen hat. Das findet der OS-Prober alles und trägt das in den Splash-Screen ein.
Ich weiss nicht ob es den OS-Prober auch in Arch gibt, oder etwas analoges...
Ich würde dazu raten für Bullseye den klassischen Weg mit einer unverschlüsselten /boot zu starten, das wird funktionieren. Eine Vollverschlüsselung geht zwar auch bei Debian im Prinzip, ABER der grub 2.04 der bislang der Standard war kann nur luks1 entschlüsseln. Hab das nie ausprobiert, den seit es luks2 gibt setze ich das für / ein. Inzwischen ist Bullseye zwar auf grub 2.06, hab aber noch keine HowTo gesehen wie man das dann ans Laufen kriegt.
Wenn Bullseye unbedingt aus dem Arch-grub gestartet werden soll, muss sich der OP mal mit Custom-grub-Einträgen beschäftigen. Grundsätzlich ist das ein gangbarer Weg. Ich musste das vor Jahren mal eine Weile auf einem Rechner nutzen bei dem der Linux-Kernel Dumps ins efi-Flash geschrieben und alles belegt hatte so das ich nichts löschen oder Änderungen ins efi schreiben konnte. Allerdings hat dies den Nachteil das man nach einem Kernelupdate den Custom-Eintrag händisch modifizieren muss.
Viel Erfolg.
Auf meinen Brettern findet der OS-Prober im übrigen kein anderes verschlüsseltes efi-Linux, nen Windose hab ich nimmer.
Was mir in diesem Faden aufgefallen ist: Die ESP ist nicht die /boot wo Debian die Kernel und die initrd hinterlegt. Mag ja sein das Arch die ESP auf /boot verlinkt, bei Debian sollte man das aber lassen. Die ESP ist in der Regel FAT32, 512MByte ist grosszügig bemessen, und nur dazu da die Startdateien für den efi-Bootloader dort abzuladen, aber Kernel und Zubehör haben da nichts zu suchen. In Debian auf /boot/EFI eingehangen. Bei mir ist die Devuan-/boot-Partition 2048 MByte gross und mit ext4 formatiert (bei den heutigen Plattengrössen macht sparen da auch keinen Sinn). Damit ist da reichlich Platz für viele Kernel und initrds, und die normalen Unix-Rechteverwaltung geht.
Ich denke auch dass der Ansatz den grub des Arch Debian starten zu lassen kein guter Ansatz ist. Arch und Debian sind anzusehen wie 2 verschiedene Windows-Versionen. Quer-Updates gehen höchstwahrscheinlich in die Hose. Ich hab mich beim Aufsetzen meiner beiden X570 bewusst für eine klare Trennung entschieden.
Der OS-Prober ist neuerdings in Debian ausgebremst, sprich in /etc/default/grub disabled. Dazu gibt es ein paar Fäden hier im Forum. Der OP mag ja mal probieren was passiert wenn er den mit root-Rechten aus dem Debian startet. Bei mir auf den X570-Rechnern kommt da sofort wieder das Konsolenprompt. Ich hab noch ein altes AM3-System im Keller das parallel XP, Win7 und ein Debian im Legacy-Modus laufen hat. Das findet der OS-Prober alles und trägt das in den Splash-Screen ein.
Ich weiss nicht ob es den OS-Prober auch in Arch gibt, oder etwas analoges...
Ich würde dazu raten für Bullseye den klassischen Weg mit einer unverschlüsselten /boot zu starten, das wird funktionieren. Eine Vollverschlüsselung geht zwar auch bei Debian im Prinzip, ABER der grub 2.04 der bislang der Standard war kann nur luks1 entschlüsseln. Hab das nie ausprobiert, den seit es luks2 gibt setze ich das für / ein. Inzwischen ist Bullseye zwar auf grub 2.06, hab aber noch keine HowTo gesehen wie man das dann ans Laufen kriegt.
Wenn Bullseye unbedingt aus dem Arch-grub gestartet werden soll, muss sich der OP mal mit Custom-grub-Einträgen beschäftigen. Grundsätzlich ist das ein gangbarer Weg. Ich musste das vor Jahren mal eine Weile auf einem Rechner nutzen bei dem der Linux-Kernel Dumps ins efi-Flash geschrieben und alles belegt hatte so das ich nichts löschen oder Änderungen ins efi schreiben konnte. Allerdings hat dies den Nachteil das man nach einem Kernelupdate den Custom-Eintrag händisch modifizieren muss.
Viel Erfolg.
Re: verschlüsseltes Debian in Partition installieren scheitert
Nicht unbedingt. Bei einem Kernelupdate werden Shellskripte in /etc/kernel ausgeführt, die etwa den Bau der Initrd oder das Update von grub anstoßen. Hier könnte man ansetzen und in einem extra Skript eine Kopie des Kernels (etwa mit cp /boot/kernelversion /boot/vmlinuz) erzeugen lassen. Der Grub-Eintrag würde so immer auf den aktuellen Kernel zeigen.rhHeini hat geschrieben:14.10.2022 22:02:21Allerdings hat dies den Nachteil das man nach einem Kernelupdate den Custom-Eintrag händisch modifizieren muss.
Theoretisch würde hier auch ein Softlink reichen, aber FAT unterstützt das nicht. Die Größenbeschränkung der aktuellen /boot-Partition muss man dabei auch noch im Hinterkopf behalten.
-
- Beiträge: 24
- Registriert: 23.09.2020 13:53:35
Re: verschlüsseltes Debian in Partition installieren scheitert
wenn ich die Beiträge so lese glaube ich schön langsam dass es doch das einfachste wäre:
für Debian nochmals einen eigenen Grub in den richtig erzeugten Partitionen zu installieren so dass
jedes System seinen eigenen nutzt. Dann wähle ich das zu startende System aus dem Bios-Menü mit F12 und fertig ist. Somit sind die Distributionen sauber getrennt, jeder hat die /boot die er erwartet und die Kernel haben auch besser Platz.
Abschliessend: würde das so funktionieren, HINTER der Debianpartition noch eine für /boot und eine für /boot/efi anzulegen, dem Expert-Installer zu erklären dass er den Grub dorthin installieren soll und dann
so zu starten?
für Debian nochmals einen eigenen Grub in den richtig erzeugten Partitionen zu installieren so dass
jedes System seinen eigenen nutzt. Dann wähle ich das zu startende System aus dem Bios-Menü mit F12 und fertig ist. Somit sind die Distributionen sauber getrennt, jeder hat die /boot die er erwartet und die Kernel haben auch besser Platz.
Abschliessend: würde das so funktionieren, HINTER der Debianpartition noch eine für /boot und eine für /boot/efi anzulegen, dem Expert-Installer zu erklären dass er den Grub dorthin installieren soll und dann
so zu starten?
Re: verschlüsseltes Debian in Partition installieren scheitert
Nicht ganz, Du brauchst nur eine ESP. Das sollte die erste Partition auf der Platte/SSD sein. Die wird von allen OSen genutzt. Der Installer verlinkt die automatisch korrekt soweit der im efi-Modus gestartet wird. Leg eine /boot im freien Bereich hinter den bisherigen Partitionen an, gut ist. Dann installierst Du mit manueller Partitionierung .....debian42debian hat geschrieben:15.10.2022 08:47:43Abschliessend: würde das so funktionieren, HINTER der Debianpartition noch eine für /boot und eine für /boot/efi anzulegen, dem Expert-Installer zu erklären dass er den Grub dorthin installieren soll und dann so zu starten?
-
- Beiträge: 24
- Registriert: 23.09.2020 13:53:35
Re: verschlüsseltes Debian in Partition installieren scheitert
auch dieser Versuch ging erstmal in die Hose.Nicht ganz, Du brauchst nur eine ESP. Das sollte die erste Partition auf der Platte/SSD sein. Die wird von allen OSen genutzt. Der Installer verlinkt die automatisch korrekt soweit der im efi-Modus gestartet wird. Leg eine /boot im freien Bereich hinter den bisherigen Partitionen an, gut ist. Dann installierst Du mit manueller Partitionierung .
Habe eine Partition freigeschaufelt in der /boot rein sollte. Mit dem Installer habe ich festgelegt dass die
EFI-Systempartition auf sda1 genutzt werden soll. Die neue sda4 (/boot) mit Bootflag versehen und als "reservierte Bios-Bootpartition" festgelegt. Was anderes was gepasst hätte gab es nicht auszuwählen.
Nach der Installation hatte ich zwei Einträge, Arch und Debian zur Auswahl, Debian hat leider nicht erkannt dass es sich um ein verschlüsseltes LVM handelt und auch auf der "neuen" /boot ist nix drauf.
Auch die neu angelegte fstab hat nur einen Mountpoint sda1 auf /boot/efi gesetzt, /boot ist so nicht eingebunden worden.
Frage Lösung: Mit Livesystem ins Debian chrooten, fstab um den Mountpoint /dev/sda4 /boot erweitern,
/etc/default/grub mit den Variablen root=, resume= ausstatten und dann den Grubsums nochmal durchlaufen lassen? könnte das so funktionieren?
Re: verschlüsseltes Debian in Partition installieren scheitert
Was machst Du denn da? Bei einem efi-System hat die ESP einzig und alleine das Bootflag. Da liegen die Bootloader. Die sda4 kriegt kein Bootflag und wird auch nicht so nen MS-Zeugs wie "reservierte Bios-Bootpartition", das kann nicht gehen. Kein Wunder das die leer ist.debian42debian hat geschrieben:15.10.2022 14:16:22Habe eine Partition freigeschaufelt in der /boot rein sollte. Mit dem Installer habe ich festgelegt dass die
EFI-Systempartition auf sda1 genutzt werden soll. Die neue sda4 (/boot) mit Bootflag versehen und als "reservierte Bios-Bootpartition" festgelegt.
Deine sda4 bindest Du bei der manuellen Partitionierung ein mit ext4 als Filesystem, verlinkst auf /boot. Sollte formatiert werden. Und kein Flag ....... alles nicht notwendig.
Die sda1 bindest Du als efi-Systempartition ein, NICHT!!! formatieren.
Dann lässt Du den Installer machen.
-
- Beiträge: 24
- Registriert: 23.09.2020 13:53:35
Re: verschlüsseltes Debian in Partition installieren scheitert
jetzt hat es funktioniert! vielen Dank an alle für den Support!