Ich möchte /root /home /daten /swap verschlüsseln

[tomdebian18]

Ich bin neu hier.
Ich komme von Ubuntu arbeite schon seit 5 Jahren mit Debian (solid as a rock) .
Ich möchte /root /home /daten /swap verschlüsseln.
Ich habe mich gestern Abend ganz lang mit dem Installer beschäftigt.
Wie geht so eine Installation?

Vielen Dank im Vorraus

[kreuzschnabel]

Ganz einfach. Du erstellst bei der Installation erst

• die EFI-System-Partition von ca. 100 MB, gemountet auf /boot/efi
• eine boot-Partition von ca. 1 GB, gemountet auf /boot

Dann richtest du im restlichen Speichervolumen ein verschlüsseltes Volume ein (findest du im Installer).

Anschließend richtest du im verschlüsselten Volume mit dem LVM logische Volumes für root, Swap, Home und Daten ein und weist ihnen in der Partitionierung händisch ihre Mountpunkte zu.

Dann ganz normal weiter

Vorhandene Daten werden dabei nicht verschlüsselt, sondern gelöscht – d.h. die musst du hinterher vom Backup einspielen.

--ks

[rhHeini]

man kann aber auch /home und/oder /daten auf separaten partitionen einzeln verschlüsseln. muss die aber nachträglich einbinden.

[cosinus]

auf separaten partitionen einzeln verschlüsseln

Das wäre aber unglücklich. Muss man dann nicht für jede zu entsperrende Partition das Passwort eingeben? Normalweise wird das doch daher per LVM erledigt. Ein verschlüsselter LVM-Container der die Volumes für root, home, swap usw enthält.

[debianoli]

man kann aber auch /home und/oder /daten auf separaten partitionen einzeln verschlüsseln. muss die aber nachträglich einbinden.

Nutze ich seit Jahren und funktioniert gut über /etc/cryptab .

dazu dann noch plymouth beim Hochfahren einrichten. Wenn man jetzt das gleiche Passwort für alle Partitionen habe, erledigt Plymouth die Entsperrungnach eingabe des 1. Passworts

[tobo]

Ich möchte /root /home /daten /swap verschlüsseln.
Ich habe mich gestern Abend ganz lang mit dem Installer beschäftigt.
Wie geht so eine Installation?

Ich mach das auch nur jedes Schaltjahr, aber habe das gerade mal in einer VM durchexerziert. Der Partitionierungsteil und ohne LVM:

Code: Alles auswählen

...
-Partitionierungmethode: Manuell
-Festplatte auswählen
-Leere Partionstabelle: ja

-Freier Speicher auswählen
-Eine neue Partition erstellen
-1.5 GB
-Typ: Primär
-Position: Anfang
-  -Einbindungspunkt: /boot
   -Boot-Flag: Ein
   ++Anlegen der Partition beenden

-Freier Speicher auswählen
-Eine neue Partition erstellen
-20 GB
-Typ: Primär
-Position: Anfang
-  -Einbindungspunkt: / (ist default)
   ++Anlegen der Partition beenden
  
-Freier Speicher auswählen
-Eine neue Partition erstellen
-<RAM-Größe + x> GB
-Typ: Logisch
-Position: Anfang
-  -Benutzen als: Auslagerungsspeicher (Swap)
   ++Anlegen der Partition beenden
   
-Freier Speicher auswählen
-Eine neue Partition erstellen
-X GB
-Typ: Logisch
-Position: Anfang
-  -Einbindungspunkt: /home (ist default)
   ++Anlegen der Partition beenden 

-Freier Speicher auswählen
-Eine neue Partition erstellen
-Restgröße GB (ist default)
-Typ: Logisch
-Position: Anfang
-  -Einbindungspunkt: von Hand angeben -> /daten
   ++Anlegen der Partition beenden    

-Verschlüsselte Datenträger konfigurieren
-Änderungen auf Platte schreiben: Ja
-Verschlüsselten Datenträger erzeugen
-alle bis auf den obersten mit <SPACE> markieren und <Weiter>
-Anlegen der Partition beenden (/root)
-Anlegen der Partition beenden (swap)
-Anlegen der Partition beenden (/home)
-Anlegen der Partition beenden (/daten)
-Fertigstellen
-Daten Löschen: Ja (/root)
-Daten Löschen: Ja (swap)
-Daten Löschen: Ja (/home)
-Daten Löschen: Ja (/daten)

-Verschüsselungspassphrase: Geheimes_Passwort (/root)
-Erneute Eingabe: Geheimes_Passwort (/root)
-Verschüsselungspassphrase: Geheimes_Passwort (swap)
-Erneute Eingabe: Geheimes_Passwort (swap)
-Verschüsselungspassphrase: Geheimes_Passwort (/home)
-Erneute Eingabe: Geheimes_Passwort (/home)
-Verschüsselungspassphrase: Geheimes_Passwort (/daten)
-Erneute Eingabe: Geheimes_Passwort (/daten)

-Nr.1 vom obersten verschlüsselten Volume auswählen
-   -Einbindungspunkt: /
    -Anlegen der Partition beenden
-Nr.1 vom nächsten verschlüsselten Volume auswählen
-   -Benutzen als: Swap
    -Anlegen der Partition beenden
-Nr.1 vom nächsten verschlüsselten Volume auswählen
-   -Einbindungspunkt: /home
    -Anlegen der Partition beenden
-Nr.1 vom untersten verschlüsselten Volume auswählen
-   -Einbindungspunkt: von Hand angeben -> /daten
    -Anlegen der Partition beenden

-Partitionierung beenden und Änderungen übernehmnen
-Änderungen auf Platte schreiben: Ja
...

-Würde sich vielleicht anbieten, das in einer VM zu testen
-Wenn du in einer VM simulierst, dann müssen natürlich abschließend nicht die Daten gelöscht werden
-Die gewählte Reihenfolge ist /boot/, /, swap, /home, /daten
-/boot ist unverschlüsselt, könnte man aber nachträglich ändern
-Wenn /daten auf einer anderen Platte liegen soll, dann bereits bei /home den restlichen Plattenspeicher benutzen und bei /daten entsprechend das Laufwerk anpassen
-die /-Größe ist für deine Anforderung vielleicht zu klein. Außerdem musst du ~2/3 des benutzen Plattenplatzes für ein Anheben der Version hinzurechnen (falls eingeplant)
-Um beim Boot nur ein Passwort einzugeben, kann man nachträglich Keyfiles einrichten

[hikaru]

auf separaten partitionen einzeln verschlüsseln

Das wäre aber unglücklich. Muss man dann nicht für jede zu entsperrende Partition das Passwort eingeben?

Nicht, wenn du auf / ein Keyfile ablegst, mit dem dann die weiteren Partitionen entschlüsselt werden.

Ein verschlüsselter LVM-Container der die Volumes für root, home, swap usw enthält.

... erzeugt zusätzliche Komplexität. Wenn man mal von außen an das System muss, muss man nicht nur wissen, wie cryptsetup funktioniert, sondern zusätzlich noch, wie LVM funktioniert.

[cosinus]

erzeugt zusätzliche Komplexität.

Mit diesem Argument müsste man auf Verschlüsselung verzichten

[rhHeini]

... erzeugt zusätzliche Komplexität. Wenn man mal von außen an das System muss, muss man nicht nur wissen, wie cryptsetup funktioniert, sondern zusätzlich noch, wie LVM funktioniert.

na und? ich mach das seit knapp 20 jahren so. ohne dass ich grössere probleme gehabt hätte. ich hab gelernt damit umzugehen.