SSD-Festplattenbelegung bei Verschlüsselung.

[ottonormal]

Hallo,

noch mal eine etwas spezielle Frage:
Wenn ich auf einer 128 GB SSD 4 verschlüsselte Systeme installieren möchte mit je etwa einem Viertel der Festplattengröße, also 4 mal ca. 30 GB (die Bootpartitionen lasse ich jetzt mal unberücksichtigt), wird dann von der SSD eine Festplattenbelegung von 100% angenommen auch wenn die wirkliche Datenmenge vielleicht nur 1/4 der Plattengröße ausmacht?
Es sollten ja bei einer SSD immer mindestens 10 bis 20% unbelegt bleiben. Wäre es deshalb ratsam vielleicht die Partitionen alle etwas kleiner zu machen und dann vielleicht ca. 15% unformatiert zu lassen, bzw. eine Leerpartition in der Größe anzulegen die nicht benutzt wird?
Oder habe ich da einen Denkfehler?

Gruß, ottonormal

[smutbert]

Du denkst vollkommen richtig.

Wenn du auf die SSD Rücksicht nehmen willst, könntest du entweder einen Teil unpartitioniert lassen oder eine (ungenutzte) Partition anlegen oder du erlaubst, dass die Informationen über die freien Bereiche durch die Verschlüsselung „durchgereicht“ werden. Letzteres könnte zumindest theoretisch Angriffe auf die Verschlüsselung erleichtern, weil die Angreifer wissen, wo die (verschlüsselten) Daten stehen, ohne dieses Durchreichen erkennen sie ja nicht einmal einen Unterschied zwischen Datenmüll/Zufallsdaten und den verschlüsselten Daten...

[ottonormal]

Danke , dann lag ich ja doch nicht ganz daneben.
Unpartitoniert oder ungenutze Partition, was macht das in der Auswirkung für einen Unterschied? Was wäre davon vorzuziehen?

[smutbert]

Es spielt zwar normalerweise keine Rolle, aber mir wäre die ungenutzte Partition lieber, weil man da der SSD ganz einfach mitteilen kann, dass der Platz dieser Partition frei ist, etwa so

Code: Alles auswählen

# blkdiscard /dev/sdz8

ohne Partition um den freien Platz „drumherum“ geht das nicht so einfach.

[ottonormal]

Alles klar, jetzt bin ich im Bilde, vielen Dank.

Wenn ich das jetzt noch um eine Frage erweitern darf ohne dafür einen neuen Thread aufzumachen:
Ich möchte das alles jetzt mal auf einer externen 128 GB SSD ausprobieren. Dazu will ich aber keine 4 kompletten Neuinstallationen durchführen und einrichten, sondern z. B. eine verschlüsselte Minimalinstallation mit nur dem Nötigsten machen und dann von meinem fertigen Debian-Arbeitssystem mit fsarchiver eine Sicherung aller Verzeichnisse machen und die dann in das neue verschlüsselte System einfügen. Geht das? Welche Verzeichnisse müsste ich dabei evtl aussparen?
Anpassungen von Grub, fstab usw. sind natürlich erforderlich.

[smutbert]

Wozu fsarchiver (geht aber natürlich auch)?

Installier ein System und kopier es, einfach mit »cp -a ...« auf die anderen Partitionen. Die Partitionen und Dateisysteme musst du halt vorher selbst anlegen, aber zumindest ersteres wirst du vermutlich ohnehin vor oder beim Installieren des Systems machen und die Dateisysteme anzulegen ist auch kein Problem.

Wenn das System nicht läuft, brauchst du auch nichts auszusparen.
Wenn das zu kopierende System liefe, wären nur die vielen gemounteten Dateisysteme lästug (die vielen tmpfs und all sowas, aber selbst dann könntest du einfach /-Partition irgendwo noch einmal neu mounten und könntest von dort kopieren ohne etwas aussparen zu müssen).


Je nach Verwendung/Andorderung willst du halt danach vielleicht ein paar andere Dinge anpassen. So könnte es zum Beispiel extrem lästig sein, wenn du bei deiner Grundinstallation bereits einen ssh-Server installierst und dann alle Installationen denselben Host Key haben. Ist aber auch kein Problem, weil sich leicht neue erstellen lassen. Zuerst die alten löschen

Code: Alles auswählen

# rm "/etc/ssh/ssh_host_*_key*"

dann die neuen Schlüssel erstellen

Code: Alles auswählen

# dpkg-reconfigure openssh-server

[ottonormal]

Installier ein System und kopier es, einfach mit »cp -a ...« auf die anderen Partitionen.

Ja, aber das System, das ich kopieren will ist unverschlüsselt, das System in das ich das hineinkopieren will aber verschlüsselt. Deshalb dachte ich, nur die einzelnen Verzeichnisse des unverschlüsselten Systems in das verschlüsselte System zu kopieren. Habe ich jetzt doch einen Denkfehler?

[NAB]

"cp" kopiert doch auch ... sogar auch Verzeichnisse.

Aber ich sehe da trotzdem Probleme ... um ein verschlüsseltes System zu booten, ist etwas mehr Magie in der initramdisk nötig. Und diese Magie fügt der Debian-Installer einem unverschlüsselten System gar nicht erst hinzu. Das könnte man sich sicherlich zurechtbasteln, aber ich wüsste nicht, an welchen Schrauben man da überall drehen muss.

[ottonormal]

Dann werde ich doch wohl um eine komplette Neuinstallation nicht herumkommen. Es ging mir auch eigentlich nur um mein Jessie-Arbeitssystem weil darin sehr viel Zeit und Arbeit investiert wurde und im Laufe der Zeit so vieles hinzugekommen ist dass ich glaube, so ein System bekomme ich genau so nicht noch einmal hin.
Ich hatte mir das Ganze so vorgestellt, dass ich mir meine 4 verschlüsselten Systeme auf der externen Festplatte fertig einrichte und dann auf die interne SSD kopiere. Das wollte ich mir natürlich möglichst einfach machen, deshalb auch die Idee mit der Kopiererei.

[dirk11]

dass ich glaube, so ein System bekomme ich genau so nicht noch einmal hin.

Doch, kriegt man. /etc sichern, /home und /root sichern, eventuell noch /usr, /var und /lib (so daß man jederzeit Zugriff drauf hat, und möglichst mit Linux-Filesystem, so daß die Rechte erhalten bleiben oder in einem gepackten File, welches die gleiche Bedingung erfüllt), Paketliste der installierten Pakete erstellen und dann auf dem neuen System manuell installieren (also keine Meta-Pakete und nur "nach und nach"). Dann kann man immer vergleichen.
Einziger seit Ewigkeiten existierender Nerv-Punkt bei Debian: User- und Gruppen-ID werden für Dienste nach Gusto bzw. Installationszeitpunkt vergeben. Die manuell wieder anzupassen (mache ich, damit in meinem Zoo auf allen Geräten die gleichen ID vergeben sind, das vereinfacht alles sehr auf nfs-Ebene) ist Arbeit und frißt die meiste Zeit daran. Ansonsten: selbst wenn man langsam arbeitet, viel eigene Anpassungen zu prüfen hat, sollte man mit einem Tag Arbeit daran auskommen.

[NAB]

ottonormal, dann versuche es doch einfach!

Dein Jessie muss auf jeden Fall in der Lage sein, verschlüsselte Partitionen zu öffnen und, wenn du die Debian-Standard-Installation nimmst, ebenfalls LVM öffnen können.

Ich würd ne verschlüsselte Minimalinstallation hinlegen, die den identischen Kernel haben sollte wie dein Jessie. Von der Initramdisk dieser Installation machst du dir eine Sicherungskopie (einfach im gleichen Verzeichnis).

Dann entschlüsselst und mountest du diese neue Installation über eine Live-DVD, ebenso wie dein Jessie. fstab und crypttab der neuen Installation sicherst du irgendwo hin (z.B. auf die Boot-Partition), dann löscht du radikal das / der neuen Installation und kopierst dann mit cp -a alles von deinem Jessie rüber. fstab und crypttab holst du dir von der Bootpartition zurück.

Danach versuchst du einfach mal, die Kopie zu booten. Das müsste eigentlich klappen.

Danach kommt dann der spannende Augenblick ... du machst ein "update-initramfs -u" und schaust, ob du danach noch booten kannst. Falls nein ... du hast ja eine Kopie der funktionierenden Initramdisk. Im Moment wüsste ich nicht, woran es dann scheitert, aber vielleicht fällt uns das ein, wenn du ne Fehlermeldung verrätst.

[ottonormal]

@dirk11 und @NAB, danke auch noch mal für diese Hinweise. Ich denke, ich werde doch eine saubere Neuinstallation vorziehen mit Installation der Pakete von der Liste des alten Systems. Vielleicht die Liste erst noch aufteilen und dann Stück für Stück abarbeiten. Es ist eigentlich nur eine Frage der Zeit, kaputtmachen kann ich da ja eigentlich nichts. Die anfängliche Mehrzeit spare ich dann hinterher vielleicht wieder ein, wenn alles auf Anhieb funktioniert statt erst nach div. Fehlermeldungen und Reparaturversuchen.

[NAB]

Die anfängliche Mehrzeit spare ich dann hinterher vielleicht wieder ein, wenn alles auf Anhieb funktioniert statt erst nach div. Fehlermeldungen und Reparaturversuchen.

Das sehe ich genau so. Und bei einer sauberen Neuinstallation wir man auch einiges an Altlasten los.

Du könntest die Gelegenheit nutzen, alles zur Einrichtung Notwendige zu notieren und zu dokumentieren, dann ist es nämlich kein "Geheimnis" mehr, wie du das "perfekte" System zusammengebastelt gekriegt hast. Vieles davon kann man auch in ein Shell-Script packen und beim nächsten Mal automatisch erledigen lassen.

[ottonormal]

Naja, ein "Geheimnis" ist es ja auch so nicht und das "perfekte" System ist Debian selbst ja schon. Was für mich aber perfekt ist, ist für jemand anderen vielleicht das genaue Gegenteil.
Ich verstehe auch nicht so ganz, was und wie ich da dokumentieren soll. Was vielleicht nicht ganz alltäglich ist, dass jemand 4 verschlüsselte Systeme auf einer 128 GB SSD haben will / muss. Dass das geht, hatte ich ja schon in der VirtualBox festgestellt:
http://debianforum.de/forum/viewtopic.php?f=12&t=160013
Perfekt ist mein Rechner für mich schon so, wie er im Moment ist, nur dass die Systeme eben nicht verschlüsselt sind (von Home mal abgesehen). Das möchte ich nun wegen meiner ständig anwachsenden Paranoia ändern, deshalb dieser ganze Aufwand. Wäre die Welt nicht so wie sie eben ist, könnte ich mir das alles ersparen.

Dann wollte ich so vorgehen:
Die Partitionierung ist abgeschlossen: http://www.pic-upload.de/view-30099937/ssd.png.html
Im moment sieht mein Rechner so aus, dass auf sda1 ein Linux-Mint installiert ist (für meine Pflegefälle) und zur Verwaltung von Grub, auf sda2 ist Debian-Stretch-Cinnamon, sda3 ist mein Hauptarbeitssystem Debian-Jessie-Openbox, sda4 ist mein Musiksystem mit Debian-Jessie-Lxde.
Und so möchte ich das, in verschlüsselter Form jetzt auch wieder haben.
Ich habe alle Zeit der Welt dafür, es muss nicht in 3 Tagen schon fertig sein. Anfangen will ich mit System Nr.3, meinem Arbeitssystem, weil das, wie der Name schon sagt, am meisten Arbeit macht.
Wenn alle Systeme fertig eingerichtet sind, werde ich die komplette SSD auf die interne SSD kopieren, mit dd dauert das, nach meinen bisherigen Erfahrungen damit, sicher mehr als einen ganzen Tag, oder?
Backups vor / nach allen wichtigen Schritten sind dabei natürlich Pflicht.

[NAB]

Nun mal runter mit meinen Worten von der Goldwaage ... darum hab ich sie ja in Anführungszeichen gesetzt

Ich verstehe auch nicht so ganz, was und wie ich da dokumentieren soll.

Im einfachsten Fall die Liste der zu installierenden Pakete und eventuelle Änderungen in /etc.

Persönliche Einstellungen in /home kannst du ja einfach rüberkopieren.

[ottonormal]

Danke, jetzt ist alles klar
Paketliste ist sowieso klar, da habe ich ja die Liste des jetzt installierten System. Die wird aber wohl noch etwas angepasst werden müssen. Ich bin aber zuversichtlich, wird schon werden

[dirk11]

Ich verstehe auch nicht so ganz, was und wie ich da dokumentieren soll.

Na deine Arbeitsschritte, shortcuts uswusf. Ich schreibe sowas dann gerne in eine simple Textdatei, denn in einem halben Jahr weißt Du nur noch die Hälfte und in einem Jahr nur noch ein Viertel davon, wie genau du vorgegangen bist.