staging.inyokaproject.org

So, aufgrund dieser Diskussion habe ich eine neue Wiki-Seite erstellt, die die Verschlüsselung des Systems mit Hilfe der Alternate-CD erklärt: Baustelle/System verschlüsseln Alternate Installation.

Es wundert mich, dass es dazu nichts im Wiki gibt. Wird überhaupt irgendwo erwähnt, dass die Möglichkeit einer Systemverschlüsselung besteht?

Schaut bitte drüber und gebt Anmerkungen. Der Artikel richtet sich extra nicht an Fortgeschrittene. Ich bin der Meinung, dass man auch ohne Wissen über Verschlüsselung sein System absichern kann (bzw. können sollte).

Gruß Dee

Hab das noch nie gemacht, weil mir bislang zu kompliziert und unverständlich erklärt.

Beim Durchlesen schien mir alles gut nachvollziehbar bis "Zurück im LVM-Menü muss man die Systempartition als "Logisches Volume erstellen"." Scheint mir nicht mehr auf Anhieb verständlich. Vielleicht doch noch einen Zwischenschritt erläutern oder bebildern?

Danke für die Mühe

• Warum wird hier /home nicht als eigene Partition im LVM angelegt (die Hinweise im Artikel klingen so, als sollte man das in eine eigene LUKS-Partition packen, was bei Einzelbenutzer-Systemen überflüssig ist und zudem nirgendwo erklärt wird)?

• Afaik kann grub2 auch von verschlüsselten /boot-Partitionen booten – zumindest sollte er es ursprünglich mal können. Ist das noch nicht eingebaut, oder einfach alte Angewohnheit aus grub1-Zeiten? 😉

• Es wäre sinnvoller, dem LVM einen individuellen Namen zu geben. Zumindest ich hab die Erfahrung gemacht, dass zwei LVMs mit dem selben Namen in einem System (wenn man bspw. eine HDD aus einem anderen Rechner überprüfen will) gerne mal Probleme bereiten.

Danke für die Anmerkungen.

Scheint mir nicht mehr auf Anhieb verständlich. Vielleicht doch noch einen Zwischenschritt erläutern oder bebildern?

Habe ein Bild ergänzt, dass den Menüpunkt zeigt.

Warum wird hier /home nicht als eigene Partition im LVM angelegt

Habe den Satz am Anfang umformuliert in "Man kann natürlich auch noch eine extra Homepartition /home in dem LVM-Laufwerk anlegen, wenn man möchte." Damit sollte es klarer sein.

Afaik kann grub2 auch von verschlüsselten /boot-Partitionen booten

Kann es? Kenne mich wie gesagt in der Materie nicht aus. Ist es denn sinnvoll, /boot zu verschlüsseln? Die Anleitungen, die ich bisher gefunden habe, gehen immer von einem unverschlüsseltem /boot aus. Wenn Du Dir sicher bist, kannst Du das ja als Hinweis ergänzen.

Es wäre sinnvoller, dem LVM einen individuellen Namen zu geben.

Ich habe einen Hinweis dazu ergänzt.

Gruß Dee

Kann es?

Ich weiß, dass vor ca. einem Jahr dran entwickelt wurde, aber ich habe keine Ahnung, wie weit das schon ist (und ob die Ubuntuversion das einkompiliert hat). Da ich weder 9.10 benutze noch ein System habe, wo ich das testen könnte, kann ich da nicht mehr zu sagen.

Kenne mich wie gesagt in der Materie nicht aus. Ist es denn sinnvoll, /boot zu verschlüsseln?

Ist es sinnvoll, ausgerechnet die Kernel-Images nicht zu verschlüsseln?

Dee schrieb:

Es wundert mich, dass es dazu nichts im Wiki gibt. Wird überhaupt irgendwo erwähnt, dass die Möglichkeit einer Systemverschlüsselung besteht?

System verschlüsseln schreibt:

Sollte keine Internetverbindung zur Verfügung stehen, ist die Verschlüsselung nach Anleitung 🇬🇧 mit der Alternate CD möglich.

Dee schrieb:

Kann es?

Ja.

Dee schrieb:

Ist es denn sinnvoll, /boot zu verschlüsseln?

Ja.

Creshal schrieb:

Ist es sinnvoll, ausgerechnet die Kernel-Images nicht zu verschlüsseln?

Gute Frage.

Rvd schrieb:

System verschlüsseln schreibt:

Ich meinte auf Deutsch im ubuntuusers-Wiki. Aber okay, eine Erwähnung ist es immerhin. (Immerhin ist die Anleitung identisch zu meinem Vorgehen. Das beruhigt mich etwas. 😉)

Rvd schrieb:

Kann es?

Ja.

Ich bin wohl zu unspezifisch: Ich meinte out-of-the-box während der Installation. Die Anleitung schreibt:

but we would like to make sure that GRUB2 will at least work on the system before going to the trouble of compiling and manually creating a GRUB2 core image with encryption support.

Das klingt dann alles andere als einsteigerfreundlich. Auch GRUB 2/Thema (Abschnitt „Bild-integrieren“) schreibt:

Wer sein System vollverschlüsselt hat, muss also darauf achten, dass die Bilddatei in /boot/grub liegt, damit sie vor dem Öffnen der verschlüsselten Systempartition von GRUB gelesen werden kann!

Es wird also explizit davon ausgegangen, dass /boot nicht verschlüsselt sein darf. Vielleicht kommt das ja in "Lucid Lynx"?

Rvd schrieb:

Ist es denn sinnvoll, /boot zu verschlüsseln?

Ja.

Wie in der Schule: Bitte mit Begründung. Das ist sonst ähnlich wie die Aussage "Windows ist besser als Linux." Ohne Begründung wird es schwer, davon jemanden zu überzeugen.

Gruß Dee

Dee schrieb:

Vielleicht kommt das ja in "Lucid Lynx"?

Extrem unwahrscheinlich.

Dee schrieb:

Ohne Begründung wird es schwer, davon jemanden zu überzeugen.

Darum geht es nicht. Das Unverschlüsselte /boot ist eine bedauerliche technische Notwendigkeit, weil der Bootloader noch keine LUKS-Partitionen kann - nicht mehr, nicht weniger.

Zusammengefasst: Es ist sinnvoll und möglich /boot zu verschlüsseln, ABER mit den derzeit möglichen Mitteln während der Alternate-Installation ohne nachträgliches Eingreifen nicht zu bewältigen.

Ok, Danke.

Gruß Dee

Hallo,

sieht IMHO ok aus.

Gruß, noisefloor

was evtl noch erwähnenswert wäre, das man die verschlüsselung auch für jede einzelne partition oder für die ganze lvm machen kann.. heisst also beim booten wir jede einzelne partition abgefragt oder einmal die lvm...

Ich habe einen Absatz dazu am Anfang des Artikels eingetragen.

Gruß Dee

So, drei Tage gewartet, niemand hat mehr was, dann ab damit ins Wiki.

Gruß Dee

Hallo,

verschoben: System verschlüsseln Alternate Installation

Gruß, noisefloor