Debian 12 Testing, TPM, Dracut und verschlüsseltem LVM

[teklord]

Hallo, ich hänge bei der Installation und finde den Fehler nicht.

Ich glaube das der Fehler bei systemd-boot liegt, da er bei einem reboot immer in Grub landet und wenn ich Grub entferne erst gar nicht in den Bootloader kommt.

Ich hänge mal meine Doku an, vielleicht hat ja jemand eine Idee.

Danke




Debian Testing installation mit TPM


ISO: Debian 12 Netinst Testing


Secure Boot muss im Bios/UEFI aktiviert sein


Installation mit Verschlüsseltem LVM

Secure Boot an?

$ sudo mokutil --sb-state



$ sudo apt install tpm2-tools dracut tpm2-openssl

TPM wipe, und PiN

$ sudo systemd-cryptenroll --tpm2-device=auto --wipe-slot=tpm2 --tpm2-pcrs=7+8 --tpm2-with-pin=yes /dev/nvme0n1p3 löscht das TPM und erzeugt einen eintrag im TPM mit PiN

PCR Flags -> https://uapi-group.org/specifications/s ... _registry/

/etc/crypttab anpassen

$ sudo nano /etc/crypttab

Dort am Ende Folgendes eintragen: "tpm2-device=auto". Das Ergebnis müsste in etwa wie folgt aussehen:

nvme-... UUID=b7d... none x-initrd.attach,tpm2-device=auto


$ sudo dracut --add tpm2-tss

$ sudo dracut -f

Systemd-Boot installieren und konfigurieren

$ sudo apt install systemd-boot

$ sudo nano /boot/efi/loader/loader.conf

muss mit folgendem inhalt gefüllt

default systemd
timeout 1
editor 1

Verzeichnis für konfigurations Dateien

$ sudo mkdir -p /boot/efi/loader/entries

Bootloader installieren

$ sudo bootctl install --path=/boot/efi

systemd-boot ist nun installiert, kennt aber keinen Kernel

erstellen wir

$ sudo /etc/kernel/postinst.d/zz-update-systemd-boot

mit folgendem Inhalt

#!/bin/sh
set -e

/usr/bin/kernel-install add "$1" "$2"

exit 0


erstellen wir

$sudo nano /etc/kernel/postrm.d/zz-update-systemd-boot

mit folgendem Inhalt

#!/bin/sh
set -e

/usr/bin/kernel-install remove "$1"

exit 0

Erstinstallation und initialisierung

$ sudo kernel-install add `uname -r` /boot/vmlinuz-`uname -r`

Grub muss nicht zwangsläufig deinstalliert werden und kann als fallback verbleiben, es wird dann in der ausgabe von "efibootmgr" angezeigt.

Grub entfernen

$ apt purge grub-common






Danke

[Blackbox]

Sieht mir sehr danach aus, als hättest du eine Anleitung abgearbeitet, welche wäre das?
So kann man nachvollziehen, was dessen Autor dokumentiert hat, ob diese eventuell Fehler enthält und dann findet sich bestimmt auch eine Lösung.

[rjh]

Zum Thema systemd-boot (zu den anderen Sachen kann ich nichts beitragen):

Habe hier ein funktionierendes systemd-boot, da wird das Finden und Aktualisieren des zu bootenden Kernels sozusagen von Debian automatisch eingerichtet. Vielleicht ist es da erforderlich zu prüfen, ob die von Dir verwendete Anleitung noch aktuell ist. Da hat sich meines Wissens nach manches geändert bzw. vereinfacht.

[teklord]

Hallo, ich hab mehrere Anleitungen zu den Themen gefunden und wollte diese zu einer für Debian 12 Testing zusammenfassen.

ich geb mal meine ganzen quellen an.

QUELLEN

LUKS2 -> https://askubuntu.com/questions/1470391 ... ryptenroll
https://curius.de/2022/02/verschluessel ... ntsperren/
https://unix.stackexchange.com/question ... pm2-device
https://daemons-point.com/blog/2022/11/ ... yptenroll/
https://wiki.archlinux.org/title/Truste ... ryptenroll

systemd-boot -> https://p5r.uk/blog/2020/using-systemd- ... lseye.html
https://wiki.archlinux.org/title/User:K ... ng_install

dracut -> https://daemons-point.com/blog/2022/11/ ... yptenroll/
https://www.reddit.com/r/Fedora/comment ... tem_and_a/

[Blackbox]

Debian 12 Testing

Was nun?
Debian 12, oder Debian Testing?

ich geb mal meine ganzen quellen an.

Es war zu offensichtlich.
Weiterhin frage ich mich, ob du (bzw. dein Kenntnisstand) deinem Vorhaben (überhaupt) gewachsen bist?
Anleitungen zu kopieren, ohne verstanden zu haben, wieso etwas funktioniert, oder wie bei dir eben nicht, ist nicht besonders smart.
Besonders dann, wenn etwas nicht funktioniert, wird dir das auf die Füße fallen und schnell bewusst werden.

Deswegen frage ich mich, ob es wirklich nachhaltig hilfreich ist, dir bei deinem Problem zu helfen?
Mein Anspruch ist es, der Copy & Paste-Manie, echtes Wissen entgegenzusetzen.

[teklord]

Debian Testing ists...


Ich denke, dachte das ich dem gewachsen sei.
Wäre ich dem gewachsen, hätte es diesen spannenden Beitrag nicht gegeben.

Und wissen kann man nur aufbauen indem man liest, ob es Anleitungen sind oder Bücher.

Jetzt komme ich aber leider nicht weiter.



Grüße

[Blackbox]

Und wissen kann man nur aufbauen indem man liest, ob es Anleitungen sind oder Bücher.

Dieser Annahme liegt ein initialer Denkfehler zugrunde.

[teklord]

Der da wäre?

[Blackbox]

Der da wäre?

Das sollte auf der Hand liegen!

Außerdem hast du nicht gelesen (und schon gar nicht verstanden), sondern lediglich fleißig kopiert.
Und wieder ein Nick verbrannt.

[teklord]

Das sehe ich anders.

[cosinus]

Was genau ist denn jetzt dein Ziel?
Einfach nur ein vollverschlüsseltes System mit Bootloader GRUB oder unbedingt kein GRUB?

[Blackbox]

Das sehe ich anders.

Erst einmal wäre zu klären, auf welche Antwort sich dein generischer Satz überhaupt bezieht.

Von mir aus kannst du dich weiter selbst belügen, aber dein Vorgehen und der damit verbundene Misserfolg sprechen gegen deine Selbstwahrnehmung.

[teklord]

Gehen meine Linux Kenntnisse spricht mein derzeitiger Misserfolg. Deshalb bat ich um Hilfe.

Wenn du nicht helfen möchtest aus oben aufgeführten Gründen ist das völlig OK, nur jemanden so zu beurteilen spricht eigentlich für eine nicht vorhandene Sozialkompetenz.

Und mich hier zu meinen skills aus zu lassen ist nicht so mein Ding.



Wenn also jemand eine Idee hat, ich würde mich freuen.

[teklord]

Was genau ist denn jetzt dein Ziel?
Einfach nur ein vollverschlüsseltes System mit Bootloader GRUB oder unbedingt kein GRUB?

Ziel ist ein verschlüsseltes LVM mit PiN Ablage im TPM.
Grub kann, ich würde aber lieber System-Boot nehmen.

Kurz zur Erklärung, wir haben jetzt mehr als 20Jahren alles mit Windows und Bitlocker verschlüsselt. Was auch im Sales Bereich weiter der Fall sein wird.
Jetzt möchte unser CTO aber für einige unserer Developer gerne Linux einführen und dies auch per TPM geschützt haben.
TPM ist also harte Vorgabe sowie das verschlüsselte LVM.
FDE zu nutzen ist keine Option.


Danke

[cosinus]

Und das verschlüsselte System muss einfach so booten können, ohne dass man einen PIN oder Passphrase eingeben muss?
Oder wäre das ein Problem wenn man diese eingeben muss?
Unser Datenschützer sagte nämlich mal, dass man per Bitlocker geschützte Systeme auch mit einer PIN absichern sollte. Das System also erst hochfährt, wenn man diesen PIN eingegeben hat.

[Meillo]

Ich finde, dass sich teklord hier mit einem validen Problem an uns wendet. Wir sollten also helfen so gut wir koennen.

@Blackbox: Bitte ziehe dich aus diesem Thread zurueck. Dein Tonfall und die Unterstellung eines Doppelaccounts sind nicht angemessen.

[teklord]

Und das verschlüsselte System muss einfach so booten können, ohne dass man einen PIN oder Passphrase eingeben muss?
Oder wäre das ein Problem wenn man diese eingeben muss?
Unser Datenschützer sagte nämlich mal, dass man per Bitlocker geschützte Systeme auch mit einer PIN absichern sollte. Das System also erst hochfährt, wenn man diesen PIN eingegeben hat.

PiN eingabe ist Vorgabe.

Sagt unser Geheimschutzbeauftragter auch.

Ohne PiN ist ein System zu schnell kompromittierbar.

[cosinus]

Also wenn ihr ein PIN eingeben müsst/sollt: dann legt so ein PIN, Passphrase oder wie auch immer ihr das nennen wollt, als Passwort in der SSD/HDD fest. Sollte im UEFI-Setup ("BIOS") gehen.
Die SSD/HDD ist erst dann ansprechbar, wenn man sie entsperrt hat. Dann ist auch eine Verschlüsselung wie mit Bitlocker oder LUKS nicht mehr zwingend nötig.

[teklord]

Das möchte unser CTO nicht.

FDE war meine erste Idee.

[cosinus]

Warum will er das nicht? Das Resultat ist dasselbe: Boot des OS erst wenn PIN eingegeben wurde. Ohne PIN kein Zugriff auf die Daten möglich.
Die Methode mit dem Disk-Passwort hat aber den Vorteil, dass man das OS viel leichter installieren kann, ohne dass man sich mit LVM und Cryptodevices herumschlagen müsste.

[teklord]

Wir hintelegen dort noch anderes, virtuelle Smartcards werden von unserer Software dort abgelegt.

FDE kann über side-channel Angriffe ausgehebelt werden, zumindest unter Labor Bedingungen und ein TPM+PiN zu knacken ist da wesentlich schwieriger.
Deshalb setzen wir unter Windows Bitlocker plus PiN ein.

[cosinus]

Und wie soll das Disk-Passwort ausgehebelt werden?
Dir bzw deinem CTO ist klar, dass wenn man die Disk rausrupft und in einem anderen PC einbaut, das Passwort trotzdem noch nötig ist? Sonst kein Zugriff auf die Daten.

[teklord]

Ja, das ist ihm und mir klar.

Ist das equivalent zum alten IDE- oder SATA Passwort.

[Meillo]

Letztendlich ist egal, warum der CTO das so will. Die Frage ist, wie sich das Problem unter diesen Vorgaben loesen laesst.

[cosinus]

Und warum findet ihr das so unsicher? Gibt es da eine Schwachstelle bzw Angriffspunkt, das Passwort auszulesen oder zu umgehen? Ich möchte das gerne verstehen.