Debian 12 Testing, TPM, Dracut und verschlüsseltem LVM

Du kommst mit der Installation nicht voran oder willst noch was nachfragen? Schau auch in den "Tipps und Tricks"-Bereich.
teklord
Beiträge: 13
Registriert: 20.06.2023 15:30:14

Debian 12 Testing, TPM, Dracut und verschlüsseltem LVM

Beitrag von teklord » 21.06.2023 06:00:30

Hallo, ich hänge bei der Installation und finde den Fehler nicht.

Ich glaube das der Fehler bei systemd-boot liegt, da er bei einem reboot immer in Grub landet und wenn ich Grub entferne erst gar nicht in den Bootloader kommt.

Ich hänge mal meine Doku an, vielleicht hat ja jemand eine Idee.

Danke




Debian Testing installation mit TPM


ISO: Debian 12 Netinst Testing


Secure Boot muss im Bios/UEFI aktiviert sein


Installation mit Verschlüsseltem LVM

Secure Boot an?

$ sudo mokutil --sb-state



$ sudo apt install tpm2-tools dracut tpm2-openssl

TPM wipe, und PiN

$ sudo systemd-cryptenroll --tpm2-device=auto --wipe-slot=tpm2 --tpm2-pcrs=7+8 --tpm2-with-pin=yes /dev/nvme0n1p3 löscht das TPM und erzeugt einen eintrag im TPM mit PiN

PCR Flags -> https://uapi-group.org/specifications/s ... _registry/

/etc/crypttab anpassen

$ sudo nano /etc/crypttab

Dort am Ende Folgendes eintragen: "tpm2-device=auto". Das Ergebnis müsste in etwa wie folgt aussehen:

nvme-... UUID=b7d... none x-initrd.attach,tpm2-device=auto


$ sudo dracut --add tpm2-tss

$ sudo dracut -f

Systemd-Boot installieren und konfigurieren

$ sudo apt install systemd-boot

$ sudo nano /boot/efi/loader/loader.conf

muss mit folgendem inhalt gefüllt

default systemd
timeout 1
editor 1

Verzeichnis für konfigurations Dateien

$ sudo mkdir -p /boot/efi/loader/entries

Bootloader installieren

$ sudo bootctl install --path=/boot/efi

systemd-boot ist nun installiert, kennt aber keinen Kernel

erstellen wir

$ sudo /etc/kernel/postinst.d/zz-update-systemd-boot

mit folgendem Inhalt

#!/bin/sh
set -e

/usr/bin/kernel-install add "$1" "$2"

exit 0


erstellen wir

$sudo nano /etc/kernel/postrm.d/zz-update-systemd-boot

mit folgendem Inhalt

#!/bin/sh
set -e

/usr/bin/kernel-install remove "$1"

exit 0

Erstinstallation und initialisierung

$ sudo kernel-install add `uname -r` /boot/vmlinuz-`uname -r`

Grub muss nicht zwangsläufig deinstalliert werden und kann als fallback verbleiben, es wird dann in der ausgabe von "efibootmgr" angezeigt.

Grub entfernen

$ apt purge grub-common






Danke

Benutzeravatar
Blackbox
Beiträge: 4289
Registriert: 17.09.2008 17:01:20
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Debian 12 Testing, TPM, Dracut und verschlüsseltem LVM

Beitrag von Blackbox » 21.06.2023 08:20:28

Sieht mir sehr danach aus, als hättest du eine Anleitung abgearbeitet, welche wäre das?
So kann man nachvollziehen, was dessen Autor dokumentiert hat, ob diese eventuell Fehler enthält und dann findet sich bestimmt auch eine Lösung.
Eigenbau PC: Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Desktop PC: Dell Inspiron 530 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Notebook: TUXEDO BU1406 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Alles Minimalinstallationen und ohne sudo/PA/PW.
Rootserver: Rocky Linux 9.3 - Kernel: 5.14

Freie Software unterstützen, Grundrechte stärken!

rjh

Re: Debian 12 Testing, TPM, Dracut und verschlüsseltem LVM

Beitrag von rjh » 21.06.2023 08:45:21

Zum Thema systemd-boot (zu den anderen Sachen kann ich nichts beitragen):

Habe hier ein funktionierendes systemd-boot, da wird das Finden und Aktualisieren des zu bootenden Kernels sozusagen von Debian automatisch eingerichtet. Vielleicht ist es da erforderlich zu prüfen, ob die von Dir verwendete Anleitung noch aktuell ist. Da hat sich meines Wissens nach manches geändert bzw. vereinfacht.


Benutzeravatar
Blackbox
Beiträge: 4289
Registriert: 17.09.2008 17:01:20
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Debian 12 Testing, TPM, Dracut und verschlüsseltem LVM

Beitrag von Blackbox » 21.06.2023 10:45:28

teklord hat geschrieben: ↑ zum Beitrag ↑
21.06.2023 09:15:47
Debian 12 Testing
Was nun?
Debian 12, oder Debian Testing?
teklord hat geschrieben: ↑ zum Beitrag ↑
21.06.2023 09:15:47
ich geb mal meine ganzen quellen an.
Es war zu offensichtlich.
Weiterhin frage ich mich, ob du (bzw. dein Kenntnisstand) deinem Vorhaben (überhaupt) gewachsen bist?
Anleitungen zu kopieren, ohne verstanden zu haben, wieso etwas funktioniert, oder wie bei dir eben nicht, ist nicht besonders smart.
Besonders dann, wenn etwas nicht funktioniert, wird dir das auf die Füße fallen und schnell bewusst werden.

Deswegen frage ich mich, ob es wirklich nachhaltig hilfreich ist, dir bei deinem Problem zu helfen?
Mein Anspruch ist es, der Copy & Paste-Manie, echtes Wissen entgegenzusetzen.
Eigenbau PC: Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Desktop PC: Dell Inspiron 530 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Notebook: TUXEDO BU1406 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Alles Minimalinstallationen und ohne sudo/PA/PW.
Rootserver: Rocky Linux 9.3 - Kernel: 5.14

Freie Software unterstützen, Grundrechte stärken!

teklord
Beiträge: 13
Registriert: 20.06.2023 15:30:14

Re: Debian 12 Testing, TPM, Dracut und verschlüsseltem LVM

Beitrag von teklord » 21.06.2023 12:30:23

Debian Testing ists... :-)


Ich denke, dachte das ich dem gewachsen sei.
Wäre ich dem gewachsen, hätte es diesen spannenden Beitrag nicht gegeben.

Und wissen kann man nur aufbauen indem man liest, ob es Anleitungen sind oder Bücher.

Jetzt komme ich aber leider nicht weiter.



Grüße

Benutzeravatar
Blackbox
Beiträge: 4289
Registriert: 17.09.2008 17:01:20
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Debian 12 Testing, TPM, Dracut und verschlüsseltem LVM

Beitrag von Blackbox » 21.06.2023 13:18:30

teklord hat geschrieben: ↑ zum Beitrag ↑
21.06.2023 12:30:23
Und wissen kann man nur aufbauen indem man liest, ob es Anleitungen sind oder Bücher.
Dieser Annahme liegt ein initialer Denkfehler zugrunde.
Eigenbau PC: Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Desktop PC: Dell Inspiron 530 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Notebook: TUXEDO BU1406 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Alles Minimalinstallationen und ohne sudo/PA/PW.
Rootserver: Rocky Linux 9.3 - Kernel: 5.14

Freie Software unterstützen, Grundrechte stärken!

teklord
Beiträge: 13
Registriert: 20.06.2023 15:30:14

Re: Debian 12 Testing, TPM, Dracut und verschlüsseltem LVM

Beitrag von teklord » 21.06.2023 13:35:01

Der da wäre?

Benutzeravatar
Blackbox
Beiträge: 4289
Registriert: 17.09.2008 17:01:20
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Debian 12 Testing, TPM, Dracut und verschlüsseltem LVM

Beitrag von Blackbox » 21.06.2023 13:44:16

teklord hat geschrieben: ↑ zum Beitrag ↑
21.06.2023 13:35:01
Der da wäre?
Das sollte auf der Hand liegen!

Außerdem hast du nicht gelesen (und schon gar nicht verstanden), sondern lediglich fleißig kopiert.
Und wieder ein Nick verbrannt.
Eigenbau PC: Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Desktop PC: Dell Inspiron 530 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Notebook: TUXEDO BU1406 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Alles Minimalinstallationen und ohne sudo/PA/PW.
Rootserver: Rocky Linux 9.3 - Kernel: 5.14

Freie Software unterstützen, Grundrechte stärken!

teklord
Beiträge: 13
Registriert: 20.06.2023 15:30:14

Re: Debian 12 Testing, TPM, Dracut und verschlüsseltem LVM

Beitrag von teklord » 21.06.2023 13:57:10

Das sehe ich anders.

Benutzeravatar
cosinus
Beiträge: 4131
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Debian 12 Testing, TPM, Dracut und verschlüsseltem LVM

Beitrag von cosinus » 21.06.2023 14:05:21

Was genau ist denn jetzt dein Ziel?
Einfach nur ein vollverschlüsseltes System mit Bootloader GRUB oder unbedingt kein GRUB? :?

Benutzeravatar
Blackbox
Beiträge: 4289
Registriert: 17.09.2008 17:01:20
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Debian 12 Testing, TPM, Dracut und verschlüsseltem LVM

Beitrag von Blackbox » 21.06.2023 14:07:51

teklord hat geschrieben: ↑ zum Beitrag ↑
21.06.2023 13:57:10
Das sehe ich anders.
Erst einmal wäre zu klären, auf welche Antwort sich dein generischer Satz überhaupt bezieht.

Von mir aus kannst du dich weiter selbst belügen, aber dein Vorgehen und der damit verbundene Misserfolg sprechen gegen deine Selbstwahrnehmung.
Eigenbau PC: Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Desktop PC: Dell Inspiron 530 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Notebook: TUXEDO BU1406 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Alles Minimalinstallationen und ohne sudo/PA/PW.
Rootserver: Rocky Linux 9.3 - Kernel: 5.14

Freie Software unterstützen, Grundrechte stärken!

teklord
Beiträge: 13
Registriert: 20.06.2023 15:30:14

Re: Debian 12 Testing, TPM, Dracut und verschlüsseltem LVM

Beitrag von teklord » 21.06.2023 14:22:51

Gehen meine Linux Kenntnisse spricht mein derzeitiger Misserfolg. Deshalb bat ich um Hilfe.

Wenn du nicht helfen möchtest aus oben aufgeführten Gründen ist das völlig OK, nur jemanden so zu beurteilen spricht eigentlich für eine nicht vorhandene Sozialkompetenz.

Und mich hier zu meinen skills aus zu lassen ist nicht so mein Ding.

:D

Wenn also jemand eine Idee hat, ich würde mich freuen.

teklord
Beiträge: 13
Registriert: 20.06.2023 15:30:14

Re: Debian 12 Testing, TPM, Dracut und verschlüsseltem LVM

Beitrag von teklord » 21.06.2023 14:29:52

cosinus hat geschrieben: ↑ zum Beitrag ↑
21.06.2023 14:05:21
Was genau ist denn jetzt dein Ziel?
Einfach nur ein vollverschlüsseltes System mit Bootloader GRUB oder unbedingt kein GRUB? :?


Ziel ist ein verschlüsseltes LVM mit PiN Ablage im TPM.
Grub kann, ich würde aber lieber System-Boot nehmen.

Kurz zur Erklärung, wir haben jetzt mehr als 20Jahren alles mit Windows und Bitlocker verschlüsselt. Was auch im Sales Bereich weiter der Fall sein wird.
Jetzt möchte unser CTO aber für einige unserer Developer gerne Linux einführen und dies auch per TPM geschützt haben.
TPM ist also harte Vorgabe sowie das verschlüsselte LVM.
FDE zu nutzen ist keine Option.


Danke

Benutzeravatar
cosinus
Beiträge: 4131
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Debian 12 Testing, TPM, Dracut und verschlüsseltem LVM

Beitrag von cosinus » 21.06.2023 14:35:10

Und das verschlüsselte System muss einfach so booten können, ohne dass man einen PIN oder Passphrase eingeben muss?
Oder wäre das ein Problem wenn man diese eingeben muss?
Unser Datenschützer sagte nämlich mal, dass man per Bitlocker geschützte Systeme auch mit einer PIN absichern sollte. Das System also erst hochfährt, wenn man diesen PIN eingegeben hat.

Benutzeravatar
Meillo
Moderator
Beiträge: 9173
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Debian 12 Testing, TPM, Dracut und verschlüsseltem LVM

Beitrag von Meillo » 21.06.2023 14:35:52


Ich finde, dass sich teklord hier mit einem validen Problem an uns wendet. Wir sollten also helfen so gut wir koennen.

@Blackbox: Bitte ziehe dich aus diesem Thread zurueck. Dein Tonfall und die Unterstellung eines Doppelaccounts sind nicht angemessen.
Use ed once in a while!

teklord
Beiträge: 13
Registriert: 20.06.2023 15:30:14

Re: Debian 12 Testing, TPM, Dracut und verschlüsseltem LVM

Beitrag von teklord » 21.06.2023 15:04:38

cosinus hat geschrieben: ↑ zum Beitrag ↑
21.06.2023 14:35:10
Und das verschlüsselte System muss einfach so booten können, ohne dass man einen PIN oder Passphrase eingeben muss?
Oder wäre das ein Problem wenn man diese eingeben muss?
Unser Datenschützer sagte nämlich mal, dass man per Bitlocker geschützte Systeme auch mit einer PIN absichern sollte. Das System also erst hochfährt, wenn man diesen PIN eingegeben hat.
PiN eingabe ist Vorgabe.

Sagt unser Geheimschutzbeauftragter auch.

Ohne PiN ist ein System zu schnell kompromittierbar.

Benutzeravatar
cosinus
Beiträge: 4131
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Debian 12 Testing, TPM, Dracut und verschlüsseltem LVM

Beitrag von cosinus » 21.06.2023 15:11:25

Also wenn ihr ein PIN eingeben müsst/sollt: dann legt so ein PIN, Passphrase oder wie auch immer ihr das nennen wollt, als Passwort in der SSD/HDD fest. Sollte im UEFI-Setup ("BIOS") gehen.
Die SSD/HDD ist erst dann ansprechbar, wenn man sie entsperrt hat. Dann ist auch eine Verschlüsselung wie mit Bitlocker oder LUKS nicht mehr zwingend nötig.

teklord
Beiträge: 13
Registriert: 20.06.2023 15:30:14

Re: Debian 12 Testing, TPM, Dracut und verschlüsseltem LVM

Beitrag von teklord » 21.06.2023 15:23:19

Das möchte unser CTO nicht.

FDE war meine erste Idee.

Benutzeravatar
cosinus
Beiträge: 4131
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Debian 12 Testing, TPM, Dracut und verschlüsseltem LVM

Beitrag von cosinus » 21.06.2023 15:35:59

Warum will er das nicht? Das Resultat ist dasselbe: Boot des OS erst wenn PIN eingegeben wurde. Ohne PIN kein Zugriff auf die Daten möglich.
Die Methode mit dem Disk-Passwort hat aber den Vorteil, dass man das OS viel leichter installieren kann, ohne dass man sich mit LVM und Cryptodevices herumschlagen müsste.

teklord
Beiträge: 13
Registriert: 20.06.2023 15:30:14

Re: Debian 12 Testing, TPM, Dracut und verschlüsseltem LVM

Beitrag von teklord » 21.06.2023 16:30:04

Wir hintelegen dort noch anderes, virtuelle Smartcards werden von unserer Software dort abgelegt.

FDE kann über side-channel Angriffe ausgehebelt werden, zumindest unter Labor Bedingungen und ein TPM+PiN zu knacken ist da wesentlich schwieriger.
Deshalb setzen wir unter Windows Bitlocker plus PiN ein.

Benutzeravatar
cosinus
Beiträge: 4131
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Debian 12 Testing, TPM, Dracut und verschlüsseltem LVM

Beitrag von cosinus » 21.06.2023 16:38:53

Und wie soll das Disk-Passwort ausgehebelt werden?
Dir bzw deinem CTO ist klar, dass wenn man die Disk rausrupft und in einem anderen PC einbaut, das Passwort trotzdem noch nötig ist? Sonst kein Zugriff auf die Daten.

teklord
Beiträge: 13
Registriert: 20.06.2023 15:30:14

Re: Debian 12 Testing, TPM, Dracut und verschlüsseltem LVM

Beitrag von teklord » 21.06.2023 16:43:10

Ja, das ist ihm und mir klar.

Ist das equivalent zum alten IDE- oder SATA Passwort.

Benutzeravatar
Meillo
Moderator
Beiträge: 9173
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Debian 12 Testing, TPM, Dracut und verschlüsseltem LVM

Beitrag von Meillo » 21.06.2023 16:46:14

Letztendlich ist egal, warum der CTO das so will. Die Frage ist, wie sich das Problem unter diesen Vorgaben loesen laesst.
Use ed once in a while!

Benutzeravatar
cosinus
Beiträge: 4131
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Debian 12 Testing, TPM, Dracut und verschlüsseltem LVM

Beitrag von cosinus » 21.06.2023 16:47:34

Und warum findet ihr das so unsicher? Gibt es da eine Schwachstelle bzw Angriffspunkt, das Passwort auszulesen oder zu umgehen? Ich möchte das gerne verstehen.

Antworten