Neues Laptop soll Vollverschlüsselung erhalten

Alles rund um sicherheitsrelevante Fragen und Probleme.
Benutzeravatar
Celica
Beiträge: 2145
Registriert: 16.08.2003 13:37:15
Wohnort: Schleswig Holstein

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von Celica » 03.03.2021 14:23:23

Wenn mich nicht alles täuscht, dann habe ich Secureboot ausgeschaltet.
Ich bin auch der Meinung das ich für UEFI Leagacy eingeschaltet habe.
Mache ich hier schon etwas falsch?

Ich kämpfe gerade mit einer Testinstallation und dem Verschlüsseln von Partitionen.
Neuland :hail:
Danke !

Ciao

Celica

mcb

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von mcb » 03.03.2021 14:40:55

Im Bios kannst du auswählen:

- Legacy Mode (mbr)
- UEFI mit (Secureboot An / Aus)

- both (nicht gut)

Es spricht wenig gegen mbr / bei UEFI hättest du Secureboot als Möglichkeit - wirklich "sicher" ist da aber wenig, siehe die Grubgeschichte ...

Bei neuen Thinkpads kann man die Firmware unter Linux aktuallisieren im UEFI-Mode. Es gibt aber auch iso(s) für nicht UEFI - :roll:

Benutzeravatar
Celica
Beiträge: 2145
Registriert: 16.08.2003 13:37:15
Wohnort: Schleswig Holstein

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von Celica » 03.03.2021 15:01:33

Ich scheitere gerade auf dem Testgerät an der LVM Konfiguration (trotz DEB Handbuch) :facepalm:

Wenn ich mich durch den Installer führen lasse und keine optionale /home anlege, dann habe ich kein Problem mit einer zu kleinen /root Partition, richtig?
Dann habe ich aber eine Partition wo alles drauf liegt.
Ist das gut?
Danke !

Ciao

Celica

mcb

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von mcb » 03.03.2021 15:16:09

Celica hat geschrieben: ↑ zum Beitrag ↑
03.03.2021 15:01:33
Ich scheitere gerade auf dem Testgerät an der LVM Konfiguration (trotz DEB Handbuch) :facepalm:

Wenn ich mich durch den Installer führen lasse und keine optionale /home anlege, dann habe ich kein Problem mit einer zu kleinen /root Partition, richtig?
Dann habe ich aber eine Partition wo alles drauf liegt.
Ist das gut?
Für mich ist / wäre das o.k. ->

die Automatik bastelt dir /boot (500MB) Encrypted swap (recht klein) und der Rest Encrypted / ca 175 GB +/-

Ich könnte damit leben ...

Colttt
Beiträge: 2983
Registriert: 16.10.2008 23:25:34
Wohnort: Brandenburg
Kontaktdaten:

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von Colttt » 03.03.2021 15:18:10

also wenn systemd v248 noch in die nächste Debian version kommt,dann kann man auch LUKS2 verlüsselte sachen mit dem Nitrokey Fido2 nutzen.
http://0pointer.net/blog/unlocking-luks ... d-248.html
Debian-Nutzer :D

ZABBIX Certified Specialist

Benutzeravatar
Celica
Beiträge: 2145
Registriert: 16.08.2003 13:37:15
Wohnort: Schleswig Holstein

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von Celica » 03.03.2021 15:30:55

Ich bin gerade dabei eine neue Testinstalltion mit vollständig geführter Installation als LVM verschlüsselt durchzuführen.
Dabei gibt es die Option (wie als wenn ich ohne Verschlüsselung und LVM arbeite) /home als zusätzliche Partition zu erzuegen.
Das habe ich gemacht und siehe da, mir wurde ein LVM mit "/" (30 GB), LVM "swap" (1 GB für Netbook), LVM "/home" (88,5 GB) erzeugt.
Alles unter sda5 crypt.
/boot außerhalb des LVM als ext2 mit 510 MB.

Das sieht doch exakt nach dem aus was ich gerne hätte und wo ich an dem LVM gescheitert bin :facepalm:

Also verstehe ich das gerade nicht mit der zu kleinen "/" Partition mit 30 GB.
Kann das so sein?
Danke !

Ciao

Celica

mcb

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von mcb » 03.03.2021 15:47:48

Das sieht so aus - die Summe müßte aber 180 ergeben, oder ?

30 GB für / ist o.k.

mcb

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von mcb » 03.03.2021 15:49:10

Colttt hat geschrieben: ↑ zum Beitrag ↑
03.03.2021 15:18:10
also wenn systemd v248 noch in die nächste Debian version kommt,dann kann man auch LUKS2 verlüsselte sachen mit dem Nitrokey Fido2 nutzen.
http://0pointer.net/blog/unlocking-luks ... d-248.html
Schrill 8O so einen habe ich ! Das wäre top :THX:

Benutzeravatar
Celica
Beiträge: 2145
Registriert: 16.08.2003 13:37:15
Wohnort: Schleswig Holstein

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von Celica » 03.03.2021 15:53:01

Öh, nö :lol:

/ = 30
/home = 88,5
swap = 1
= 119,5GB exakt das LVM was verschlüsselt ist.

Die fehlenden 500MB sind für /Boot unverschlüsselt.
Ist keine EFI Kiste.
Das passt doch zusammen.

NACHTRAG: Installation durch und mur eine Abfrage beim booten für das LVM.
Perfekt für mich!
Danke !

Ciao

Celica

mcb

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von mcb » 03.03.2021 16:39:17

Ach so ich dachte die SSD hat 180 - oder bin ich gerad durcheinander ?

Aber sehr schön das alles geklappt hat.

tlp kennst du schon ? https://linrunner.de/tlp/

ib mal ein lsblk im Terminal.

Benutzeravatar
Celica
Beiträge: 2145
Registriert: 16.08.2003 13:37:15
Wohnort: Schleswig Holstein

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von Celica » 03.03.2021 17:19:38

Mein Fehler!
Das X1 hat 180GB SSD.

Die Test Installation lief auf einem uralt Lenovo Netbook mit einer 120GB SSD.
Hatte ich irgendwo erwähnt... Ist untergegangen.

TLP habe ich erstmals bei meiner Frau verwandt.
Der unterschied mit und ohne ...hmm, kann ich nicht wirklich beziffern aber stört auch nicht :mrgreen:
Ich habe TLP jedoch auch nicht weiter konfiguriert und nutze das so wie es gekommen ist.
Vielleicht müsste ich mir hier mehr Mühe geben?

Am Anfang hatte ich den Eindruck das es den DE breiig und zähflüssig macht, aber irgendwie wohl doch nicht.
Läuft jetzt mit.

Interessant wäre noch mal die Frage wie Tuxedo das regelt?
Die bieten ja such mit Verschlüsselung an.

NACHTRAG: Tuxedo macht es genauso. LUKS mit LVM!

Ich erinnere mich bei dem ersten Lapi was ich vor Jahren installiert hatte mit Vollverschlüsselung (ich vermute genau so), war das ändern des Passwortes, zumindest aus meiner Sicht, irre kompliziert.
Ist das falsch und alles ganz einfach?
Danke !

Ciao

Celica

Benutzeravatar
Celica
Beiträge: 2145
Registriert: 16.08.2003 13:37:15
Wohnort: Schleswig Holstein

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von Celica » 03.03.2021 21:12:05

Noch mal eine Frage zum Thema BIOS:

- Legacy Mode (mbr)
- UEFI mit (Secureboot An / Aus)
Lt. Deb Handbuch gibt es auch öfters Stress im UEFI bzw. CSM Modus.

Ich glaube das muss ich mir noch einmal ansehen.

Ich meine mich erinnern zu können bei dem Lapi meiner Frau (T460, vor zwei Wochen mit nonfree netinstal), dass ich UEFI nicht aktivieren konnte.

Wobei, war das nicht so bei der Installation, dass du UEFI erst deaktivieren musstest um installieren zu können und dann anschließend wieder aktivieren?
Mag sein das ich jetzt vollkommenen Stuss rede. Bitte verbessert mich hier dringend.

Dann würde ich Secureboot auf jeden Fall deaktivieren und entweder mit oder ohne aktiviertes UEFI installieren.

UEFI hatte doch den Vorteil (wenn es den so ist) der GPT Partitionstabelle oder wie war das gleich?
Bei einer UEFI Installation legt der Installer die EFI Partition mit der GPT auch an, richtig?
Da merkt ihr schon das ich damit keine Erfahrung habe und bisher immer den MBR genutzt habe :mrgreen:

Was ist den zu bevorzugen (UEFI/CSM) oder klassisch MBR?

Wenn ihr hier noch ebbes sagen könntet... das wäre super.
Danke
Danke !

Ciao

Celica

mcb

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von mcb » 03.03.2021 22:29:54

Installiere ruhig im UEFI (only) Modus:

Vorteil du kannst die Firmare unter Linux aktuallisieren:

https://thinkpad-forum.de/threads/21526 ... VFS-bereit

Secure boot geht auch mit debian kannst du also anschalten. Steht ja auch schon weiter oben. Die sonstigen Vorteile bei einem Single-Boot mit 2-3 Partitionen ? Ich kenne keine ... :roll:

Benutzeravatar
Celica
Beiträge: 2145
Registriert: 16.08.2003 13:37:15
Wohnort: Schleswig Holstein

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von Celica » 07.03.2021 11:23:06

Hier auch noch einmal die Rückmeldung.
Gerät habe ich nun mittels Installer vie LVM/LUKS vollverschlüsselt.
Dabei eine separate /home Partition während der geführten Installation ausgewählt.
Dabei wurden /Efi und /boot mit jeweils ca. 500MB vom Installer bedacht und nicht verschlüsselt.
"/", SWAP und /home sind sind zu einem LVM zusammengefasst und verschlüsselt.
Dabei wurde "/" mit 30GB bedacht, SWAP mit nur einem GB und /home der Rest.
Ein kleiner Rest wurde über gelassen, hätte ich aber wohl auch noch verplanen können. Sind aber nur 1GB oder so :mrgreen:

Hier auch noch einmal herzlichen Dank an mcb für den ein oder anderen Schubser :facepalm:

Bin bisher sehr zufrieden mit der Installation, auch wenn ich jetzt an Anfang mein Passwort eingeben muss.
Einzig was mich noch stört, ist das wenn der Rechner bootet die Schrift so elendig klein ist, aber dazu muss ich mal auf die Suche gehen was mann da machen kann und ggf. noch einen Beitrag zu eröffnen.

Euch einen herzlichen Dank an dieser Stelle und wenn noch zusätzliche Info`s benötigt werden, reiche ich die gerne nach.
Danke !

Ciao

Celica

Benutzeravatar
B52
Beiträge: 427
Registriert: 07.08.2011 12:35:02
Wohnort: Bern (CH)
Kontaktdaten:

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von B52 » 07.03.2021 13:44:30

Celica hat geschrieben: ↑ zum Beitrag ↑
07.03.2021 11:23:06
(...) und wenn noch zusätzliche Info`s benötigt werden, reiche ich die gerne nach.
eine kurze und knappe Zusammenfassung für alle Querleser, wie es (es = die Vollverschlüsselung) jetzt genau gemacht wurde.

--edit --
Celica hat geschrieben: ↑ zum Beitrag ↑
07.03.2021 11:23:06
Hier auch noch einmal die Rückmeldung.
Oops, sorry, habe ich übersehen :-)
«Der Vorteil der Klugheit besteht darin,
dass man sich dumm stellen kann.
Das Gegenteil ist schon schwieriger.»
(Kurt Tucholsky)

Antworten