LVM komplett verschlüsselung

[Payne_of_Death]

Huhu,

ich möchte gerne mein komplettes Notebook mit einem verschlüsselten LVM absichern....Allerdings möchte ich nicht für jede einzelne Partition eine Passphrase eingeben....

Vielmehr eine Art Master Passphrase verwenden um damit das komplette System aufzusperren.....

Da ich nun diverse Seiten im Netz angesurft habe und bzgl. meines Anliegens nicht schlauer geworden bin möchte ich generell einmal nachfragen ob dies überhaupt möglich wäre....

Ich vermute das es eine Form von verschlüsselten Container gibt in welchem ich alle Partitionen anlegen kann.

Ich hoffe Jemand kann mir in der Sache ein paar Tipps zur Vorgehensweise geben oder sogar ein paar Nachschlageressourcen im Netz

Vielen Dank für all eure Anmerkungen

[Lohengrin]

Das was du vorhast, ist ein ganz gewöhnlicher Fall. So mache ich es. Und so machen es wohl die meisten, die ihre Platte verschlüsseln.
Das Prinzip ist:
2 Partitionen (zB sda1 und sda2). Auf der einen (sda1) /boot . Auf der anderen (sda2) etwas Verschlüsseltes. dmcrypt macht aus der anderen (sda2) eine neue Partition (sda2_crypt). Mit lvm wird dann sda2_crypt zerlegt. Eine Volumegroup (wombat) benutzt sda2_crypt, und wird dann in die logischen Partitionen (wombat-root, wombat-swap, wombat-home, ...) zerlegt.
dmcrypt, lvm und die passenden Skripte befindet sich auf der Initrd. Der Bootloader, der Kernel, und die Initrd sind auf sda1 (also unverschlüsselt), und können wie gewohnt gestartet werden. Du wirst beim Booten nach einem Passwort gefragt, und das wars.

Der Installer installiert das alles problemlos. Du musst nur bei der Partitionierung auf manuell gehen, und die Sachen nach dem oben genannten Prinzip aufteilen und zuweisen.

[Payne_of_Death]

Ah vielen Dank....

sicherst du den Grub/Lilo auch ab?

[Lohengrin]

sicherst du den Grub/Lilo auch ab?

Nein. Wozu soll das gut sein? Der Bootloader und der Kernel liegen unverschlüsselt auf der Platte, können also leicht verändert werden.

[tegula]

@lohengrin was muss man denn auswählen, um sda2_crypt dann "zerlegen" zu lassen?

[Akendo]

Haette wer vielleicht ein nettes Howto als offline Version, bzw als PDF?

[schwedenmann]

Hall


Beutzt mal die FS, es existiert in einem Thread ein link auf eine sehr schöne Installationsbeschreibung mit rund 60 Photos, genau zu diesem Thema.

separte /boot, der rest der Platte als verschlüsseltes physikalisches device, dann die 2. große Partiton als LVM mit den Mountpoints / /home /swap und falls gewünscht, noch /vbar und /srv defineiren, reboot und man hat ein vollverschlüseltes System.

mfg
schwedenmann

[tegula]

Hab jetzt Debian nach anleitung auf http://kaoso.org/debian_installer-lenny/ installiert, aber der installer sagt, dass die installation des bootloaders (komischersweise lilo statt grub) fehlgeschlagen ist. Nun weiß ich nicht wie ich Debian booten soll. Die root-partition ist ja nun auch verschlüsselt. Was muss ich zusätzlich in grub eingeben um booten zu können?

[Lohengrin]

Hab jetzt Debian nach anleitung auf http://kaoso.org/debian_installer-lenny/ installiert, aber der installer sagt, dass die installation des bootloaders (komischersweise lilo statt grub) fehlgeschlagen ist. Nun weiß ich nicht wie ich Debian booten soll. Die root-partition ist ja nun auch verschlüsselt. Was muss ich zusätzlich in grub eingeben um booten zu können?

Lilo? Das sieht danach aus, dass /boot Teil des LVM ist. Grub kommt damit nicht klar, hat aber andere Vorzüge.

[Akendo]

Hier fuer sollte man grub2 installiert haben, das macht die ganze Sache einfacher.

[Danielx]

Das sieht danach aus, dass /boot Teil des LVM ist.

Wenn /boot allerdings Teil eines verschlüsselten LVM ist, dann wäre das ziemlich blöd, denn dann müsste sich /boot selbst entschlüsseln, was logischerweise nicht funktionieren kann.

Gruß,
Daniel

[Lohengrin]

Das sieht danach aus, dass /boot Teil des LVM ist.

Wenn /boot allerdings Teil eines verschlüsselten LVM ist, dann wäre das ziemlich blöd, denn dann müsste sich /boot selbst entschlüsseln, was logischerweise nicht funktionieren kann.

Vllt funktioniert das ja doch. Bei Lilo wird, glaube ich (ich habe Lilo noch nie benutzt, aber bei einem LVM mit /boot drin hatte ich mal Lilo bekommen, und konnte nichts dagegen tun), ohne Rücksicht auf das Dateisystem direkt von der Platte gelesen. Wenn das Ding ohne Verschlüsselung reingeschrieben wird, und das im MBR korrekt angegeben wird, kann das geladen werden.

[Danielx]

Ja, LILO weiß nichts von Dateisystemen.
Allerdings kann LILO auch kein LVM entschlüsseln.

Gruß,
Daniel

[tegula]

danke lohengrin hatte tatsächlich keine nicht-verschlüsselte /boot-Partion angelegt. Nach erneuter installation kommt nun beim booten zweimal hintereinander die meldung, dass die Volumegroup nicht gefunden wurde (mit name der Volumegroup). Danach werde ich nach meiner passphrase gefragt, bekomme aber die Meldung, dass kein schlüssel zu dieser passphrase existiert. Woran kann das liegen?

[jeff84]

Danach werde ich nach meiner passphrase gefragt, bekomme aber die Meldung, dass kein schlüssel zu dieser passphrase existiert. Woran kann das liegen?

Solange nicht entschlüsselt ist, kann der eigentlich keine VolGroup finden.
Zu deinem Pass-Problem. Kann es sein, dass du Sonderzeichen drin hast, und in der initrd gibbet nur ein englisches Tastaturlayout?

[tegula]

ne das kann eigentlich nicht das problem sein.

[jeff84]

Schau doch mal ob du die verschlüsselte Partition von einem Live-System aus entschlüsseln kannst... Es könnte auch sein, dass irgendein Kernel-Modul für die Verschlüsselung fehlt oder nicht geladen ist...

[Lohengrin]

Nach erneuter installation kommt nun beim booten zweimal hintereinander die meldung, dass die Volumegroup nicht gefunden wurde (mit name der Volumegroup).

Das ist nur ein Schönheitsfehler. Es funktioniert trotzdem.

Danach werde ich nach meiner passphrase gefragt, bekomme aber die Meldung, dass kein schlüssel zu dieser passphrase existiert. Woran kann das liegen?

Falscher Zeichensatz oder falsche Zeichenkodierung.
Spiel mal ein bisschen rum. Installier noch mal mit kleineren Partitionen und lass das Überschreiben der verschlüsselten Partition mit Zufallszahlen weg.