debian auf SSD mit LVM und teilweise verschlüsselt

Du kommst mit der Installation nicht voran oder willst noch was nachfragen? Schau auch in den "Tipps und Tricks"-Bereich.
Antworten
walter14
Beiträge: 6
Registriert: 25.09.2018 16:41:24

debian auf SSD mit LVM und teilweise verschlüsselt

Beitrag von walter14 » 26.09.2018 11:13:22

Hallo zusammen,
nachdem sich eine Festplatte verabschiedet hat und damit auch das alte und bis dahin genutzte Windows NT verschwunden ist, habe ich mich entschlossen, die parallel laufende Debian Installation als einziges System zu nutzen und das ganze vollkommen frisch auf eine SSD zu installieren.
Die eingebaute Platte soll erhalten bleiben und zukünftig als /home dienen.
Das Ziel meiner Installation ist folgende Partitionierung:
  • boot
  • root (LVM)
  • tmp (LVM, crypted)
  • swap (LVM, crypted)
  • home (LVM, crypted) - für die Installation
  • usr (LVM)
  • var (LVM)
  • home (auf der alten HD; ist in einer bestehender LVM-vg und verschlüsselt) - wird während der Installation nicht angerührt

Ich benutze die ISO-Datei firmware-9.5.0-amd64-DVD-1.iso vom Debian Image Repository und habe sie per dd auf einen USB-Stick geschrieben. Der Start der Installation lief insgesamt gut, der Installer leitet mich durch die einzelnen Stufen bis zu dem Punkt der Partitionierung mit Integration von LVM und verschlüsselten Partitionen. Ich nutze "graphical expert install". Irgendwie finde ich den Faden nicht, wie ich mein gewünschtes Ziel mit Hilfe des Installers erreichen kann. Mal verschwindet die eine tmp-Deklaration und wird ungefragt in eine swap umgewandelt, dann denke ich, ich hätte es einigermaßen geschafft, nur um dann festzustellen, daß die Installation ein nicht betreibbares System hinterläßt. Ich habe nun einige Versuche angestellt, um hinter die Logik des Partitionierungsabschnitts des Installers zu gelangen, bisher ohne Erfolg. Leider muß ich zwischendurch immer wieder abbrechen, weil der Installer einmal definierte verschlüsselte Bereiche nicht wieder rückgängig machen kann. Dann muß ich jedesmal mit einem Rescue-Stick ran und rückgängig machen. In der Zwischenzeit habe ich aufgehört meine Versuche zu zählen; mittlerweile arbeite ich eine ganze Woche dran. Habe Webseiten und Foren studiert und versucht Fälle zu verstehen, hat alles bisher nichts sinnvolles erbracht. Ich nachhinein bin ich froh, daß ich meine Betriebsplatte jedesmal ausgebaut habe, so daß mein System insgesamt noch laufen kann. Ich benötige also Unterstützung bei dem Ablauf innerhalb des Partitionierungsvorgangs. Welche Schritte sind in welcher Reihenfolge abzuwickeln? Wie komme ich auf mein Schema oben? Wer hat Ideen bzgl. der Handhabung des Installers?
Noch der Hinweis, weil ich denke, daß das kommen wird. Die Hardware ist eine betagte alte mit verminderter Leistung Laptop Fujitsu SIemens XI3650 und läuft und läuft und läuft. Ich möchte der CPU möglichst wenig aufbürden und bin daher auf das obige Schema gekommen. Nur die wirklich kritischen Bereiche sind verschlüsselt, alles andere nicht. Nach der Installation werde ich eine Bulk-Installation der bisher installierten SW drüberlaufen lassen und dabei die hidden-(config) files auf die SSD:/home schreiben lassen. Nach dieser Installation versuche ich die bestehenden hidden-files der HD:/home zu verwenden. Ja, da ist manuelle Arbeit vonnöten. Ich habe auch vor noch einen Schritt weiter zu gehen und die hidden-files auf der SSD abzulegen und die reinen Daten auf der HD abzulegen. Praktisch ein /home über SSD und HD mit kreativem symlinking. Das ist allerdings ein Projekt für die Zukunft und ist hier erstmal nicht Thema.
Schon jetzt vielen Dank für die Unterstützung und ich wünsche einen wunderschönen Tag.
Walter

eggy
Beiträge: 1508
Registriert: 10.05.2008 11:23:50

Re: debian auf SSD mit LVM und teilweise verschlüsselt

Beitrag von eggy » 26.09.2018 17:07:29

Wenn Du /var nicht verschlüsselst, sind von Programmen selbst angelegte Dateien nicht verschlüsselt.
Betrifft unter anderem: Logs, Mails, Druckaufträge und Datenbanken.
Wird gerne übersehen, aber in /var/log können je nach Programm ebenfalls sensible Daten / Passwörter landen.

walter14
Beiträge: 6
Registriert: 25.09.2018 16:41:24

Re: debian auf SSD mit LVM und teilweise verschlüsselt

Beitrag von walter14 » 27.09.2018 14:04:30

Hallo eggy,
danke für deine Gedanken und ja, das ist eine gute Idee. Daran habe ich auch schon damals nicht gedacht. Das werde ich berücksichtigen und dann sieht die Zielpartitionierung so aus:
  • boot
  • root (LVM)
  • tmp (LVM, crypted)
  • swap (LVM, crypted)
  • home (LVM, crypted) - für die Installation
  • usr (LVM)
  • var (LVM)
  • var/log (LVM, crypted)
  • home (auf der alten HD; ist in einer bestehender LVM-vg und verschlüsselt) - wird während der Installation nicht angerührt
Wer hat Ideen, wie man so etwas mit Hilfe des Installers erzeugen kann?
Herzliche Grüße und danke für die Hilfe!
Walter

eggy
Beiträge: 1508
Registriert: 10.05.2008 11:23:50

Re: debian auf SSD mit LVM und teilweise verschlüsselt

Beitrag von eggy » 27.09.2018 16:05:59

Bist Du sicher, dass sich das Aufteilen überhaupt lohnt? Ich könnt mir vorstellen, dass es einen Unterschied macht, ob "Crypto" oder "kein Crypto", der Unterschied ob "Crypto auf Anzahl x" oder "Crypto auf Anzahl y" dagegen eher vernachlässigbar sein wird.
Ich würde mir da eher Gedanken machen, was ich in /var alles übersehn hab. Die Liste oben war nicht mal ansatzweise komplett. /var/tmp gibts z.B. ja auch noch. Und außerdem kann sich der Ort an dem Daten abgelegt werden auch mal mit nem Programmupdate ändern. Selbst wenn Du heute die richtigen Verzeichnisse ausgesucht hast, morgen kann schon wieder alles anders sein, daher "keep it simple" und teste mal ob Vollverschlüsselung nicht vielleicht doch die bessere Wahl ist. Alles auf einer Partition hätte auch den Vorteil dass man sich jetzt noch keine Sorgen darum machen muss, welche Partition wie groß sein soll.

walter14
Beiträge: 6
Registriert: 25.09.2018 16:41:24

Re: debian auf SSD mit LVM und teilweise verschlüsselt

Beitrag von walter14 » 28.09.2018 15:59:42

naja, ob wir da von lohnen sprechen können, weiß ich nicht. Wenn ein Volume volläuft, kann ich immerhin noch weiterarbeiten und korrigierend eingreifen. Bei meinem Wunschsetup kann ich auch vergrößern. Da bleibt mir einfach Handlungsspielraum. Manchmal habe ich einfach keine Lust mich um die HW/SW zu kümmern, sondern möchte einfach nur anwenden. Wenn ich dann vorher ein bißchen nachgedacht habe, dann bewahrt mich das nachher vor Überraschungen. Ich bin mit meinem System an der Kante der Fähigkeiten und daher schaue ich an allen Ecken, was sich reduzieren läßt ohne die Sicherheit arg aus dem Auge zu lassen. Hatte mir nach deinem Hinweis auch /var etwas näher angeschaut und bei mir ist es tatsächlich /var/log was sich lohnt zu verschlüsseln. Die anderen Verzeichnisse enthalten zwar auch einiges, ist aber nicht so wichtig in meinem Fall.
Und dann ist da noch der gewisse Kitzel, den Installer so zu beknien, daß er mein Setup annimmt. So langsam komme ich ihm auf die Schliche :lol: So langsam kenne ich das Ding auswendig...

walter14
Beiträge: 6
Registriert: 25.09.2018 16:41:24

Re: debian auf SSD mit LVM und teilweise verschlüsselt

Beitrag von walter14 » 07.10.2018 22:15:16

[Update 27.10.18: Bilder auf das Forum geladen und Links im Text auf die Bilder im Forum geändert - by walter14]

Hurra – es ist geschafft...
Für alle, die etwas anders als die Standardaufteilung der Partitionierung innerhalb des Installers haben möchten (ohne raid, aber mit LVM/crypto) folgt nun ein Beispiel um folgendes Partitionierungsschema zu ereichen:
lsblk erzeugt:
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sdb 8:16 1 57,3G 0 disk
├─sdb1 8:17 1 476M 0 part /boot
├─sdb2 8:18 1 1K 0 part
├─sdb5 8:21 1 28,9G 0 part
│ ├─vg01-root 254:0 0 9,3G 0 lvm /
│ ├─vg01-usr 254:1 0 14G 0 lvm /usr
│ └─vg01-var 254:2 0 5,6G 0 lvm /var
└─sdb6 8:22 1 14G 0 part
└─sdb6_crypt 254:3 0 14G 0 crypt
├─vgc-home 254:4 0 4,7G 0 lvm /home
├─vgc-tmp 254:5 0 3,7G 0 lvm /tmp
├─vgc-swap 254:6 0 1,9G 0 lvm [SWAP]
└─vgc-var_log 254:7 0 3,7G 0 lvm /var/log

Die Partitionen /, /usr und /var sind nicht verschlüsselt, aber verwaltet durch LVM. Die Partitionen /home, /tmp, swap und /var/log sind verschlüsselt und verwaltet durch LVM. /boot ist eine separate Partition und hier außen vor (ohne LVM, nicht verschlüsselt). Ich habe ziemlich viele Varianten ausprobiert, um dieses Schema zu erhalten, habe aber schlußendlich nur einen Weg gefunden. Ich weiß nicht, ob es noch andere Lösungen gibt, wäre aber dankbar darüber etwas zu hören/lesen. Ich habe immer noch die Herausforderung eine bestehende alte /home Partition in das neue Schema zu integrieren. Dort war bereits verschlüsselt und nun muß ich beim Start zweimal das Paßwort zum Entschlüsseln eingeben. Das ist lästig.
Los gehts...
Zuerst wähle manuelle Partitionierung.
Die Definition der Boot-Partition wie hier resultiert in der erzeugten Boot Partition.
Dann wird eine physische Partition für LVM benötigt (sdb5 oben). Die Definition der LVM-Partition erzeugt dies.
Nun ist es Zeit eine Partition für die verschlüsselten Volumes zu erstellen. Ich habe mich entschlossen die Installationszeit abzukürzen und die Daten nicht zu löschen. Die Definition der verschlüsselten Partition führt zu diesem Ergebnis.
Ich habe nicht den kompletten Platz auf dem USB Stick eingesetzt – für spätere Verwendung.
Das verschlüsselte Gerät muß noch konfiguriert und die Änderungen mit einem mutigen „Ja“ auf die Platte geschrieben werden. Dann erstelle ein verschlüsseltes Gerät und selektiere dafür die definierte verschlüsselte Partition von der Liste. Dann beende diesen Prozess, gebe bei Aufforderung ein Verschlüsselungswort ein und das Ergebnis ist dies.
Jetzt kommt der kleine Kniff: das verschlüsselte Gerät muß erneut als physisches Volume für LVM konfiguriert werden:
  1. Auswahl
  2. Vorher
  3. Nachher
  4. Ergebnis
Das entbehrt nicht einer gewissen Verrücktheit. Dann folgt die Konfiguration des LVM. Zunächst müssen alle Änderungen auf das Gerät (Platte, USB-Stick) geschrieben werden. Für eine schnelle Prüfung wähle Konfigurationsdetails: dort sind nun 2 physische Volumes verfügbar!
Jetzt müssen Volume-Gruppen aktiviert werden. Ich beginne mit einer Volume-Gruppe für die Verschlüsselten und benenne sie vgc. Dann wähle ich das passende physikalische Gerät aus. Hier aufpassen, daß es ein Gerät mit einem „crypt“ im Namen ist. Dann die Volume-Gruppe für die nicht-verschlüsselten, die ich vg01 nenne und dafür ein Gerät wie dieses nutze. Dann wieder die Konfigurationsdetails prüfen.
Dann müssen Logische Volumes erzeugt werden:
Gruppe Name Größe
vg01 root 10G
vg01 usr 15G
vg01 var 6G
vgc home 5G
vgc tmp 4G
vgc swap 2G
vgc var_log 4G
Und die LVM Deklaration ist diese. Dann einfach weitergehen und abschließen. Nun sind alle Volumes erzeugt und benötigen die Dateisystem Deklaration, Einhängepunkt usw. Wähle die erzeugten LVM Volumes nun eins nach dem anderen aus und konfiguriere jedes von ihnen. Es folgt ein Beispiel für das logische Volume root der Volumegruppe vg01. Wähle die Zeile des root-Volumes und konfiguriere Dateisystem, Einhängepunkt und anderes. Wiederhole diesen Vorgang für alle Volumes (/usr, /var, /home, /tmp und /var/log). Für das Volume swap sieht die Definition so aus.
Das Endergebnis. Nun alle Änderungen übernehmen und die Änderungen werden auf die Platte/USB-Stick geschrieben. Fertig!
Vielleicht ist das für jemanden von Nutzen. Ich empfehle auf jeden Fall ein Backup zu machen, bevor man sich an ein bestehendes System heranwagt. Der Installer ist an dieser Stelle recht unübersichtlich, wenn mehrere Platten angeschlossen sind und im Eifer des Gefechts wählt man schon mal was falsches aus. Ich war für diesen Versuch so paranoid und habe sämtliche Platten ausgebaut und die Installation über 2 USB-Sticks ausgeführt.
Viel Freude damit
walter
Zuletzt geändert von walter14 am 27.10.2018 16:23:49, insgesamt 1-mal geändert.

Benutzeravatar
wico
Beiträge: 36
Registriert: 28.07.2015 21:07:02

Re: debian auf SSD mit LVM und teilweise verschlüsselt

Beitrag von wico » 20.10.2018 07:29:53

Hallo,
du hast dir ja eine Menge Arbeit gemacht. Toll das du deine Schritte anschaulich beschrieben hast so das man einiges nachvollziehen kann. Vielleicht werde ich mein System so oder ähnlich umstellen, im Augenblick sicherlich nicht.

Nochmals Danke für deine Infos.
Gruß
wico

eggy
Beiträge: 1508
Registriert: 10.05.2008 11:23:50

Re: debian auf SSD mit LVM und teilweise verschlüsselt

Beitrag von eggy » 20.10.2018 09:46:55

Wäre schade, wenn die Mühe umsonst war, nur weil der externe Bilderhoster die Bilder löscht.
Du kannst sie hier in der Galerie ablegen und direkt einbinden gallery/album/1/upload
Und dann gibts da auch noch das Wiki https://wiki.debianforum.de/Hauptseite

Bzgl den unterschiedlichen (?) Passworten: Du hast mehrere Keyslots zur Verfügung, wirf mal nen Blick auf "cryptsetup luksAddKey" falls Du noch weitere Passworte anfügen willst. Und schau Dir mal /etc/crypttab an.

walter14
Beiträge: 6
Registriert: 25.09.2018 16:41:24

Re: debian auf SSD mit LVM und teilweise verschlüsselt

Beitrag von walter14 » 27.10.2018 16:53:40

Hallo eggy,
danke für die Hinweise.

Ich wußte nicht, daß man hier auch Bilder hochladen kann. Ist nun erledigt und auf intern verlinkt.

Das mit dem Wiki ist so eine Sache. Ich habe keine große Recherche betrieben, kann daher keine Doku nachweisen, sondern habe es "rausgefummelt". Ein Artikel in einem Wiki müßte aus meiner Sicht ganz anders aussehen als mein geschriebener Text im Forum. Das wäre richtig Aufwand und eine richtige Doku mit allem drum und dran. Ob ich die Zeit habe bleibt abzuwarten, derzeit schaffe ich das sicher nicht.

das mit den Paßwörtern: es sind nun 2 , die ich für die alte und die neue Konfig eingeben muß. Da hilft mir cryptsetup luksAddKey nicht weiter. Es müßte ein Prozess sein, der mir eine bestehende (neue) Volume-Gruppe mit dem gleichen Paßwort integriert. Da habe ich auch schon gewühlt und (mal wieder) nichts gefunden. Die /etc/crypttab ist natürlich angepaßt, sonst müßte ich jedesmal händisch den ganzen Mountprozeß eindaddeln. Ja, ich könnten keyfiles nutzen, aber ich möchte, daß meine Paßwörter in meinem Kopf residieren und nur dort d.h. ich möchte schon, daß mein Paßwort abgefragt wird, aber eben nur einmal. Diese Art der Integration, wie ich sie in meinem Fall benötige, haben die Entwickler scheinbar nicht bedacht. Daher freunde ich mich schon mal so langsam für den Backup/Restore Prozeß der Daten an...

eggy
Beiträge: 1508
Registriert: 10.05.2008 11:23:50

Re: debian auf SSD mit LVM und teilweise verschlüsselt

Beitrag von eggy » 28.10.2018 00:42:43

key-slots, nicht files; man cryptsetup sagt z.B.
Each passphrase, also called a key in this document, is associated with one of 8 key-slots.
Edit: https://unix.stackexchange.com/question ... ks-at-boot
irgendwie war da vor "kurzem" (2 Jahren?) mal was, dass "sowas" (zwei crypto-Platten, nur einmal passphrase eingeben) rausgepatscht wurde (Umstellung auf systemd?) und dann doch wieder rein sollte, irgendwas in Bezug auf systemd? ka, schon etwas her, vielleicht fällts mir wieder ein, jedenfalls bin ich mir (sehr/fast/etwas/einbischen/garnicht) sicher, dass es hier schonmal nen Thread dazu gab. (oder war es doch ein Bugreport bei Debian?).

Was das Wiki angeht: Es gibt nen Wikithread viewtopic.php?f=36&t=121942 , da kannst auch "Baustellen" einstellen. Da gibt's sicherlich den ein oder anderen, der gerne hilft aus nem eben mal so hingeschriebenen Text dann nen hübschen Artikel zu machen, einfach mal fragen.

walter14
Beiträge: 6
Registriert: 25.09.2018 16:41:24

Re: debian auf SSD mit LVM und teilweise verschlüsselt

Beitrag von walter14 » 10.11.2018 19:00:59

Anmerkung: Diskussion passt nicht mehr zum Thread-Thema...

Hallo eggy,
hat ein Weilchen gedauert. Dein Link hat mir eine neue Möglichkeit eröffnet.
Ich fahre ohne systemd und konnte daher ausprobieren, ob das password caching script "decrypt_keyctl" bei mir anwendbar ist. Ich habe unterschiedliche Möglichkeiten ausprobiert - leider ohne Erfolg. Das wäre eine sehr elegante Lösung gewesen.
Die keyslots sind etwas anderes - damit wird die Möglichkeit eröffnet für jedes Crypt-Device mehrere Passwörter zu hinterlegen. Gute Variante, wenn man ein Passwort zusätzlich im Safe hinterlegen möchte, das aber nicht das Arbeits-Passwort ist. Außerdem kann man hier ebenfalls einen keyslot so anlegen, daß er ein Passwort-File als Eingabe unterstützt. Die keyslots helfen bei meinem Problem leider nicht weiter, es sei denn, du hast eine andere Anwendung der keyslots im Hinterstübchen gehabt.
Ich habe 2 crypt-devices in unterschiedlichen volume groups mit dem gleichen Passwort. Das Passwort Caching script wäre genau richtig, habs bisher nur nicht zum Laufen bekommen.

Und das mit dem Wiki wird noch ein Weilchen dauern...

Antworten