Festplatte komplett verschlüsselt - /boot-Partition nicht mehr zuteilbar

Du kommst mit der Installation nicht voran oder willst noch was nachfragen? Schau auch in den "Tipps und Tricks"-Bereich.
Antworten
jh47
Beiträge: 53
Registriert: 12.07.2017 20:42:31

Festplatte komplett verschlüsselt - /boot-Partition nicht mehr zuteilbar

Beitrag von jh47 » 27.07.2020 21:33:18

Hallo an alle,
bin gerade im Debian Installer und habe es (vermutlich) geschafft, mich in ein Dilemma zu manövrieren:

1) Habe 2 interne Festplatten im Rechner, partitioniert und ALLE (!) vorhandenen Partitionen verschlüsselt -- manuell ohne LVM. So weit, so gut.
2) Dann wollte ich die Einhängepunkte festlegen, ging auch so weit,
3) aber dann hat der Installer natürlich zu Recht gemeckert, dass ich /boot nicht zugeordnet habe.
4) Kann aber auch keine erlaubte Zuordnung vornehmen, da ja alle Partitionen verschlüsselt sind und /boot eine unverschlüsselte Partition benötigt.
5) Also wieder zurück zum Partitionsmenu, aber wenn ich das richtig sehe, kann ich eine verschlüsselte Partition nicht einfach wieder unverschlüsseln oder irgendwie einfach nochmal alles resetten und ganz von vorne anfangen??!

Bin dankbar für jede Idee, wie ich hier wieder aus dem Deadlock rauskomme...

(Lasse den Rechner wohl jetzt erst mal die Nacht an...)

Herzlichen Dank für jede Hilfe, Jan!

rhHeini
Beiträge: 2702
Registriert: 20.04.2006 20:44:10

Re: Festplatte komplett verschlüsselt - /boot-Partition nicht mehr zuteilbar

Beitrag von rhHeini » 27.07.2020 22:13:10

Von innen nach aussen löschen. Das geht. Du hast ja eh noch keine Daten drauf, oder?

Rolf

jh47
Beiträge: 53
Registriert: 12.07.2017 20:42:31

Re: Festplatte komplett verschlüsselt - /boot-Partition nicht mehr zuteilbar

Beitrag von jh47 » 28.07.2020 10:00:22

Hallo Rolf,

herzlichen Dank für die schnelle Antwort. Geht das denn im Installer und wenn ja wie bzw. wo?

Bin im Menu "Festplatten partionieren" ja quasi gefangen:

0) "Änderungenan den Partitionen rückgängig" machen ändert nichts

1) Wenn ich "Partitionierung beenden und Änderungen übernehmen" wähle, erscheint der Hinweis, dass unsicherer Swap-Speicher entdeckt wurde und bittet mich den Swap-Speicher zu deaktivieren oder einen verschlüsselten Swap-Speicher zu konfigurieren -- und führt mich ins "Festplatte partitionieren" Menü zurück... (Hatte glaubich versucht über "Geführte Partitionierung" die Verschlüsselung wieder loszuwerden)

2) Menüpunkt "Verschlüsselte Datenträger konfigurieren" lässt er mich untere Konfiguration aber auch nicht ausführen -- Nachricht "Dateisystem ext4 der Partition 1 auf SCSI3 (sda) ist fehlgeschlagen" -- und schon bin ich wieder im Partitionsmenü zurück, von dem ich nicht wegkomme...

3) Ganz zurück im Installer zum Menüpunkt "Festplatte erkennen" -- und da ist es wieder das Partitionsmenü von eben ;) mit auch den gleichen Einstellungen und der gleichen Übersichtstabelle

Mir gehen langsam die Menüpunkte aus ... ;)

Momentan sieht es da in der Übersicht so aus:

Verschlüsseltes Volume (sda1_crypt) 25 GB
Verschlüsseltes Volume (sda5_crypt) 10 GB
Verschlüsseltes Volume (sda6_crypt) 1.1 GB
> Verschlüsseltes Volume (sda7_crypt) 2 GB
pri/log 2.0 FREIER SPEICHER (nachdem ich jetzt dort rumgespielt habe, um irgendwas zu löschen)
Verschlüsseltes Volume (sda8_crypt)162 GB
Verschlüsseltes Volume (sdb1_crypt) 200 GB

> scsi3 (sda) 200 GB
Nr. 1 primär 25 GB f ext4 /
Nr. 5 logisch 10 GB f ext4 /var
Nr. 6 logisch 1.1 GB F Swap Swap
Nr. 7 logisch 2 GB f ext4 /tmp
Nr. 8 logisch 162 GB f ext4 /home

>scsi4 (sdb) 200 GB
> Nr. 1 primär 200.GB

scsi5 da ist noch der boot-stick mit dem Debian-Installer drauf

Muss ich vielleicht ganz aus Installer raus und irgendwas von Hand machen, etwa live booten und im Terminal Festplatte neu formatieren o.ä. (Geht das bei verschlüsselter Platte?)

Danke für Hilfe,
lg Jan!

mcb

Re: Festplatte komplett verschlüsselt - /boot-Partition nicht mehr zuteilbar

Beitrag von mcb » 28.07.2020 10:33:02

Und wenn du einfach noch mal von vorne beginnst?

/boot braucht LUKS 1 / Debian Buster benutzt per default LUKS 2

ob man /boot im Setup schon verschlüsselt haben kann weiß ich nicht ->

Full disk encryption, including _boot Unlocking LUKS devices from GRUB:

https://cryptsetup-team.pages.debian.ne ... -boot.html

Was spricht gegen die verschachtelte Methode?

Code: Alles auswählen

nvme0n1             259:0    0   477G  0 disk  
├─nvme0n1p1         259:1    0   512M  0 part  /boot/efi
├─nvme0n1p2         259:2    0   244M  0 part  /boot
└─nvme0n1p3         259:3    0 476.2G  0 part  
  └─nvme0n1p3_crypt 254:0    0 476.2G  0 crypt 
    ├─mb--vg-root   254:1    0 468.4G  0 lvm   /
    └─mb--vg-swap_1 254:2    0   7.8G  0 lvm   [SWAP]

DeletedUserReAsG

Re: Festplatte komplett verschlüsselt - /boot-Partition nicht mehr zuteilbar

Beitrag von DeletedUserReAsG » 28.07.2020 10:37:00

jh47 hat geschrieben: ↑ zum Beitrag ↑
28.07.2020 10:00:22
Bin im Menu "Festplatten partionieren" ja quasi gefangen
Eine recht einfache Variante wäre: Livesystem booten, Partitionen mit etwa fdisk löschen, Installer neu booten und es nochmal versuchen.

jh47
Beiträge: 53
Registriert: 12.07.2017 20:42:31

Re: Festplatte komplett verschlüsselt - /boot-Partition nicht mehr zuteilbar

Beitrag von jh47 » 28.07.2020 16:03:38

Vielen Danke für Eure hilfreiche Unterstützung,

HAT GEKLAPPT :)
war tatsächlich insofern jetzt ganz einfach, als dass ...

1) ... nach Installationsabbruch die Festplatten zwar wie vorgenommen partitioniert waren aber offensichtlich wurde die Verschlüsselung nur angezeigt, war vom Installer aber wohl noch nicht physisch durchgeführt worden
=> Daher konnte man den Installer einfach neu booten und (bei gegebenen aber unverschlüsselten Partitionen) tatsächlich noch mal von vorne beginnen.

2) ... ich jetzt im zweiten Versuch nur die Home-Partition und Swap-Partition verschüsselt habe (reicht mir auf betreffenden Rechner auch, ganze Verschlüsselung wollte ich eigentlich nur schon mal durchgespielt haben, falls mal ein neuer Laptop fällig wird).

2 KURZE ANSCHLUSSFRAGEN zum allgemeinen Verständnis (aber nur falls noch jemand Lust hat dazu zu antworten)

- Momentan wird die Passphrase für Verschlüsselung manuell beim Hochfahren abgefragt, aber wenn ich das recht verstehe, setzt Möglichkeit automatischen Mountens verschlüsselter Partition ja einen key-File voraus, der dann auf unverschlüsselter Partition liegen müsste, oder geht das dennoch irgendwie ohne die Sicherheit zu untergraben?
- Können verschlüsselte Festplatten/Partitionen jederzeit wieder formatiert und darüber notfalls eine Verschlüsselung auch wieder aufgehoben werden?

Großes Danke an alle,
Jan!

mcb

Re: Festplatte komplett verschlüsselt - /boot-Partition nicht mehr zuteilbar

Beitrag von mcb » 29.07.2020 11:14:00

Mit dem Keyfile -> der liegt dann auf den unverchlüsseltem / ...

Ja man kann die Partitionen "einfach" formatieren.

Bin aber kein Pro.

jh47
Beiträge: 53
Registriert: 12.07.2017 20:42:31

Re: Festplatte komplett verschlüsselt - /boot-Partition nicht mehr zuteilbar

Beitrag von jh47 » 29.07.2020 21:29:25

Danke für die Rückmeldung, damit sind meine Fragen alle beantwortet worden und Thema/Rubrik kann von meiner Seite aus gerne als erledigt angesehen werden...

[erscheint mir -- so wie ich es verstehe -- dann aber keine wirkliche Alternative zu sein, denn Keyfile in unverschlüsseltem Bereich hebelt natürlich (etwa bei Diebstahl von Laptop) irgendwie ganze Idee der Unzugänglichkeit der Daten aus, so als wenn man High-Tech-Sicherheitschloss einbauen lässt und Schlüssel dafür dann aber unter die Fußmatte legt, dann müsste man den Schlüssel zumindest beim Nachbarn hinterlegen (also Keyfile auf externem USB-Stick separat lagern oder so)]

Antworten