LVM verschlüsselte /boot partition

[Taylor]

Hi,

Ich habe debian-testing-cinnamon-nonfree 64bit auf bios / MBR auf gesamter festplatte verschlüsselt installiert (über das vorgegebene installer-menü), die funktionier auch wie gewünscht.
Nun wollte ich die unverschlüsselte /boot partition nach dieser debian-anleitung verschlüsseln:

https://wiki.debian.org/Grub2#Configure ... ed_.2Fboot

Nachdem fünften erfolglosen verwuch, grub2 findet beim neustart keine partition und es erfolgt auch keine passwortabfrage, frage ich jetzt mal ob dies schon mal jemand erfolgreich zustande gebracht hat?!?
Hab alles nach anleitung gemacht, grub mit debian-stable-rescue-mode auf der platte installiert, rescue-mode funktioniert eigentlich immer (bis jetzt) zur bootloader-reparatur...

Vielleicht kennt sich ja jemand aus...

Danke und mfg
Taylor

[McAldo]

Möglicherweise hast du die falsche Version von Grub installiert.

Laut der Anleitung wird "Grub 2.02~beta2-29" benötigt. In Debian Stretch (stable 04/2019) ist:

Code: Alles auswählen

> dpkg -l | grep grub
ii  grub-common                           2.02+dfsg1-16                           amd64        GRand Unified Bootloader (common files)
ii  grub-efi-amd64                        2.02+dfsg1-16                           amd64        GRand Unified Bootloader, version 2 (EFI-AMD64 version)
ii  grub-efi-amd64-bin                    2.02+dfsg1-16                           amd64        GRand Unified Bootloader, version 2 (EFI-AMD64 modules)
ii  grub-efi-amd64-signed                 1+2.02+dfsg1+16                         amd64        GRand Unified Bootloader, version 2 (amd64 UEFI signed by Debian)
ii  grub2-common                          2.02+dfsg1-16                           amd64        GRand Unified Bootloader (common files for version 2)

Für mich sieht das nach einer Version vor beta2-29 aus.

[Taylor]

Hatte das eigentlich kontrolliert und debian 9.8 war über der benötigten version (irgwie 2.02 beta3 xyz), werde zuhause aber nochmal draufschauen... Aus welchem image sind deine angaben?

Bis dann...

[McAldo]

Ich habe Debian Buster installiert.

[wanne]

Also der Grub2 in stretch hat definitiv luks Support. luks.mod ist da.
Hast du ein erneutes grub-install ausgeführt?
Kannst du mal deine /boot/grub/grub.cfg posten?
Ansonsten kommt mir das recht strange vor, dass das so tun soll. Bzw. nur wenn du den Grub auf einer anderen Partition wie boot hast. Prinzipiell kann das aber schon sein, dass der das luks.mod ins Stage 1.5 haut.

[Taylor]

Hi,
habs mittlerweile händisch ge-chroot-et - > reboot - > passwortabfrage - > 'typisches' grub-menü (sowohl in stable als auch in testing), aber dann is ende im gelände... Er kann dann die alte boot-partition (logischerweise) nicht mehr finden (die gibts ja mittlerweile nicht mehr...) und die fstab wurde auch nicht automatisch geändert, sondern sind noch die alten einträge drinnen... Wundert mich eh, dass in der anleitung nix von fstab anpasssen drinnen steht? Habs nämlich alles wieder 'rückgängig' gemacht (neue unverschlüsselte /boot), dann muss ich (logischerweise) die fstab an die neue /boot uuid anpassen, grub installieren & die kiste rennt wieder... Kann frühestens am we wieder was 'neues' probieren... Vielleicht hamse uns auch was in der anleitung weggelassen, zum rätselknacken...

Danke&Gruß

[debianoli]

Leg dir doch eine 2. Boot-Partition an und verschlüssel die. Dann kannst du es einfacher testen.

[Taylor]

Das wäre natürlich auch eine möglichkeit... Habe mich für eine neuinstallation auf den calamares-installer vom buster-live-iso zurückbesonnen, der verschlüsselt mir alle partitionen, nur der mbr ist unverschlüsselt...
Das andere wäre für bestehende systeme optimal gewesen... Aber wer des rätsels lösung noch findet, kanns noch mitteilen, ist sicher für mehrere leute interessant...

Danke&Gruß

[Trollkirsche]

Interessant... ich dachte das geht nur, wenn man ein System mit libreboot hat...

[Taylor]

Ich denke, du beziehst dich auf die "full-system-encryption", grub2 unterstützt das seit geraumer zeit, bios oder uefi ist dabei egal und libreboot benötigst du nicht. Manjaro hats seit ca. 2 jahren und linux mint debian edition seit der letzten veröffentlichung implementiert... Wichtig zu wissen ist, dass bei der passwortabfrage das default-layout der tastatur benutzt wird also normalerweise das englische layout...

[tobo]

Wichtig zu wissen ist, dass bei der passwortabfrage das default-layout der tastatur benutzt wird also normalerweise das englische layout...

Im boot.img (dem ehemaligen Stage1) wird "ausschließlich" US-Tastatur benutzt, nicht das Default-Layout:

IMPORTANT: Keyboard Layout during the Boot Procedure

The US keyboard layout is the only one available when booting.

https://www.suse.com/documentation/open ... basic.html
In der Dokumentation von Grub2, direkt bei gnu.org, finde ich allerdings nichts zu diesem Punkt!? Der Sachverhalt ist aber trotzdem in Grub2 weiterhin so.

[Taylor]

Jetzt hätte ich schon ein wenig mehr erwartet, z.B. welches layout: dvorak li. / re., macintosh, US alt. intl., etc

Das default-layout gibt der bios / uefi hersteller vor und ist normalerweise das englische, wie gesagt...

Klassischer fehler beim reboot nach vollverschlüsselung: oft ist nicht das pswd falsch, sondern das layout ist ein anderes, solche anfragen gibts häufig...