Installation in bestehendeverschlüsselte Partition [gelöst]

Du kommst mit der Installation nicht voran oder willst noch was nachfragen? Schau auch in den "Tipps und Tricks"-Bereich.
Antworten
nudgegoonies
Beiträge: 939
Registriert: 16.02.2009 09:35:10

Installation in bestehendeverschlüsselte Partition [gelöst]

Beitrag von nudgegoonies » 28.09.2018 16:11:27

Ich will Debian 9 neu aufsetzen. Das alte Debian 9 wurde normal aufgesetzt. Also eine crypto Partition auf der ein LVM mit den Partitionen root, home und swap ist. Ich will nur die unverschlüsselte /boot Partition (ext4) und die verschlüsselte /root Partition (ext4), die als volume in einer volume group liegt, formatieren und neu installieren. Die verschlüsselte home Partition (ext4) soll behalten werden. Aber der Installer fragt mich nirgens nach dem Passwort von der crypto Partition. Ich sehe im Punkt "Festplatte Partitionieren" die Partitionen efi, boot und crypto. Und wenn ich crypto anwähle, steht die partition erstmal auf "nicht benutzen". Ich kann dann "physikalisches volume für verschlüsselung" anwählen und bei "Daten Löschen" nein sagen. Unter "Verschlüsselte Datenträger konfigurieren" will er aber immer löschen, mit Zufallszahlen überschreiben oder ein neues Passwort vergeben. Der soll mich aber einfach nach dem bisherigen Passwort fragen und das LVM mit den Volumes anzeigen. Wie geht das?
Zuletzt geändert von nudgegoonies am 29.09.2018 22:05:19, insgesamt 1-mal geändert.
Soft: Bullseye AMD64, MATE Desktop. Repo's: Backports, kein Proposed, eigene Backports. Grafik: Radeon R7 360 MESA.
Hardware: Thinkstation S20, Intel X58, 16GB, Xeon W3530, BCM5755 NIC, EMU10K1 SND, SATA SSD+HDS und DVD+RW.

Benutzeravatar
jph
Beiträge: 1049
Registriert: 06.12.2015 15:06:07
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Greven/Westf.

Re: Installation in bestehendeverschlüsselte Partition

Beitrag von jph » 28.09.2018 17:49:31

nudgegoonies hat geschrieben: ↑ zum Beitrag ↑
28.09.2018 16:11:27
Wie geht das?
Das geht; ich habe das schon mal gemacht. Gib mir etwas Zeit, das heute Abend in einer VM nachzustellen. :)

Nachtrag: war etwas trickreicher, als ich es in Erinnerung hatte. Das Problem ist, dass der Installer (im Gegensatz zum Rettungssystem) nicht versucht, verschlüsselte Partitionen zu erkennen.

BACKUP IST PFLICHT.

Meine Angaben gelten für den Text-Installer. Ich habe eine VM mit einer VG namens „demo-vg” aufgesetzt. /dev/sda1 soll /boot aufnehmen, /dev/sda5 dient als physikalisches Volume für LUKS-Verschlüsselung und nimmt das PV für die VG auf. Du musst die Angaben für dein Setup anpassen.

Den Installer bis zum Dialog „Auswahl Partitionierungsmethode“ abarbeiten. Hier „manuell“ auswählen.

Es erscheint der Dialog „Festplatten partitionieren“. Hier „verschlüsselte Datenträger konfigurieren“, damit der Installer die Module für cryptsetup lädt.

Dialog „Aktuelle Einteilung der Partitionen beibehalten und verschlüsselte Datenträger konfigurieren?“ > „ja“

Dialog „Verschlüsselte Datenträger erzeugen“ erscheint > vorhandene verschlüsselte Partition auswählen (im Beispiel /dev/sda5), „weiter“

Der Installer lädt die Module für Verschlüsselung, der Dialog „Partitionseinstellungen“ erscheint > „zurück“

Dialog „Aktuelle Einteilung der Partitionen beibehalten und verschlüsselte Datenträger konfigurieren?“ erscheint erneut > dieses Mal mit „nein“ antworten

Dialog „Festplatten partitionieren“ erscheint erneut > „zurück“

Jetzt „Eine Shell ausführen“ auswählen. In der Shell öffnen wir zunächst das verschlüsselte Volume:
# cryptsetup luksOpen /dev/sda5 sda5_crypt

Danach bringen wir die Volume Group an den Start:
# vgchange -a y demo-vg

Anschließend die Shell verlassen:
# exit

Danach im Menü „Festplatten erkennen“ auswählen. Du landest erneut im Dialog „Festplatten partitionieren“, siehst nun aber deine Volume Group. Hier wie gewünscht Dateisysteme und Mountpoints zuweisen, was recht einfach ist, da nun die Bezeichnungen der LVs angezeigt werden. Darauf achten, wo du „Daten löschen“ setzt.
Nicht vergessen, /dev/sda1 unter /boot einzubinden.

Danach die Installation fortsetzen.

Nach dem Reboot die Installation-CD im Laufwerk lassen und von dieser das Rettungssystem booten. Das Rettungssystem erkennt die Verschlüsselung und fragt die Passphrase ab. Danach auf Anfrage die root-Partition und /boot einhängen. Danach „eine Shell in /dev/demo-vg/root ausführen“ auswählen.

Restliche Dateisysteme einhängen
# mount -a

UUID des physikalischen Volume für Verschlüsselung herausfinden:
# blkid /dev/sda5

Die /etc/crypttab pflegen:
# nano /etc/crypttab

Du kannst da das gleiche reinschreiben, was aktuell drinsteht.

Das initramfs neu erzeugen:
# update-initramfs -u -k all

Danach die Shell verlassen.
# exit

Neu booten, fertig.

Am besten spielst du das ganze vorher in einer VM durch. Ein System ohne grafischen Desktop ist schnell eingerichtet und dank der Snapshot-Funktion kann man nicht all zu viel kaputt machen.

DeletedUserReAsG

Re: Installation in bestehendeverschlüsselte Partition

Beitrag von DeletedUserReAsG » 28.09.2018 19:19:19

Am einfachsten wird’s wohl mit Debiandebootstrap gehen: Partition entschlüsseln und einhängen, debootstrap seinen Kram hinschreiben lassen, benötigte Anpassungen (initrd etc.) vornehmen, fertig.

nudgegoonies
Beiträge: 939
Registriert: 16.02.2009 09:35:10

Re: Installation in bestehendeverschlüsselte Partition

Beitrag von nudgegoonies » 29.09.2018 21:57:51

Vielen Dank eure beiden Antworten. Du hast dir sehr viel Mühe gegeben jph, das ganze in einer VM auszuprobieren. Das hätte ich mal machen sollen bevor ich verschlüsselt habe. Backup ist natürlich vorhanden. Mit Deiner Methode hat es jetzt geklappt.

Ich hätte mir wirklich gedacht, dass der Installer mit verschlüsselten Partitionen und LVMs besser umgehen könnte. Ich habe, bevor ich hier wieder reingeschaut habe, noch mal den Rescue Mode gestartet. Da fragt er sofort nach dem Passwort und ich kann ganz einfach ein chroot in der verschlüsselten root Partition bekommen. Wieso der normale Installer das nicht kann ist mir wirklich ein Rätsel.
Soft: Bullseye AMD64, MATE Desktop. Repo's: Backports, kein Proposed, eigene Backports. Grafik: Radeon R7 360 MESA.
Hardware: Thinkstation S20, Intel X58, 16GB, Xeon W3530, BCM5755 NIC, EMU10K1 SND, SATA SSD+HDS und DVD+RW.

Antworten