[Gelöst] Debian Systempartition verschlüsseln.

[ottonormal]

Hallo,

ich habe einen 32GB USB-Stick auf dem ich ein verschlüsseltes Debian installieren möchte.
Es soll aber auch noch eine unverschlüsselte Partition darauf erstellt werden.
Irgendwie bin ich aber wohl zu blöd dafür, ich bekomme es immer nur so hin, dass die ganze
Festplatte komplett verschlüsselt ist.
Mit Linux Mint ist mir das ja mal dank Forumhilfe ganz gut gelungen, mit Debian leider (noch) nicht.
Wie muss ich bei der Partitionierung vorgehen, dass neben der unverschlüsselten Bootpartition
eine verschlüsselte Systempartition incl. Swap entsteht und dann noch Platz für eine
unverschlüsselte Datenpartition bleibt?

Im Netz habe ich schon diverse Anleitungen dazu gefunden, bei allen wird aber immer auch
die ganze Platte verschlüsselt.

Gruß, ottonormal

[DeletedUserReAsG]

Wenn du nicht zwingend auf den Installer festgenagelt bist, würde sich ein Aufsetzen mittels z.B. debootstrap anbieten. Da kann man sich alles so einrichten, wie man’s möchte. Wenn der Installer genutzt werden muss (warum auch immer), könnte man wahrscheinlich immer noch vorher partitionieren und die nicht zu verschlüsselnde Partition zunächst ungenutzt lassen, um sie später (manuell) einzubinden. Aber damit kenne ich mich nicht aus – habe den Installer irgendwie seit Jahren nicht genutzt …

[schwedenmann]

Hallo


Beispiel für Partitionieren im Vorraus.

200 MB für späteres boot sda1

200GB für / /home und /swp sda2

100GB für die unverschlüsselte Partition, die du später irgendwo unter / einbinden kannst. sda3

Die 3 Partitionen erstellst du, wobei du die ruhig schon formatieren kannst.

Im debianinsatller, im Expertenmodus, nimmst du manuelle Partitionierung, dann weißt du sda1 /boot zu, sda2 wird ein verschlüsseltes physikalisches device.

Innerhalb dieses devices legst du dann lvm an also eine volumegroup die das verschlüsselte physikalsische devcie umfaßt und darin dann 3 logische volumegroups die dann / /home + /swap sind. die jeweilige Größen diesen volumegroups kannst du angeben, danach werden diese volumegroups jeweils mit einem Dateisystem versehen.

Der Rest läuft dann ab wie bei einer normalen Installation. Nach dem eresten booten, editierst du die fstab und fügst sda3 hinzu.

Dann hast du ein unverschlüsselte /boot ein verschlüsseltes /home / + /swap, sowei ein unverschlüselte Partition innerhalb von /.

Der Knackpunkt ist das physikalische device und das anlegen von lvm mit 3 log. volumegroups auf diesem verschlüsselten physikalischem device.

mfg
schwedenmann

[ottonormal]

@niemand
Danke für den Tipp, hab es mir hier:
http://wiki.debianforum.de/Debootstrap
mal angesehen. Ich glaube aber bis ich mich da reingefummelt habe, habe ich das
mit dem normalen Debianinstaller schon fertig, ich bin auch nicht so der Konsolenfreund,
zumal bei solchen Aktivitäten.

Ich habe es jetzt aber in der VBox ein paar mal durchgespielt und tatsächlich auch geschafft,
ich weiß nur nicht mehr genau wie .
Also werde ich es noch einmal machen und mir jeden Schritt der Partitionierung notieren.
Die Swap-Partition habe ich erst noch weggelassen, eigentlich wollte ich ja System- und
Swap-Partition in einem verschlüsselten Volume zusammen haben, weiß aber nicht wie
das geht. Eine verschlüsselte Swap lässt sich ja hinterher auch noch anlegen.

@schwedenmann
Danke auch Dir. Das vorherige Partitionieren hatte ich jetzt ja schon gemacht, den Rest
Deiner Anleitung werde ich morgen mal testen. Ich weiß aber nicht, ob mich der
Expertenmodus nicht überfordert. Ich hatte das früher mal probiert, aber dann wieder
abgebrochen weil mir das alles zu verwirrend war.
Aber wie gesagt, ich werde das noch mal probieren

[ottonormal]

Langsam hab' ich die Faxen dicke!
Nach mehreren Versuchen in der Virtualbox ist es mir dann gelungen nach @schwedenmanns
Anleitung das System auf dem USB-Stick so zu installieren wie ich es habe wollte, allerdings
habe ich das mit dem normalen Debianinstaller gemacht, nicht den Expertenmodus benutzt.

Eine Bootpartition auf sdc1
Eine crypt-luks Partition mit "/" und Swap darin auf sdc2.

Dafür habe ich auch 2 Anläufe gebraucht. Beim Ersten wollte sich Grub nicht auf sdc installieren
lassen. Beim Zweiten (an einem anderen USB-Anschluss) lief alles glatt durch, auch Grub auf sdc.
Nur booten will er nicht. Wenn ich im Bootmenü den USB-Stick auswähle, lande ich nach einer Weile
im Standard-Grubmenü meines Rechners. Auch wenn ich es mit der Super-Grub-disk-2 versuche,
habe ich keinen Erfolg.

Was kann das sein?
Zu meinem Stick: Es ist ein CORSAIR-VOYAGER GT USB3.0-Stick mit 32GB.
Kann es sein, dass ein USB3-Stick nicht von einem USB3-Anschluss booten KANN?
Oder dass der Stick vielleicht gar nicht bootfähig ist? Eigentlich dachte ich immer, dass es das
heute gar nicht mehr gibt.
Oder hängt es mit der Verschlüsselung zusammen?

Ich habe ja schon öfters Linux auf USB-Sticks oder auch auf SD-Karten installiert und noch nie
Probleme damit gehabt. Allerdings ist es das erste mal, dass ich ein verschlüsseltes Sytem auf
einen Stick installiert habe.
Wenn es mit der Verschlüsselung zusammenhängt, würde ich mir evtl. auch ein unverschlüsseltes
Debian installieren. Aber nur sehr ungern.
Ich habe diesen Stick für unterwegs, mit allen meinen privaten Daten darauf. Ich möchte/muss
den Stick auch ganz normal zum Datentransport von und zu verscheidenen Rechnern, auch mit
Windows darauf, nutzen.

[TomL]

Allerdings ist es das erste mal, dass ich ein verschlüsseltes Sytem auf
einen Stick installiert habe.
Wenn es mit der Verschlüsselung zusammenhängt, würde ich mir evtl. auch ein unverschlüsseltes
Debian installieren. Aber nur sehr ungern.
Ich habe diesen Stick für unterwegs, mit allen meinen privaten Daten darauf. Ich möchte/muss den Stick auch ganz normal zum Datentransport von und zu verscheidenen Rechnern, auch mit
Windows darauf, nutzen.

Darf ich dich mal fragen, warum es nicht ausreichend ist, nur einen Datencontainer zu verschlüsseln? Warum ist es sinnvoll ein gesamtes -quasi öffentlich verfügbares- Betriebssystem zu verschlüsseln... und gerade auch vor dem Hintergrund, dass das auf USB sowieso schon langsam ist?

[DeletedUserReAsG]

Auch, wenn ich nun nicht direkt gefragt wurde, antworte ich mal: ich verschlüssele meine Systeme, um etwa Manipulationen am System oder installierter Software durch Dritte mit Hardwarezugriff während meiner Abwesenheit zu unterbinden. Außerdem sind damit auch Konfigurationsdateien (die oft genug schützenswerte Daten enthalten), Schlüssel und sonstiger Kram vor unbefugtem Auslesen geschützt, und nicht zuletzt würden auch Logs einem Angreifer wertvolle Informationen liefern.

Kurz: hat jemand Zugriff auf einen ausgeschalteten Laptop mit unverschlüsseltem System, kann er zum Beispiel: einen Keylogger und/oder andere Spyware installieren, sich im Weiteren Zugriff auf die verschlüsselte Datenpartition verschaffen, eine Backdoor einrichten, ein Zertifikat einschleusen, mit dem fortan „man in the middle“-Angriffe möglich sind, sich als ich ausgeben, und so weiter.

Bevor du fragst: ja, ich habe was zu verbergen. Und wenn’s nur mein Tagebuch ist.

[ottonormal]

Darf ich dich mal fragen, warum es nicht ausreichend ist, nur einen Datencontainer zu verschlüsseln? Warum ist es sinnvoll ein gesamtes -quasi öffentlich verfügbares- Betriebssystem zu verschlüsseln... und gerade auch vor dem Hintergrund, dass das auf USB sowieso schon langsam ist?

Natürlich darfst Du das. Ein Datencontainer soll unabhängig vom System sowieso noch
auf der Datenpartition angelegt werden.
Ein verschlüsseltes System darauf möchte ich unter anderem z. B. dafür nutzen um bei
einem Bekannten vor Ort ein Schlüsselpaar oder gute Passwörter zu erzeugen.
Ja ich weiß, das geht auch auf einem unverschlüsselten, aber wenn es möglich ist, spricht
glaube ich nichts dagegen.
Außerdem kann ein Stick auch schnell mal verloren gehen oder wird gestohlen.
Was die Geschwindigkeit angeht, finde ich, wenn der Stick schnell genug ist, ist damit
ein fast normales arbeiten möglich. Videos konvertieren oder ähnliches kommt damit
wohl nicht so oft vor.

Ach, @niemand war schneller, danke für die Unterstützung aber genau das ist es.

[ottonormal]

Ich habe jetzt noch mal einen Versuch gestartet.
Die letzte Testinstallation in der VBox war ja genau wie ich es mir vorgestellt hatte und hatte auch
gut funktioniert. Also habe ich von dieser virtuellen Festplatte mit RedoBackup ein Backup gemacht
und das dann auf eine 32GB-SD-Karte (also nicht den Stick) übertragen.
Das hat dann zu meinem eigenen großen Erstaunen auf Anhieb funktioniert!

Also habe ich das dann auf meinen USB-Stick ebenso übertragen. Der will aber, wenn er im Bootmenü
ausgewählt wird, nach wie vor nicht booten.
Ich habe dann die Super-Grub-Disk-2 gestartet und dort den Eintrag:

Code: Alles auswählen

(hd3, msdos1)/grub/i386-pc/core.img

gefunden und gestartet, damit funktionierte es ganz normal!
Also ist das System auf dem Stick doch in Ordnung, nur warum bootet der nicht?

Das der Stick booten KANN, hatte ich schon festgestellt. Dazu hatte ich testshalber mal ein normales,
unverschlüsseltes Debian darauf installiert. Nur eine Partition, 10GB groß, sonst nichts, also keine
separate Boot-Partition. Damit ist der Stick problemlos gestartet.

So sieht die Festplattenbelegung aus:
http://www.pic-upload.de/view-29029440/gparted.png.html

[ottonormal]

Es ist geschafft, der Stick bootet, Grub-Customizer war (mal wieder) die Rettung.
Jetzt habe ich den Stick so wie ich ihn wollte, also geht es doch!
Noch einmal Danke für Eure Hilfe.

[ottonormal]

Kleine Einschränkung noch, der Stick macht zwar was er soll, ich hatte aber überhaupt
nicht mehr daran gedacht, dass Windows mehr als eine Partition auf einem USB-Stick
nicht kann!
Die Datenpartition ist zwar exFAT-formatiert, Windows weigert sich aber beharrlich diese
anzuerkennen. Selbst wenn ich auf einem Teststick 2 Partitionen mit exFAT anlege, werden
die unter Windows-7 nicht akzeptiert.

Weiß jemand ob das bei Windows 10 immer noch so ist?
Ich würde deshalb natürlich trotzdem nicht zu Windows 10 wechseln, nur interessehalber.
Virtuelle Arbeitsflächen verkauft Microsoft ja auch als bahnbrechende Innovation in W-10,
wie lange gibt es die schon in Linux?