Debian verschlüsselt installieren - Partitionsgrößen

[Kessl]

Hi
Kurze Frage: Sind 400 BM für ESP und 1 GB für /boot passende Größen?
Ich möchte Bookworm auf einem ziemlich normalen AMD64 installieren, nur hätte ich die (meisten) Partitionen gerne verschlüsselt.
Ab hier nur noch Meckern!
Das Handbuch ist aber irgendwie.... ziemlich wenig hilfreich, im deutschen Handbuch für Bookworm steht tatsächlich NTFS hätte nur Lesesupport, ist der Schreibsupport nicht seit mehreren Jahren fest im Kernel?
Angaben zur sinnvollen Größe von /boot und ESP (Ist ESP das eigentlich /boot/efi? Das Handbuch schweigt sich darüber aus) macht das Handbuch leider nicht.
Und wo ich gerade am Meckern bin, dass ich /boot nicht fat32 formatieren darf (Das Handbuch gibt keine Auskunft darüber und sagt nur dass /boot bei einer geführten Partition ext2 sei, aber nicht dass fat32 verboten ist) und auch dass der Installer mir sagt er hätte kein /boot obwohl ich meine fat32 Partition von Hand nach /boot gemountet habe, sind meiner Meinung nach Fehler.
Gruss
Dieter

[cosinus]

Kurze Frage: Sind 400 BM für ESP und 1 GB für /boot passende Größen?

Ist denke ich ausreichend dimensioniert. Fast schon zuviel. Aber wenn man noch ISOs in /boot ablegen will, brauchst man natürlich mehr. Ist aber nur dann relevant, wenn du Livesysteme über GRUB direkt aus der ISO booten willst.

Ich möchte Bookworm auf einem ziemlich normalen AMD64 installieren, nur hätte ich die (meisten) Partitionen gerne verschlüsselt.

Dann schau dir mal LUKS/dm-crypt an. Alternativ kannst du die Verschlüsselung auch sein lassen und im BIOS für die SSD oder HDD ein Passwort festlegen. Dann gibt es ohne dieses keinen Zugriff auf die Disk.

Das Handbuch ist aber irgendwie.... ziemlich wenig hilfreich, im deutschen Handbuch für Bookworm steht tatsächlich NTFS hätte nur Lesesupport, ist der Schreibsupport nicht seit mehreren Jahren fest im Kernel?

Mit ntfs-3g ist das seit Jahren kein Thema mehr.

Und wo ich gerade am Meckern bin, dass ich /boot nicht fat32 formatieren darf (Das Handbuch gibt keine Auskunft darüber und sagt nur dass /boot bei einer geführten Partition ext2 sei, aber nicht dass fat32 verboten ist) und auch dass der Installer mir sagt er hätte kein /boot obwohl ich meine fat32 Partition von Hand nach /boot gemountet habe, sind meiner Meinung nach Fehler.

Warum auch FAT32?
Das muss nur bei der EFI-Partition sein, /boot bekommt ext4 und fertig. Warum willst du für /boot FAT32 haben?

[MSfree]

Kurze Frage: Sind 400 BM für ESP und 1 GB für /boot passende Größen?

Wenn nur Linux auf dem Rechner installiert werden soll, kannst du die ESP so klein wie irgend möglich anlegen. Default ist 500MB, das kleinste, was der Netinstaller zuläßt, ist meiner Erinnerung nach 50MB. Belegt wird von Debian in der ESP nur ein Bruchteil davon. Die /boot/efi/EFI/debian/grubx64.efi eines Rechners, auf den ich gerade Zugriff habe, hat nur 120kByte.

1GB für /boot ist in vielen Fällen ausreichend. Man braucht Platz, um 3 Kernel samt initrd ablegen zu können. Bei Upgrades wird immer der vorherige Kernel stehen gelassen, um im Notfall, sollte der frisch installierte nicht booten, auf den vorherigen zurückgreifen zu können. Sollten sich bereits zwei Kernel in /boot befinden, wird Platz für einen dritten benötigt. Aufräumen, um wieder nur zwei Kernel stehen zu haben, geht mit entsprechenden apt-Aufrufen.

Dummerweise ist die Größe der initrd schwer vorhersehbar, das hängt z.B. davon ab, ob bestimmte Hardware verbaut ist, dessen Kernelmodule für den Bootvorgang relevant sind und nicht später geladen werden können. Diese werden in die initrd gesteckt. Bei mir sind gerade zwei initrd mit 54MB und 37MB in /boot. Eine initrd kann aber auch 300MB groß werden. Mit einem GB bist du also im Rahmen dessen, was normalerweise immer funktionieren sollte.

[Kessl]

Danke, dann lasse ich das System wie es ist und fange Später an es einzurichten.
Exotische Hardware habe ich keine, soll nur ein kleiner Heimserver werden und Manjaro hat mich verärgert, also teste ich nach 2 Jahrzehnten mal wieder Debian.

[cosinus]

soll nur ein kleiner Heimserver werden ...

Kein Desktop?
Dann musst du da bei jemand reboot in den Keller rennen und das Passwort zur Entschlüsselung/Freigabe des cryptodevs eingeben

also teste ich nach 2 Jahrzehnten mal wieder Debian.

Debian stable ist perfekt für Server! Gute Wahl!

[MSfree]

Dann musst du da bei jemand reboot in den Keller rennen und das Passwort zur Entschlüsselung/Freigabe des cryptodevs eingeben

Nö, das geht bequem vom Fernsehsessel aus via SSH:

https://www.cyberciti.biz/security/how- ... -in-linux/

[cosinus]

Danke, dropbear-initramfs kannte ich wirklich noch nicht

[rhHeini]

So, hier mal eine Gegenstimme gegen die Minimalisten. Wenn Du ein einigermassen grosses Speichermedium für Dein System hast (so ab 128G), dann macht sparen an Platz nicht mehr wirklich Sinn. Ich gehe nebenbei davon aus dass Du die Daten auf einem separaten Medium einbindest. Mit den minimalen Grössen anzufangen mag zwar klappen, aber im Betrieb passieren Dinge die Du nicht vorhersiehst. Und Du stehst dann möglicherweise vor Platzproblemen die Du nicht vorhergesehn hast.

Für eine efi-Installation brauchst Du eine ESP, Grösse zwischen 128M bis 512M, die Größe ist eigentlich egal, muss aber FAT32 sein, wird dann vom System unter /boot/efi eingebunden. Bei einem Fileserver mit einem OS reicht eigentlich 128M.

Eine unverschlüsselte /boot mache ich immer 2048M = 2G gross, damit ich auf keinen Fall in Platzprobleme laufe. die kann an nämlich nicht einfach mal vergrössern wenn es doch mal klemmt weil direkt dahinter dann das verschlüsselte root liegt.

Auch wenn es nur ein Fileserver ist, lege ich da 32G für / an, /home inklusive, alle Daten auf eigenem Laufwerk.

Meine Erfahrung: plane von Anfang an großzügig wenn möglich, im Endeffekt hast Du langfristig weniger Arbeit und Ärger.