Neues Laptop soll Vollverschlüsselung erhalten
Re: Neues Laptop soll Vollverschlüsselung erhalten
Wenn mich nicht alles täuscht, dann habe ich Secureboot ausgeschaltet.
Ich bin auch der Meinung das ich für UEFI Leagacy eingeschaltet habe.
Mache ich hier schon etwas falsch?
Ich kämpfe gerade mit einer Testinstallation und dem Verschlüsseln von Partitionen.
Neuland
Ich bin auch der Meinung das ich für UEFI Leagacy eingeschaltet habe.
Mache ich hier schon etwas falsch?
Ich kämpfe gerade mit einer Testinstallation und dem Verschlüsseln von Partitionen.
Neuland
Danke !
Ciao
Celica
Ciao
Celica
Re: Neues Laptop soll Vollverschlüsselung erhalten
Im Bios kannst du auswählen:
- Legacy Mode (mbr)
- UEFI mit (Secureboot An / Aus)
- both (nicht gut)
Es spricht wenig gegen mbr / bei UEFI hättest du Secureboot als Möglichkeit - wirklich "sicher" ist da aber wenig, siehe die Grubgeschichte ...
Bei neuen Thinkpads kann man die Firmware unter Linux aktuallisieren im UEFI-Mode. Es gibt aber auch iso(s) für nicht UEFI -
- Legacy Mode (mbr)
- UEFI mit (Secureboot An / Aus)
- both (nicht gut)
Es spricht wenig gegen mbr / bei UEFI hättest du Secureboot als Möglichkeit - wirklich "sicher" ist da aber wenig, siehe die Grubgeschichte ...
Bei neuen Thinkpads kann man die Firmware unter Linux aktuallisieren im UEFI-Mode. Es gibt aber auch iso(s) für nicht UEFI -
Re: Neues Laptop soll Vollverschlüsselung erhalten
Ich scheitere gerade auf dem Testgerät an der LVM Konfiguration (trotz DEB Handbuch)
Wenn ich mich durch den Installer führen lasse und keine optionale /home anlege, dann habe ich kein Problem mit einer zu kleinen /root Partition, richtig?
Dann habe ich aber eine Partition wo alles drauf liegt.
Ist das gut?
Wenn ich mich durch den Installer führen lasse und keine optionale /home anlege, dann habe ich kein Problem mit einer zu kleinen /root Partition, richtig?
Dann habe ich aber eine Partition wo alles drauf liegt.
Ist das gut?
Danke !
Ciao
Celica
Ciao
Celica
Re: Neues Laptop soll Vollverschlüsselung erhalten
Für mich ist / wäre das o.k. ->Celica hat geschrieben:03.03.2021 15:01:33Ich scheitere gerade auf dem Testgerät an der LVM Konfiguration (trotz DEB Handbuch)
Wenn ich mich durch den Installer führen lasse und keine optionale /home anlege, dann habe ich kein Problem mit einer zu kleinen /root Partition, richtig?
Dann habe ich aber eine Partition wo alles drauf liegt.
Ist das gut?
die Automatik bastelt dir /boot (500MB) Encrypted swap (recht klein) und der Rest Encrypted / ca 175 GB +/-
Ich könnte damit leben ...
Re: Neues Laptop soll Vollverschlüsselung erhalten
also wenn systemd v248 noch in die nächste Debian version kommt,dann kann man auch LUKS2 verlüsselte sachen mit dem Nitrokey Fido2 nutzen.
http://0pointer.net/blog/unlocking-luks ... d-248.html
http://0pointer.net/blog/unlocking-luks ... d-248.html
Debian-Nutzer
ZABBIX Certified Specialist
ZABBIX Certified Specialist
Re: Neues Laptop soll Vollverschlüsselung erhalten
Ich bin gerade dabei eine neue Testinstalltion mit vollständig geführter Installation als LVM verschlüsselt durchzuführen.
Dabei gibt es die Option (wie als wenn ich ohne Verschlüsselung und LVM arbeite) /home als zusätzliche Partition zu erzuegen.
Das habe ich gemacht und siehe da, mir wurde ein LVM mit "/" (30 GB), LVM "swap" (1 GB für Netbook), LVM "/home" (88,5 GB) erzeugt.
Alles unter sda5 crypt.
/boot außerhalb des LVM als ext2 mit 510 MB.
Das sieht doch exakt nach dem aus was ich gerne hätte und wo ich an dem LVM gescheitert bin
Also verstehe ich das gerade nicht mit der zu kleinen "/" Partition mit 30 GB.
Kann das so sein?
Dabei gibt es die Option (wie als wenn ich ohne Verschlüsselung und LVM arbeite) /home als zusätzliche Partition zu erzuegen.
Das habe ich gemacht und siehe da, mir wurde ein LVM mit "/" (30 GB), LVM "swap" (1 GB für Netbook), LVM "/home" (88,5 GB) erzeugt.
Alles unter sda5 crypt.
/boot außerhalb des LVM als ext2 mit 510 MB.
Das sieht doch exakt nach dem aus was ich gerne hätte und wo ich an dem LVM gescheitert bin
Also verstehe ich das gerade nicht mit der zu kleinen "/" Partition mit 30 GB.
Kann das so sein?
Danke !
Ciao
Celica
Ciao
Celica
Re: Neues Laptop soll Vollverschlüsselung erhalten
Das sieht so aus - die Summe müßte aber 180 ergeben, oder ?
30 GB für / ist o.k.
30 GB für / ist o.k.
Re: Neues Laptop soll Vollverschlüsselung erhalten
Schrill so einen habe ich ! Das wäre topColttt hat geschrieben:03.03.2021 15:18:10also wenn systemd v248 noch in die nächste Debian version kommt,dann kann man auch LUKS2 verlüsselte sachen mit dem Nitrokey Fido2 nutzen.
http://0pointer.net/blog/unlocking-luks ... d-248.html
Re: Neues Laptop soll Vollverschlüsselung erhalten
Öh, nö
/ = 30
/home = 88,5
swap = 1
= 119,5GB exakt das LVM was verschlüsselt ist.
Die fehlenden 500MB sind für /Boot unverschlüsselt.
Ist keine EFI Kiste.
Das passt doch zusammen.
NACHTRAG: Installation durch und mur eine Abfrage beim booten für das LVM.
Perfekt für mich!
/ = 30
/home = 88,5
swap = 1
= 119,5GB exakt das LVM was verschlüsselt ist.
Die fehlenden 500MB sind für /Boot unverschlüsselt.
Ist keine EFI Kiste.
Das passt doch zusammen.
NACHTRAG: Installation durch und mur eine Abfrage beim booten für das LVM.
Perfekt für mich!
Danke !
Ciao
Celica
Ciao
Celica
Re: Neues Laptop soll Vollverschlüsselung erhalten
Ach so ich dachte die SSD hat 180 - oder bin ich gerad durcheinander ?
Aber sehr schön das alles geklappt hat.
tlp kennst du schon ? https://linrunner.de/tlp/
ib mal ein lsblk im Terminal.
Aber sehr schön das alles geklappt hat.
tlp kennst du schon ? https://linrunner.de/tlp/
ib mal ein lsblk im Terminal.
Re: Neues Laptop soll Vollverschlüsselung erhalten
Mein Fehler!
Das X1 hat 180GB SSD.
Die Test Installation lief auf einem uralt Lenovo Netbook mit einer 120GB SSD.
Hatte ich irgendwo erwähnt... Ist untergegangen.
TLP habe ich erstmals bei meiner Frau verwandt.
Der unterschied mit und ohne ...hmm, kann ich nicht wirklich beziffern aber stört auch nicht
Ich habe TLP jedoch auch nicht weiter konfiguriert und nutze das so wie es gekommen ist.
Vielleicht müsste ich mir hier mehr Mühe geben?
Am Anfang hatte ich den Eindruck das es den DE breiig und zähflüssig macht, aber irgendwie wohl doch nicht.
Läuft jetzt mit.
Interessant wäre noch mal die Frage wie Tuxedo das regelt?
Die bieten ja such mit Verschlüsselung an.
NACHTRAG: Tuxedo macht es genauso. LUKS mit LVM!
Ich erinnere mich bei dem ersten Lapi was ich vor Jahren installiert hatte mit Vollverschlüsselung (ich vermute genau so), war das ändern des Passwortes, zumindest aus meiner Sicht, irre kompliziert.
Ist das falsch und alles ganz einfach?
Das X1 hat 180GB SSD.
Die Test Installation lief auf einem uralt Lenovo Netbook mit einer 120GB SSD.
Hatte ich irgendwo erwähnt... Ist untergegangen.
TLP habe ich erstmals bei meiner Frau verwandt.
Der unterschied mit und ohne ...hmm, kann ich nicht wirklich beziffern aber stört auch nicht
Ich habe TLP jedoch auch nicht weiter konfiguriert und nutze das so wie es gekommen ist.
Vielleicht müsste ich mir hier mehr Mühe geben?
Am Anfang hatte ich den Eindruck das es den DE breiig und zähflüssig macht, aber irgendwie wohl doch nicht.
Läuft jetzt mit.
Interessant wäre noch mal die Frage wie Tuxedo das regelt?
Die bieten ja such mit Verschlüsselung an.
NACHTRAG: Tuxedo macht es genauso. LUKS mit LVM!
Ich erinnere mich bei dem ersten Lapi was ich vor Jahren installiert hatte mit Vollverschlüsselung (ich vermute genau so), war das ändern des Passwortes, zumindest aus meiner Sicht, irre kompliziert.
Ist das falsch und alles ganz einfach?
Danke !
Ciao
Celica
Ciao
Celica
Re: Neues Laptop soll Vollverschlüsselung erhalten
Noch mal eine Frage zum Thema BIOS:
- Legacy Mode (mbr)
- UEFI mit (Secureboot An / Aus)
Lt. Deb Handbuch gibt es auch öfters Stress im UEFI bzw. CSM Modus.
Ich glaube das muss ich mir noch einmal ansehen.
Ich meine mich erinnern zu können bei dem Lapi meiner Frau (T460, vor zwei Wochen mit nonfree netinstal), dass ich UEFI nicht aktivieren konnte.
Wobei, war das nicht so bei der Installation, dass du UEFI erst deaktivieren musstest um installieren zu können und dann anschließend wieder aktivieren?
Mag sein das ich jetzt vollkommenen Stuss rede. Bitte verbessert mich hier dringend.
Dann würde ich Secureboot auf jeden Fall deaktivieren und entweder mit oder ohne aktiviertes UEFI installieren.
UEFI hatte doch den Vorteil (wenn es den so ist) der GPT Partitionstabelle oder wie war das gleich?
Bei einer UEFI Installation legt der Installer die EFI Partition mit der GPT auch an, richtig?
Da merkt ihr schon das ich damit keine Erfahrung habe und bisher immer den MBR genutzt habe
Was ist den zu bevorzugen (UEFI/CSM) oder klassisch MBR?
Wenn ihr hier noch ebbes sagen könntet... das wäre super.
Danke
- Legacy Mode (mbr)
- UEFI mit (Secureboot An / Aus)
Lt. Deb Handbuch gibt es auch öfters Stress im UEFI bzw. CSM Modus.
Ich glaube das muss ich mir noch einmal ansehen.
Ich meine mich erinnern zu können bei dem Lapi meiner Frau (T460, vor zwei Wochen mit nonfree netinstal), dass ich UEFI nicht aktivieren konnte.
Wobei, war das nicht so bei der Installation, dass du UEFI erst deaktivieren musstest um installieren zu können und dann anschließend wieder aktivieren?
Mag sein das ich jetzt vollkommenen Stuss rede. Bitte verbessert mich hier dringend.
Dann würde ich Secureboot auf jeden Fall deaktivieren und entweder mit oder ohne aktiviertes UEFI installieren.
UEFI hatte doch den Vorteil (wenn es den so ist) der GPT Partitionstabelle oder wie war das gleich?
Bei einer UEFI Installation legt der Installer die EFI Partition mit der GPT auch an, richtig?
Da merkt ihr schon das ich damit keine Erfahrung habe und bisher immer den MBR genutzt habe
Was ist den zu bevorzugen (UEFI/CSM) oder klassisch MBR?
Wenn ihr hier noch ebbes sagen könntet... das wäre super.
Danke
Danke !
Ciao
Celica
Ciao
Celica
Re: Neues Laptop soll Vollverschlüsselung erhalten
Installiere ruhig im UEFI (only) Modus:
Vorteil du kannst die Firmare unter Linux aktuallisieren:
https://thinkpad-forum.de/threads/21526 ... VFS-bereit
Secure boot geht auch mit debian kannst du also anschalten. Steht ja auch schon weiter oben. Die sonstigen Vorteile bei einem Single-Boot mit 2-3 Partitionen ? Ich kenne keine ...
Vorteil du kannst die Firmare unter Linux aktuallisieren:
https://thinkpad-forum.de/threads/21526 ... VFS-bereit
Secure boot geht auch mit debian kannst du also anschalten. Steht ja auch schon weiter oben. Die sonstigen Vorteile bei einem Single-Boot mit 2-3 Partitionen ? Ich kenne keine ...
Re: Neues Laptop soll Vollverschlüsselung erhalten
Hier auch noch einmal die Rückmeldung.
Gerät habe ich nun mittels Installer vie LVM/LUKS vollverschlüsselt.
Dabei eine separate /home Partition während der geführten Installation ausgewählt.
Dabei wurden /Efi und /boot mit jeweils ca. 500MB vom Installer bedacht und nicht verschlüsselt.
"/", SWAP und /home sind sind zu einem LVM zusammengefasst und verschlüsselt.
Dabei wurde "/" mit 30GB bedacht, SWAP mit nur einem GB und /home der Rest.
Ein kleiner Rest wurde über gelassen, hätte ich aber wohl auch noch verplanen können. Sind aber nur 1GB oder so
Hier auch noch einmal herzlichen Dank an mcb für den ein oder anderen Schubser
Bin bisher sehr zufrieden mit der Installation, auch wenn ich jetzt an Anfang mein Passwort eingeben muss.
Einzig was mich noch stört, ist das wenn der Rechner bootet die Schrift so elendig klein ist, aber dazu muss ich mal auf die Suche gehen was mann da machen kann und ggf. noch einen Beitrag zu eröffnen.
Euch einen herzlichen Dank an dieser Stelle und wenn noch zusätzliche Info`s benötigt werden, reiche ich die gerne nach.
Gerät habe ich nun mittels Installer vie LVM/LUKS vollverschlüsselt.
Dabei eine separate /home Partition während der geführten Installation ausgewählt.
Dabei wurden /Efi und /boot mit jeweils ca. 500MB vom Installer bedacht und nicht verschlüsselt.
"/", SWAP und /home sind sind zu einem LVM zusammengefasst und verschlüsselt.
Dabei wurde "/" mit 30GB bedacht, SWAP mit nur einem GB und /home der Rest.
Ein kleiner Rest wurde über gelassen, hätte ich aber wohl auch noch verplanen können. Sind aber nur 1GB oder so
Hier auch noch einmal herzlichen Dank an mcb für den ein oder anderen Schubser
Bin bisher sehr zufrieden mit der Installation, auch wenn ich jetzt an Anfang mein Passwort eingeben muss.
Einzig was mich noch stört, ist das wenn der Rechner bootet die Schrift so elendig klein ist, aber dazu muss ich mal auf die Suche gehen was mann da machen kann und ggf. noch einen Beitrag zu eröffnen.
Euch einen herzlichen Dank an dieser Stelle und wenn noch zusätzliche Info`s benötigt werden, reiche ich die gerne nach.
Danke !
Ciao
Celica
Ciao
Celica
Re: Neues Laptop soll Vollverschlüsselung erhalten
eine kurze und knappe Zusammenfassung für alle Querleser, wie es (es = die Vollverschlüsselung) jetzt genau gemacht wurde.Celica hat geschrieben:07.03.2021 11:23:06(...) und wenn noch zusätzliche Info`s benötigt werden, reiche ich die gerne nach.
--edit --
Oops, sorry, habe ich übersehen
«Der Vorteil der Klugheit besteht darin,
dass man sich dumm stellen kann.
Das Gegenteil ist schon schwieriger.»
(Kurt Tucholsky)
dass man sich dumm stellen kann.
Das Gegenteil ist schon schwieriger.»
(Kurt Tucholsky)