System mit zwei Festplatten verschlüsseln

[Radfahrer]

Hallo,
ich möchte ein System voll verschlüsseln.
Das soll folgendermaßen aussehen:
Festplatte 1: SSD mit drei Partitionen (unverschlüsselte /boot, verschlüsselte / und /home (swap brauche ich nicht)).
Festplatte 2: HDD mit einer Partition als Datengrab.

Wie mache ich das am geschicktesten? Es soll so sein, dass ich nur eine Passphrase eingeben muss. Ich bin mir nun nicht sicher. Habe viel gelesen über LVM, LUKS, Schlüsselableitung, usw., bin mir aber nicht sicher, wie und ob ich das mit dem Debian-Installer machen kann oder ob ich vorher partitionieren muss, ob LVM oder nicht, oder, oder...

Für ein paar Stichworte wäre ich dankbar.

[dirk11]

Ich hab das bisher nur mit zwei verschlüsselten Partitionen (ein / und ein /swap) und nutze den Weg der Schlüsselableitung für das swap. Das funktioniert, einmal einrichten und für den Rest des Lebens vergessen. Wie man eine zweite Festplatte vollverschlüsselt weiss ich nicht, habe ich noch nie gemacht. Ich hab immer nur den Installer verschlüsseln lassen, der macht das sehr gut.

[peschmae]

Ich habe selber eine sehr ähnliche Konfiguration am laufen - allerdings stört es mich nicht weiter, für mein "Datengrab", was ich eh nur bei bedarf mounte ein zusätzliches Passwort einzugeben.

Ich würde einfach das System "normal" auf die SSD installieren, und dann die Geschichte mit Schlüsselableitung für die zweite Festplatte von Hand aufsetzen...

MfG Peschmä

[peschmae]

Hab mir gerade gedacht, ich könnte das ja eigentlich auch aufsetzen - ist in 5 Minuten nächträglich eingerichtet, mit der Anleitung auf die dirk11 verlinkt hat. Funktioniert. Ich würde das System also wie "normal" installieren und das mit den abgeleiteten Schlüsseln nachträglich einrichten - geht problemlos.

Einziger Nachteil ist bisher, dass das booten etwas länger dauert mit den Einträgen in /etc/crypttab und fstab, weil er zwischendurch mal die Festplatte hochfährt und mountet. Werde das wohl irgendwie noch asynchron machen...

MfG Peschmä

[Radfahrer]

Ich würde das System also wie "normal" installieren und das mit den abgeleiteten Schlüsseln nachträglich einrichten - geht problemlos.

Was verstehst du denn unter "normal" installieren? Über den Installer die Systemplatte mit verschlüsseltem LVM?
Und dann nachträglich die Datenplatte verschlüsseln (z.B. mit der Laufwerksverwaltung)? Danach dann die Schlüsselableitung bauen?

[peschmae]

"Normal" meine ich ohne die Schlüsselvererbung, ich glaub nicht dass der Installer das kann.

Also entweder "Verschlüsseltes LVM" auswählen, wobei ich das so noch nie benutzt habe. Ich hab immer von Hand erst eine grosse verschlüsselte Partition (auf der SSD) eingerichtet, dann darauf ein LVM mit zwei Logical Volumes für / und /home.
Dasselbe kann man auch gleich im Installer für die HD einrichten - also eine grosse Verschlüsselte Partition darauf, und dann ein eigenes LVM (also *nicht* das zusätzliche Physical Volume deinem LVM von der SSD hinzufügen, sondern ein neues mit anderem Namen einrichten.) mit den gewünschten Logical Volumes.

In letzter Zeit habe ich auch ein paar Systeme mit Btrfs eingerichtet - da hab ich dann jeweils statt LVM + Logical Volumes nur eine Btrfs-Partition eingerichtet und dann jeweils ein subvolume für / und /home (das geht allerdings im Installer noch nicht, hab ich dann jeweils nebenbei während der Installation auf der Kommandozeile eingerichtet und gemountet). Btrfs ist allerdings noch nicht ganz so zuverlässig - würde ich nur bedingt empfehlen, wenn man die zusätzlichen Features die es bietet wirklich zu nutzen gedenkt.

MfG Peschmä

[Radfahrer]

Ah, alles klar, werde mal ein wenig rumprobieren. Leider hat sich gerade unerwarteter Besuch angekündigt.

Erschwerend kommt nun allerdings dazu, dass meine VirtualBox plötzlich Probleme macht. Immer, wenn man es mal wirklich braucht.

Aber gut, werde ich schon hinkriegen.
Vielen Dank schon mal. Kann etwas länger dauern aber ich melde mich wieder.

[kampa133]

Hallo, ich habe auch einen Rechner mit 2 Platten.

sda1 /boot
sda2 luks
sdb1 luks
aus sda2 und sdb2 kommt eine lvm volume-group

Wenn ich jetzt hochfahre kommt eine Fehlermeldung die besagt, dass die lv bzw. vg noch nicht da ist. Dann kommt die Passwortabgfrage für die beiden luks Partitionen und danach fährt der Rechner hoch.

Also nur ein Schönheitsfehler. Wie kann ich denn jetzt grub beibiegen bitte erst die verschlüsselten Festplatten zu öffnen und anschliessend lvm zu starten. Muss ja irgenwas mit grub2 sein aber ich weiss nicht wo ich genau suchen soll.

[peschmae]

Das ist schon in Ordnung so. Das ist normal. Was du dem Grub (und damit dem Kernel) sagst ist ja nur welches volume du brauchst. Dann detektiert er das halt selbständig (und findets nicht)...

MfG Peschmä

[kampa133]

Hat denn jeder der seine Festplatte mit LUKS und LVM macht diese Meldung? Ich finde es halt echt hässlich.

Das gnome-disk-utility findet auch nur die beiden Verschlüsselten Platten und keine logischen Volumes.
Diese Platten werden auch zu allem Überfluss als immer noch verschlüsselt angezeigt. Auch in Nautilus sind die Platten als verschlüsselt angezeigt.