Mit System in ein verschlüsseltes System umziehen

[miri83]

Hallo zusammen,

ich habe vor zwei Monaten mein Buster-System aufgesetzt (mit der geführten Installation mit den separaten Partitionen /var /home / /tmp). Jetzt würde ich jedoch gerne das System verschlüsseln.

Ich habe jetzt aber keine große Lust, das System nochmal ganz neu einzurichten, und deshalb habe ich mir überlegt, alle Partitionen vorher auf eine externe Platte zu kopieren (mit rsync?) und dann die das verschlüsselte System drüber zu bügeln (es werden ja diegleichen Partitionen angelegt - nur im lvm) und dann die Partitionen wieder zurückzukopieren.

Geht das?

[wanne]

* Ja. Das geht ziemlich problemlos.
* Nimm nicht rsync sondern die passenden Tools der Dateisysteme (e2image etc.) Oder Clone einfach die LVM-Volumes: http://www.voleg.info/lvm2-clone-logical-volume.html
* Dach dem Umspielen musst du die initramfs neu bauen und den Grub neu installieren.
* Vergiss nicht auch swap zu verschlüsseln.

[miri83]

Das mit dem spiegeln der LV's ist interessant. Ich habe jedoch leider keine LV's, die ich spiegeln könnte, da ich bei der Erstinstallation die Variante ohne lvm gewählt hatte.

Ich habe dann auch noch mal nachgeforscht und es gibt da wohl ein Programm namens blocks (früher lvmify), welches bestehende Partitionen in LV's umwandeln kann, jedoch funktioniert das wohl auch nur, wenn man eine separate /boot-Partition hat, was ich leider auch nicht habe.

Ich werde dann doch das System noch mal neu und dann verschlüsselt aufsetzen.

[wanne]

Ich habe jedoch leider keine LV's, die ich spiegeln könnte, da ich bei der Erstinstallation die Variante ohne lvm gewählt hatte.

Dann wirds sogar deutlich einfacher.
Kannst du ja einfach die Paritionen kopieren und zurück spielen.
Du kannst cryptsetup dann sogar einfach die Partionen inplace mit ner LiveCD verschlüsseln. Hast du halt das Problem, dass dir die Daten kaputt sind, wenn dir der Strom ausfällt oder so.
Entsprechend würde ich das eher nicht machen.
Aber wie gesagt: Ohne LVM ist das super einfach:
Einfach Partition (/dev/sdxX) weg kopieren (e2image, cp, whatever) und dann einfach die alte Partition mit crypsetup luksFormat verschlüsseln.
Wichtig ist, dass du dann immer 512kiB weniger platz auf der Partition hast. du musst als dos Dateisystem vorher verkleinern.
Pro partiotn also (für ext4)

Code: Alles auswählen

resize2fs /dev/sda1 30G #Für eine Partition wo weniger al 30G belegt ist, die aber größer als 30G ist. (einfach mit df -h gucken. Du musst irgend was zischen Gesamtgröße. Alternativ einfach -M)
e2image -Qa  /dev/sda1 /media/ordner/mit/viel/platz.qcow2
cryptsetup luksFormat --type luks2 --integrity /dev/sda1
cryptsetup luksOpen /dev/sda1 sda1
e2image -ra   /media/ordner/mit/viel/platz.qcow2 /dev/mapper/sda1

Am ende musst du ein mal

Code: Alles auswählen

mount /dev/mapper/sda1 /mnt
mount /dev/mapper/sda2 /mnt/var
mount /dev/sda3 /mnt/boot
mount -t sysfs none /mnt/sys
mount -t proc none /mnt/proc
mount --bind /dev /mnt/dev
chroot /mnt/ /bin/bash
update-initramfs -u -k all
update-grub2
grub grub-install /dev/sda

Achso: Boot willst du nicht verschlüssel. Willst du also auf eine eigene (unverschlüsselte) Partition kopieren.

[miri83]

Danke für die Infos. Es ist schon sehr interessant, was alles geht, vor allem, wenn man weiß wie.

Ich hatte mich dann gestern doch noch entschieden, ein neues System aufzusetzen - das alte war ja noch jung und demzufolge hielt sich die Neueinrichtung dann doch in Grenzen.

Achso: Boot willst du nicht verschlüssel. Willst du also auf eine eigene (unverschlüsselte) Partition kopieren.

Ja, so habe ich es jetzt. Kommt Grub2 jetzt eigentlich mit verschlüsselten LVM's klar? - Hatte da im Hinterkopf, dass das lange nicht funktionierte.

Vergiss nicht auch swap zu verschlüsseln.

Also swap hat der mit in das verschlüsselte Volume gepackt. Hätte jetzt eigetlich auch damit gerechnet, dass das draußen bleibt.