Festplatte komplett verschlüsselt - /boot-Partition nicht mehr zuteilbar
Festplatte komplett verschlüsselt - /boot-Partition nicht mehr zuteilbar
Hallo an alle,
bin gerade im Debian Installer und habe es (vermutlich) geschafft, mich in ein Dilemma zu manövrieren:
1) Habe 2 interne Festplatten im Rechner, partitioniert und ALLE (!) vorhandenen Partitionen verschlüsselt -- manuell ohne LVM. So weit, so gut.
2) Dann wollte ich die Einhängepunkte festlegen, ging auch so weit,
3) aber dann hat der Installer natürlich zu Recht gemeckert, dass ich /boot nicht zugeordnet habe.
4) Kann aber auch keine erlaubte Zuordnung vornehmen, da ja alle Partitionen verschlüsselt sind und /boot eine unverschlüsselte Partition benötigt.
5) Also wieder zurück zum Partitionsmenu, aber wenn ich das richtig sehe, kann ich eine verschlüsselte Partition nicht einfach wieder unverschlüsseln oder irgendwie einfach nochmal alles resetten und ganz von vorne anfangen??!
Bin dankbar für jede Idee, wie ich hier wieder aus dem Deadlock rauskomme...
(Lasse den Rechner wohl jetzt erst mal die Nacht an...)
Herzlichen Dank für jede Hilfe, Jan!
bin gerade im Debian Installer und habe es (vermutlich) geschafft, mich in ein Dilemma zu manövrieren:
1) Habe 2 interne Festplatten im Rechner, partitioniert und ALLE (!) vorhandenen Partitionen verschlüsselt -- manuell ohne LVM. So weit, so gut.
2) Dann wollte ich die Einhängepunkte festlegen, ging auch so weit,
3) aber dann hat der Installer natürlich zu Recht gemeckert, dass ich /boot nicht zugeordnet habe.
4) Kann aber auch keine erlaubte Zuordnung vornehmen, da ja alle Partitionen verschlüsselt sind und /boot eine unverschlüsselte Partition benötigt.
5) Also wieder zurück zum Partitionsmenu, aber wenn ich das richtig sehe, kann ich eine verschlüsselte Partition nicht einfach wieder unverschlüsseln oder irgendwie einfach nochmal alles resetten und ganz von vorne anfangen??!
Bin dankbar für jede Idee, wie ich hier wieder aus dem Deadlock rauskomme...
(Lasse den Rechner wohl jetzt erst mal die Nacht an...)
Herzlichen Dank für jede Hilfe, Jan!
Re: Festplatte komplett verschlüsselt - /boot-Partition nicht mehr zuteilbar
Von innen nach aussen löschen. Das geht. Du hast ja eh noch keine Daten drauf, oder?
Rolf
Rolf
Re: Festplatte komplett verschlüsselt - /boot-Partition nicht mehr zuteilbar
Hallo Rolf,
herzlichen Dank für die schnelle Antwort. Geht das denn im Installer und wenn ja wie bzw. wo?
Bin im Menu "Festplatten partionieren" ja quasi gefangen:
0) "Änderungenan den Partitionen rückgängig" machen ändert nichts
1) Wenn ich "Partitionierung beenden und Änderungen übernehmen" wähle, erscheint der Hinweis, dass unsicherer Swap-Speicher entdeckt wurde und bittet mich den Swap-Speicher zu deaktivieren oder einen verschlüsselten Swap-Speicher zu konfigurieren -- und führt mich ins "Festplatte partitionieren" Menü zurück... (Hatte glaubich versucht über "Geführte Partitionierung" die Verschlüsselung wieder loszuwerden)
2) Menüpunkt "Verschlüsselte Datenträger konfigurieren" lässt er mich untere Konfiguration aber auch nicht ausführen -- Nachricht "Dateisystem ext4 der Partition 1 auf SCSI3 (sda) ist fehlgeschlagen" -- und schon bin ich wieder im Partitionsmenü zurück, von dem ich nicht wegkomme...
3) Ganz zurück im Installer zum Menüpunkt "Festplatte erkennen" -- und da ist es wieder das Partitionsmenü von eben mit auch den gleichen Einstellungen und der gleichen Übersichtstabelle
Mir gehen langsam die Menüpunkte aus ...
Momentan sieht es da in der Übersicht so aus:
Verschlüsseltes Volume (sda1_crypt) 25 GB
Verschlüsseltes Volume (sda5_crypt) 10 GB
Verschlüsseltes Volume (sda6_crypt) 1.1 GB
> Verschlüsseltes Volume (sda7_crypt) 2 GB
pri/log 2.0 FREIER SPEICHER (nachdem ich jetzt dort rumgespielt habe, um irgendwas zu löschen)
Verschlüsseltes Volume (sda8_crypt)162 GB
Verschlüsseltes Volume (sdb1_crypt) 200 GB
> scsi3 (sda) 200 GB
Nr. 1 primär 25 GB f ext4 /
Nr. 5 logisch 10 GB f ext4 /var
Nr. 6 logisch 1.1 GB F Swap Swap
Nr. 7 logisch 2 GB f ext4 /tmp
Nr. 8 logisch 162 GB f ext4 /home
>scsi4 (sdb) 200 GB
> Nr. 1 primär 200.GB
scsi5 da ist noch der boot-stick mit dem Debian-Installer drauf
Muss ich vielleicht ganz aus Installer raus und irgendwas von Hand machen, etwa live booten und im Terminal Festplatte neu formatieren o.ä. (Geht das bei verschlüsselter Platte?)
Danke für Hilfe,
lg Jan!
herzlichen Dank für die schnelle Antwort. Geht das denn im Installer und wenn ja wie bzw. wo?
Bin im Menu "Festplatten partionieren" ja quasi gefangen:
0) "Änderungenan den Partitionen rückgängig" machen ändert nichts
1) Wenn ich "Partitionierung beenden und Änderungen übernehmen" wähle, erscheint der Hinweis, dass unsicherer Swap-Speicher entdeckt wurde und bittet mich den Swap-Speicher zu deaktivieren oder einen verschlüsselten Swap-Speicher zu konfigurieren -- und führt mich ins "Festplatte partitionieren" Menü zurück... (Hatte glaubich versucht über "Geführte Partitionierung" die Verschlüsselung wieder loszuwerden)
2) Menüpunkt "Verschlüsselte Datenträger konfigurieren" lässt er mich untere Konfiguration aber auch nicht ausführen -- Nachricht "Dateisystem ext4 der Partition 1 auf SCSI3 (sda) ist fehlgeschlagen" -- und schon bin ich wieder im Partitionsmenü zurück, von dem ich nicht wegkomme...
3) Ganz zurück im Installer zum Menüpunkt "Festplatte erkennen" -- und da ist es wieder das Partitionsmenü von eben mit auch den gleichen Einstellungen und der gleichen Übersichtstabelle
Mir gehen langsam die Menüpunkte aus ...
Momentan sieht es da in der Übersicht so aus:
Verschlüsseltes Volume (sda1_crypt) 25 GB
Verschlüsseltes Volume (sda5_crypt) 10 GB
Verschlüsseltes Volume (sda6_crypt) 1.1 GB
> Verschlüsseltes Volume (sda7_crypt) 2 GB
pri/log 2.0 FREIER SPEICHER (nachdem ich jetzt dort rumgespielt habe, um irgendwas zu löschen)
Verschlüsseltes Volume (sda8_crypt)162 GB
Verschlüsseltes Volume (sdb1_crypt) 200 GB
> scsi3 (sda) 200 GB
Nr. 1 primär 25 GB f ext4 /
Nr. 5 logisch 10 GB f ext4 /var
Nr. 6 logisch 1.1 GB F Swap Swap
Nr. 7 logisch 2 GB f ext4 /tmp
Nr. 8 logisch 162 GB f ext4 /home
>scsi4 (sdb) 200 GB
> Nr. 1 primär 200.GB
scsi5 da ist noch der boot-stick mit dem Debian-Installer drauf
Muss ich vielleicht ganz aus Installer raus und irgendwas von Hand machen, etwa live booten und im Terminal Festplatte neu formatieren o.ä. (Geht das bei verschlüsselter Platte?)
Danke für Hilfe,
lg Jan!
Re: Festplatte komplett verschlüsselt - /boot-Partition nicht mehr zuteilbar
Und wenn du einfach noch mal von vorne beginnst?
/boot braucht LUKS 1 / Debian Buster benutzt per default LUKS 2
ob man /boot im Setup schon verschlüsselt haben kann weiß ich nicht ->
Full disk encryption, including _boot Unlocking LUKS devices from GRUB:
https://cryptsetup-team.pages.debian.ne ... -boot.html
Was spricht gegen die verschachtelte Methode?
/boot braucht LUKS 1 / Debian Buster benutzt per default LUKS 2
ob man /boot im Setup schon verschlüsselt haben kann weiß ich nicht ->
Full disk encryption, including _boot Unlocking LUKS devices from GRUB:
https://cryptsetup-team.pages.debian.ne ... -boot.html
Was spricht gegen die verschachtelte Methode?
Code: Alles auswählen
nvme0n1 259:0 0 477G 0 disk
├─nvme0n1p1 259:1 0 512M 0 part /boot/efi
├─nvme0n1p2 259:2 0 244M 0 part /boot
└─nvme0n1p3 259:3 0 476.2G 0 part
└─nvme0n1p3_crypt 254:0 0 476.2G 0 crypt
├─mb--vg-root 254:1 0 468.4G 0 lvm /
└─mb--vg-swap_1 254:2 0 7.8G 0 lvm [SWAP]
Re: Festplatte komplett verschlüsselt - /boot-Partition nicht mehr zuteilbar
Eine recht einfache Variante wäre: Livesystem booten, Partitionen mit etwa fdisk löschen, Installer neu booten und es nochmal versuchen.
Re: Festplatte komplett verschlüsselt - /boot-Partition nicht mehr zuteilbar
Vielen Danke für Eure hilfreiche Unterstützung,
HAT GEKLAPPT
war tatsächlich insofern jetzt ganz einfach, als dass ...
1) ... nach Installationsabbruch die Festplatten zwar wie vorgenommen partitioniert waren aber offensichtlich wurde die Verschlüsselung nur angezeigt, war vom Installer aber wohl noch nicht physisch durchgeführt worden
=> Daher konnte man den Installer einfach neu booten und (bei gegebenen aber unverschlüsselten Partitionen) tatsächlich noch mal von vorne beginnen.
2) ... ich jetzt im zweiten Versuch nur die Home-Partition und Swap-Partition verschüsselt habe (reicht mir auf betreffenden Rechner auch, ganze Verschlüsselung wollte ich eigentlich nur schon mal durchgespielt haben, falls mal ein neuer Laptop fällig wird).
2 KURZE ANSCHLUSSFRAGEN zum allgemeinen Verständnis (aber nur falls noch jemand Lust hat dazu zu antworten)
- Momentan wird die Passphrase für Verschlüsselung manuell beim Hochfahren abgefragt, aber wenn ich das recht verstehe, setzt Möglichkeit automatischen Mountens verschlüsselter Partition ja einen key-File voraus, der dann auf unverschlüsselter Partition liegen müsste, oder geht das dennoch irgendwie ohne die Sicherheit zu untergraben?
- Können verschlüsselte Festplatten/Partitionen jederzeit wieder formatiert und darüber notfalls eine Verschlüsselung auch wieder aufgehoben werden?
Großes Danke an alle,
Jan!
HAT GEKLAPPT
war tatsächlich insofern jetzt ganz einfach, als dass ...
1) ... nach Installationsabbruch die Festplatten zwar wie vorgenommen partitioniert waren aber offensichtlich wurde die Verschlüsselung nur angezeigt, war vom Installer aber wohl noch nicht physisch durchgeführt worden
=> Daher konnte man den Installer einfach neu booten und (bei gegebenen aber unverschlüsselten Partitionen) tatsächlich noch mal von vorne beginnen.
2) ... ich jetzt im zweiten Versuch nur die Home-Partition und Swap-Partition verschüsselt habe (reicht mir auf betreffenden Rechner auch, ganze Verschlüsselung wollte ich eigentlich nur schon mal durchgespielt haben, falls mal ein neuer Laptop fällig wird).
2 KURZE ANSCHLUSSFRAGEN zum allgemeinen Verständnis (aber nur falls noch jemand Lust hat dazu zu antworten)
- Momentan wird die Passphrase für Verschlüsselung manuell beim Hochfahren abgefragt, aber wenn ich das recht verstehe, setzt Möglichkeit automatischen Mountens verschlüsselter Partition ja einen key-File voraus, der dann auf unverschlüsselter Partition liegen müsste, oder geht das dennoch irgendwie ohne die Sicherheit zu untergraben?
- Können verschlüsselte Festplatten/Partitionen jederzeit wieder formatiert und darüber notfalls eine Verschlüsselung auch wieder aufgehoben werden?
Großes Danke an alle,
Jan!
Re: Festplatte komplett verschlüsselt - /boot-Partition nicht mehr zuteilbar
Mit dem Keyfile -> der liegt dann auf den unverchlüsseltem / ...
Ja man kann die Partitionen "einfach" formatieren.
Bin aber kein Pro.
Ja man kann die Partitionen "einfach" formatieren.
Bin aber kein Pro.
Re: Festplatte komplett verschlüsselt - /boot-Partition nicht mehr zuteilbar
Danke für die Rückmeldung, damit sind meine Fragen alle beantwortet worden und Thema/Rubrik kann von meiner Seite aus gerne als erledigt angesehen werden...
[erscheint mir -- so wie ich es verstehe -- dann aber keine wirkliche Alternative zu sein, denn Keyfile in unverschlüsseltem Bereich hebelt natürlich (etwa bei Diebstahl von Laptop) irgendwie ganze Idee der Unzugänglichkeit der Daten aus, so als wenn man High-Tech-Sicherheitschloss einbauen lässt und Schlüssel dafür dann aber unter die Fußmatte legt, dann müsste man den Schlüssel zumindest beim Nachbarn hinterlegen (also Keyfile auf externem USB-Stick separat lagern oder so)]
[erscheint mir -- so wie ich es verstehe -- dann aber keine wirkliche Alternative zu sein, denn Keyfile in unverschlüsseltem Bereich hebelt natürlich (etwa bei Diebstahl von Laptop) irgendwie ganze Idee der Unzugänglichkeit der Daten aus, so als wenn man High-Tech-Sicherheitschloss einbauen lässt und Schlüssel dafür dann aber unter die Fußmatte legt, dann müsste man den Schlüssel zumindest beim Nachbarn hinterlegen (also Keyfile auf externem USB-Stick separat lagern oder so)]