Erwartungen stell ich gar keine. Ich wollte nur auf einen Ansatz hinaus,NAB hat geschrieben:12.01.2018 22:30:18Also wenn du jetzt eine Fertiglösung erwartest - ich hab keine. Ich hab sowas auch noch nie gemacht.
Wenn die Updates eh im verschlüsselten Bereich der Festplatte landen, dann braucht der USB-Stick auch nicht permanent eingesteckt zu sein. Man könnte prüfen ob er vorhanden ist und ihn nach /bootbackup mounten.
Die Hauptarbeit, das Kopieren, lässt mich mit einem einfach "cp" erledigen. Danach wird's fummelig.
/bootbackup müsste geunmounted werden und dann als /boot gemounted werden. Danach sollte ein update-grub und ein grub-install /dev/sdX deinen USB-Stick eigentlich bootfähig machen. Danach muss /boot wieder geunmounted werden.
Die nächste spannende Frage ist, wann man das Script ausführt. Eine Methode, sich direkt in die Updates einzuklinken kenne ich nicht. Man könnte das /boot-Verzeichnis mit inotify überwachen. Oder das Script einfach bei jedem Herunterfahren ausführen, dabei wäre Systemd hilfreich:
https://unix.stackexchange.com/question ... e-shutdown
Aber weiter oben hast du einen USB-Stick noch ausgeschlossen. Ich sehe da auch keinen Vorteil ... vorallem wenn er permanent eingesteckt ist. Du kannst /boot auch auf dem USB-Stick verschlüsseln, um eine kleinere Angriffsfläche zu bieten ... hast aber immer noch einen unverschlüsselten und manipulierbaren Grub auf dem USB-Stick. Das gleiche Ergebnis erzielst du mit einem verschlüsselten /boot auf der Festplatte.
Alternative: du speicherst nur den Grub auf dem USB-Stick. Der entschlüsselt und startet dann /boot von der Festplatte. Das müsste sich mit dem Debian-Installer im manuellen Modus sogar gleich bei der Installation so einrichten lassen (bis auf das verschlüsselte /boot).
wie man das angehen könnte, da du dich scheinbar ganz gut auskennst.
Habe gehofft die Updates lassen sich direkt abgreifen.
Klar ein Boot Stick, der permanent steckt, macht sicherheitstechnisch wenig Sinn.
Hätte den Stick dann halt abgezogen, wenn ich nicht am Rechner bin.
Ich probiere es mal mit Grub auf dem Stick und Boot auf der verschlüsselten Platte.
Das klingt vernünftig und ist mit wenig Aufwand verbunden.
Danke für die ausführliche Aufklärung!