[gelöst] verschlüsseltes Debian in Partition installieren scheitert

[debian42debian]

Hallo zusammen,

ich habe eine neue SSD und möchte sie mit zwei Betriebssystemen im Dualboot fahren.
Drei Partititionen habe ich darauf eingerichtet,
sda2 enthält ein vollverschlüsseltes ArchLinux und funktioniert mit Grub
sda3 soll eine vollverschlüsselte Debianinstallation bekommen -> hier scheitert es
sda 4 ist für Daten vorgesehen.

Nun habe ich den Debianinstaller angeworfen und zuerst sda3 verschlüsselt, ein ext4 Dateisystem angelegt und den LVM konfiguriert, es gibt dort /, /home und swap. Danach wurde Debian in dieses
LVM auf sda3 installiert.

Es gab keine Möglichkeit auszuwählen ob Grub installiert werden soll, er hat es jedoch dann nochmal innerhalb der Debianinstallation gemacht..

Hier komme ich nicht mehr weiter, bin ich bis jetzt richtig vorgegangen und wenn ja, was ist noch zu tun um dem schon von Arch aus installierten Grub beizubringen dass hier noch ein verschlüsseltes System
zum booten bereit liegt?

edit: beide Systeme sollen im UEFI Modus hochfahren

[debian42debian]

...oder einfacher und anders herum gefragt:

habe ich da was übersehen?
kann man dem Debian Installer beibringen dass er das verschlüsselte Bullseye in die
Partition sda3 installieren soll und den schon vorhandenen Grub mit einbindet?

Edit: es muss auch nicht über den Installer laufen. Gerne auch "zu Fuss" mit der Konsole.

Was ich noch vergessen habe zu schreiben: auf sda1 befindet sich die unverschlüsselte Bootpartition
die im funktionierenden ersten Betriebssystem (Arch) unter /boot gemountet ist.

Die konkrete Fragestellung ist: (wie) stelle ich die Verknüpfung her damit der Grub das zweite verschlüsselte Betriebssystem erkennt und nach der Eingabe des Keys weiter booten kann?

[Livingston]

Zumindest im Expert-Modus des Debian-Installers gibt es die Option "Ohne Bootloader fortfahren" oder so ähnlich.
Wenn Du diesen Weg wählst, kannst Du alles wie geplant in die vorgesehene Partition installieren, ohne grub zu installieren. Danach rein in das Arch-System und von dort

• die Debian-Partition per Hand mit LUKS öffnen
• Volumegroups mit vgscan einsammeln, u.U. mit lvscan die logischen Volumes finden
• die Volumes mounten
• die entsprechenden Geräte in der fstab eintragen
• initramfs updaten
• grub neu installieren

Oder:
In Arch grub vollständig deinstallieren. Danach auf der freien Partition die Installation von Debian komplett mit grub durchziehen, wobei die Arch-Installation gefunden werden sollte.

[debian42debian]

Danke Livingston für die Richtungsweisung!

die Volumes mounten

...wie würde das aussehen? kann ich die ganze Gruppe mounten oder muss ich hier
in Arch für jeden Part der Gruppe einen eigenen Mountpoint erstellen?
Muss ich /boot von Debian noch explizit ins Arch mounten?

Ich musste bei der Installation des verschlüsselten Archsystems in /etc/default/grub den Rootzweig
der LVM-Gruppe explizit angeben und in der /etc/mkinticpio.conf die encrypt und lvm2 Hooks setzen.
Würde Grub das in deinem Prozedere selbst erkennen dass es sich um ein verschlüsseltes System handelt das es zu booten gilt?

Oder:
In Arch grub vollständig deinstallieren. Danach auf der freien Partition die Installation von Debian komplett mit grub durchziehen, wobei die Arch-Installation gefunden werden sollte.

...wie soll das funktionieren wenn Arch auch verschlüsselt ist?

[debian42debian]

erster Versuch leider fehlgeschlagen.

Debianinstallation ohne Bootloader war erfolgreich.
Debian's fstab hatte alle Einträge drin, da musste ich nichts mehr machen.

Ins Arch gewechselt, Debian entsperrt und Mountpoints erstellt und die DebianLVM gemountet

Code: Alles auswählen

mount /dev/MyDebVolGroup/root /mnt
mount /dev/MyDebVolGroup/home /mnt/home

danach

Code: Alles auswählen

# mkinitcpio -P

und

Code: Alles auswählen

# grub-install --target=x86_64-efi --efi-directory=/boot --bootloader-id=GRUB

...hat leider nicht dazu geführt dass Debian erkannt wurde. Es ist nur Arch im Bootmenü vorhanden.

[debian42debian]

nochmaliger Versuch mit

Code: Alles auswählen

mount /dev/mapper/MyDebVolGroup-root /mnt
mount /dev/mapper/MyDebVolGroup-home /mnt/home

hat auch nicht geklappt

Debians fstab hat sich in der herkömmlichen Schreibweise generiert, in Arch arbeite ich allerdings
mit UUID's. Problem?

[Livingston]

Bin leider in arch nicht firm, aber der Grund, warum der arch-grub die Debianinstallation nicht eingebaut hat, war wahrscheinlich, dass die Konfiguration des grub nicht neu geschrieben wurde.
Mit grub-install werden zwar die grub-binaries an die richtige Stelle gesetzt, aber die Datei /boot/grub/grub.cfg wird nicht automatisch miterzeugt, welche für das grub-Menu zuständig ist.
Unter debian geschieht das manuell mit update-grub.
Für arch müsste das mit

Code: Alles auswählen

# grub-mkconfig -o /boot/grub/grub.cfg

gehen.

(Debians update-grub ist letztlich nur ein Script, das grub-mkconfig aufruft.)

[debian42debian]

Jetzt bin ich ein Stück weiter, das hat geholfen.

Beide Systeme erscheinen im Bootmenü des Grub. Nur wird der Kernel noch nicht gefunden,
auf der EFI-Bootpartition ist auch nur der Arch Kernel zu finden.

you must load the Kernel first...

Ich habe nur den Rootzweig eingehängt und alles neu erzeugt.

Liegt es eventuell an der /etc/default/grub in der nur der Arch eintrag zu finden ist?

Code: Alles auswählen

# GRUB boot loader configuration

GRUB_DEFAULT=0
GRUB_TIMEOUT=5
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="loglevel=3 quiet"
GRUB_CMDLINE_LINUX="cryptdevice=UUID=e498a0ef-653f-4577-9e63-1689fe814457:root root=/dev/mapper/MyVolGroup-root resume=/dev/mapper/MyVolGroup-swap"

# Preload both GPT and MBR modules so that they are not missed
GRUB_PRELOAD_MODULES="part_gpt part_msdos"

[Tintom]

Nochmal zum Verständnis: Was ist denn sda1 für eine Partition? /boot? /boot/efi? Ist diese Partition auch bei Debian eingebunden?

[debian42debian]

sda1 ist die unverschlüsselte Bootpartition und sieht bei mir so aus:

Code: Alles auswählen

[harry@archmachine boot]$ ls
EFI  grub  initramfs-linux-fallback.img  initramfs-linux.img  vmlinuz-linux
[harry@archmachine boot]$ cd EFI/
[harry@archmachine EFI]$ ls
Arch-Linux-grub  GRUB
[harry@archmachine EFI]$ cd ../grub
[harry@archmachine grub]$ ls
fonts  grub.cfg  grubenv  locale  themes  x86_64-efi
[harry@archmachine grub]$ 

Debian's fstab wurde bei der Installation (ohne Grub) folgendermassen angelegt:

Code: Alles auswählen

# <file system> <mount point>   <type>  <options>       <dump>  <pass>
/dev/mapper/MyDebVolGroup-root /               ext4    errors=remount-ro 0       1
# /boot/efi was on /dev/sda1 during installation
UUID=8DE6-E920  /boot/efi       vfat    umask=0077      0       1
/dev/mapper/MyDebVolGroup-home /home           ext4    defaults        0       2
/dev/mapper/MyDebVolGroup-swap none            swap    sw              0       0
/dev/sr0        /media/cdrom0   udf,iso9660 user,noauto     0       0

[debian42debian]

Grub sucht anscheinend beim Start die UUID der Platte sda3 auf dem Debian drauf ist, kann sie aber noch nicht entsperren da der Kernel noch nicht geladen werden konnte wenn ich das richtig interpretiere.

Ich habe bei allen Schritten nur Debian's / ins Arch gemountet.

Der Eintrag "Arch-Linux-Grub" in /boot/EFI/ ist von der ersten Installation mit Arch als Singlesystem,
der "GRUB" ist der zweite Versuch beide Systeme dort unterzubringen.

[Tintom]

Grub sucht anscheinend beim Start die UUID der Platte sda3 auf dem Debian drauf ist, kann sie aber noch nicht entsperren da der Kernel noch nicht geladen werden konnte wenn ich das richtig interpretiere.

Genau hier liegt das Problem. Kernel und Initrd liegen unter /boot, was wiederum auf einem verschlüsselten LVM liegt. Grub kann darauf nicht zugreifen. Die EFI-Partition (/boot/efi) hast du eingebunden, daher erscheint bei einem Upgrade von grub auch der Debian-Eintrag, weil das System zum Zeitpunkt des Updates von grub entschlüsselt ist.

Kernel und Initrd müssen in einem unverschlüsselten Bereich liegen, damit sie beim Systemstart geladen werden können.

edit: Verstehe ich das richtig: sda1 enthält ein FAT-Dateisystem und dient gleichzeitig sowohl als ESP als auch als Partition für /boot? Macht Arch das immer so?

edit2: Interessant: Bullseye ist vielleicht die letzte Version, bei der man das so machen muss:

Grundsätzlich ist ist die /boot-Partition hier die einzige Ausnahme: sie muss unverschlüsselt bleiben. Dies rührt daher, dass es historisch keinen Weg gab, einen Kernel von einer verschlüsselten Partition zu laden. (GRUB ist seit neuestem hierzu in der Lage, aber der debian-installer unterstützt dies derzeit noch nicht. Das Setup hierfür ist daher in einer separaten Anleitung abgelegt.)

[debian42debian]

macht Arch das immer so?

...Gute Frage, ich weiss nicht welcher der vielen Wege "richtig" nach Rom führt
Ich habe es aus der Installationsanleitung von Arch jedenfalls so raus gelesen.

Kernel und Initrd müssen in einem unverschlüsselten Bereich liegen, damit sie beim Systemstart geladen werden können.

Abhilfe? einfach rüber kopieren? Danach wird /boot ja auf sda1 eingehängt und sollte updates
richtig mitbekommen, oder?

[Tintom]

Die Frage ist erstmal: Wie groß ist die /boot-Partition? Da liegen künftig mindestens drei Kernel-Initrd-Kombinationen und nichts wäre ärgerlicher als ein Systemupdate, das wegen Platzmangel in /boot abbricht.

Die zweite Sache: Du solltest die /boot-Partition bei Debian in der fstab einbinden.

Drittens: Dein Grub nutzt Variablen (root=,resume=,...) des Arch-Systems, die müsstest du für die Einträge deines Debiansystems ggf. händisch anpassen. Nicht nur einmalig, sondern auch nach jedem Kernelupdate deines Debiansystems, da jeder Kernel eine eindeutige Versionsnummer bekommt. Das kannst du aber umschiffen, wenn...

Viertens: Du dein Debian so konfigurierst, dass es den aktuellen Kernel unter einem festen Pfad ablegt. Das aber dann erst am Ende, wenn du zuverlässig in dein Debian booten kannst.

edit: Ich bin mir gerade nicht sicher, ob Schritt 3 und 4 durch os-prober erledigt werden können. Dann wären die Schritte nicht notwendig. Weiß da jemand mehr zu?

[debian42debian]

ok, danke schonmal für die Hinweise!

die /boot auf sda1 habe ich mit 500MB gewählt, ein bisschen was passt da schon drauf. Ich werde da auch immer mal wieder aufräumen.

Die zweite Sache: Du solltest die /boot-Partition bei Debian in der fstab einbinden.

ja, ich habe gerade verglichen. Arch mountet /boot auf sda1, Debian mountet laut fstab /boot/efi auf
sda1.
Ein anderer Rechner mit unverschlüsseltem Windows und verschlüsseltem Debian im Dualboot
hat zwei Partitionen am Anfang und mountet /boot nach sda1(vfat) und /boot/efi nach sda2(ext2).
Dann würde in meinem Problemfall /boot auf sda1 gemountet?!

Drittens: Dein Grub nutzt Variablen (root=,resume=,...) des Arch-Systems, die müsstest du für die Einträge deines Debiansystems ggf. händisch anpassen.

wird in diesem Fall der Eintrag für das Debiansystem in /etc/default/grub von Arch mit dazu geschrieben oder wäre dies in der betreffenden Datei des Debian-Systems zu erledigen?

Viertens: Du dein Debian so konfigurierst, dass es den aktuellen Kernel unter einem festen Pfad ablegt. Das aber dann erst am Ende, wenn du zuverlässig in dein Debian booten kannst.

das wäre meiner Meinung nach ja dann gegeben wenn Debian funktioniert und /boot richtig gemountet ist.

Ich habe mal gelesen dass die Variablen (root=, resume=) auch gefunden werden können, habe sie jedoch händisch gesetzt da ich damals auf einem 32-bit System mit Arch32 Probleme hatte.

[rhHeini]

Hab ne Weile mitgelesen, muss jetzt mal ein paar Kommentare aus meinem Erfahrungsschatz loswerden. Ich hab hier 2 Ryzen-Systeme mit X570-Chipsatz mit reinen efi-Installationen. Auf beiden Rechnern hab ich ein Arch und parallel dazu ein oder 2 Devuane laufen. Arch wirklich voll verschlüsselt, die Devuane klassisch mit unverschlüsselter Boot-Partition, root und swap in verschlüsseltem LVM. Die Systeme sehen sich nicht, kennen sich nicht, wenn ich ein anderes als das Default-System booten will muss ich halt übers Bios gehen. Für mich kein Problem da ich das eher selten brauche.

Auf meinen Brettern findet der OS-Prober im übrigen kein anderes verschlüsseltes efi-Linux, nen Windose hab ich nimmer.

Was mir in diesem Faden aufgefallen ist: Die ESP ist nicht die /boot wo Debian die Kernel und die initrd hinterlegt. Mag ja sein das Arch die ESP auf /boot verlinkt, bei Debian sollte man das aber lassen. Die ESP ist in der Regel FAT32, 512MByte ist grosszügig bemessen, und nur dazu da die Startdateien für den efi-Bootloader dort abzuladen, aber Kernel und Zubehör haben da nichts zu suchen. In Debian auf /boot/EFI eingehangen. Bei mir ist die Devuan-/boot-Partition 2048 MByte gross und mit ext4 formatiert (bei den heutigen Plattengrössen macht sparen da auch keinen Sinn). Damit ist da reichlich Platz für viele Kernel und initrds, und die normalen Unix-Rechteverwaltung geht.

Ich denke auch dass der Ansatz den grub des Arch Debian starten zu lassen kein guter Ansatz ist. Arch und Debian sind anzusehen wie 2 verschiedene Windows-Versionen. Quer-Updates gehen höchstwahrscheinlich in die Hose. Ich hab mich beim Aufsetzen meiner beiden X570 bewusst für eine klare Trennung entschieden.

Der OS-Prober ist neuerdings in Debian ausgebremst, sprich in /etc/default/grub disabled. Dazu gibt es ein paar Fäden hier im Forum. Der OP mag ja mal probieren was passiert wenn er den mit root-Rechten aus dem Debian startet. Bei mir auf den X570-Rechnern kommt da sofort wieder das Konsolenprompt. Ich hab noch ein altes AM3-System im Keller das parallel XP, Win7 und ein Debian im Legacy-Modus laufen hat. Das findet der OS-Prober alles und trägt das in den Splash-Screen ein.

Ich weiss nicht ob es den OS-Prober auch in Arch gibt, oder etwas analoges...

Ich würde dazu raten für Bullseye den klassischen Weg mit einer unverschlüsselten /boot zu starten, das wird funktionieren. Eine Vollverschlüsselung geht zwar auch bei Debian im Prinzip, ABER der grub 2.04 der bislang der Standard war kann nur luks1 entschlüsseln. Hab das nie ausprobiert, den seit es luks2 gibt setze ich das für / ein. Inzwischen ist Bullseye zwar auf grub 2.06, hab aber noch keine HowTo gesehen wie man das dann ans Laufen kriegt.

Wenn Bullseye unbedingt aus dem Arch-grub gestartet werden soll, muss sich der OP mal mit Custom-grub-Einträgen beschäftigen. Grundsätzlich ist das ein gangbarer Weg. Ich musste das vor Jahren mal eine Weile auf einem Rechner nutzen bei dem der Linux-Kernel Dumps ins efi-Flash geschrieben und alles belegt hatte so das ich nichts löschen oder Änderungen ins efi schreiben konnte. Allerdings hat dies den Nachteil das man nach einem Kernelupdate den Custom-Eintrag händisch modifizieren muss.

Viel Erfolg.

[Tintom]

Allerdings hat dies den Nachteil das man nach einem Kernelupdate den Custom-Eintrag händisch modifizieren muss.

Nicht unbedingt. Bei einem Kernelupdate werden Shellskripte in /etc/kernel ausgeführt, die etwa den Bau der Initrd oder das Update von grub anstoßen. Hier könnte man ansetzen und in einem extra Skript eine Kopie des Kernels (etwa mit cp /boot/kernelversion /boot/vmlinuz) erzeugen lassen. Der Grub-Eintrag würde so immer auf den aktuellen Kernel zeigen.

Theoretisch würde hier auch ein Softlink reichen, aber FAT unterstützt das nicht. Die Größenbeschränkung der aktuellen /boot-Partition muss man dabei auch noch im Hinterkopf behalten.

[debian42debian]

wenn ich die Beiträge so lese glaube ich schön langsam dass es doch das einfachste wäre:

für Debian nochmals einen eigenen Grub in den richtig erzeugten Partitionen zu installieren so dass
jedes System seinen eigenen nutzt. Dann wähle ich das zu startende System aus dem Bios-Menü mit F12 und fertig ist. Somit sind die Distributionen sauber getrennt, jeder hat die /boot die er erwartet und die Kernel haben auch besser Platz.

Abschliessend: würde das so funktionieren, HINTER der Debianpartition noch eine für /boot und eine für /boot/efi anzulegen, dem Expert-Installer zu erklären dass er den Grub dorthin installieren soll und dann
so zu starten?

[rhHeini]

Abschliessend: würde das so funktionieren, HINTER der Debianpartition noch eine für /boot und eine für /boot/efi anzulegen, dem Expert-Installer zu erklären dass er den Grub dorthin installieren soll und dann so zu starten?

Nicht ganz, Du brauchst nur eine ESP. Das sollte die erste Partition auf der Platte/SSD sein. Die wird von allen OSen genutzt. Der Installer verlinkt die automatisch korrekt soweit der im efi-Modus gestartet wird. Leg eine /boot im freien Bereich hinter den bisherigen Partitionen an, gut ist. Dann installierst Du mit manueller Partitionierung .....

[debian42debian]

Nicht ganz, Du brauchst nur eine ESP. Das sollte die erste Partition auf der Platte/SSD sein. Die wird von allen OSen genutzt. Der Installer verlinkt die automatisch korrekt soweit der im efi-Modus gestartet wird. Leg eine /boot im freien Bereich hinter den bisherigen Partitionen an, gut ist. Dann installierst Du mit manueller Partitionierung .

auch dieser Versuch ging erstmal in die Hose.
Habe eine Partition freigeschaufelt in der /boot rein sollte. Mit dem Installer habe ich festgelegt dass die
EFI-Systempartition auf sda1 genutzt werden soll. Die neue sda4 (/boot) mit Bootflag versehen und als "reservierte Bios-Bootpartition" festgelegt. Was anderes was gepasst hätte gab es nicht auszuwählen.
Nach der Installation hatte ich zwei Einträge, Arch und Debian zur Auswahl, Debian hat leider nicht erkannt dass es sich um ein verschlüsseltes LVM handelt und auch auf der "neuen" /boot ist nix drauf.
Auch die neu angelegte fstab hat nur einen Mountpoint sda1 auf /boot/efi gesetzt, /boot ist so nicht eingebunden worden.

Frage Lösung: Mit Livesystem ins Debian chrooten, fstab um den Mountpoint /dev/sda4 /boot erweitern,
/etc/default/grub mit den Variablen root=, resume= ausstatten und dann den Grubsums nochmal durchlaufen lassen? könnte das so funktionieren?

[rhHeini]

Habe eine Partition freigeschaufelt in der /boot rein sollte. Mit dem Installer habe ich festgelegt dass die
EFI-Systempartition auf sda1 genutzt werden soll. Die neue sda4 (/boot) mit Bootflag versehen und als "reservierte Bios-Bootpartition" festgelegt.

Was machst Du denn da? Bei einem efi-System hat die ESP einzig und alleine das Bootflag. Da liegen die Bootloader. Die sda4 kriegt kein Bootflag und wird auch nicht so nen MS-Zeugs wie "reservierte Bios-Bootpartition", das kann nicht gehen. Kein Wunder das die leer ist.

Deine sda4 bindest Du bei der manuellen Partitionierung ein mit ext4 als Filesystem, verlinkst auf /boot. Sollte formatiert werden. Und kein Flag ....... alles nicht notwendig.
Die sda1 bindest Du als efi-Systempartition ein, NICHT!!! formatieren.

Dann lässt Du den Installer machen.

[debian42debian]

jetzt hat es funktioniert! vielen Dank an alle für den Support!