Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung Nächste Überarbeitung Beide Seiten, nächste Überarbeitung | ||
thoschwiki:linux:ubuntumatebtrfsencrypted [23.11.2020 20:11] thosch Hinweis auf Fehler gelöscht. |
thoschwiki:linux:ubuntumatebtrfsencrypted [27.06.2021 17:06] thosch Befehlsequenzen in Einzelzeilen aufgebrochen. |
||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== Ubuntu Mate mit verschlüsseltem | + | ====== Ubuntu Mate 20.04 auf Btrfs mit Verschlüsselung |
- | < | + | Bei der Installation soll ein //Ubuntu Mate 20.04.1// in einem //[[wpde>Btrfs|BTRFS-Filesystem]]// |
- | Bei der Installation soll ein //Ubuntu Mate 20.04.1// in ein veschlüsseltes | + | Da //Btrfs// (noch?) keinen eigenen Verschlüsselungsmechanismus hat, wird [[ubuntuusers>LUKS]] als Verschlüsselungsebene benutzt, auf der dann das //Btrfs-Filesystem// |
- | Da // | + | Das Installationstool |
- | ===== Ausgangslage ===== | + | Grundlage für das Vorgehen ist eine [[https:// |
+ | |||
+ | ===== Hardware ===== | ||
+ | |||
+ | Die Installation soll auf einem schon in Ehren ergrauten // | ||
+ | |||
+ | Als Massenspeicher ist eine SDD mit 500 GB verbaut, die wie folgt aufgeteilt ist: | ||
+ | |||
+ | ^ Partition ^ Größe ^ Verwendung ^ spätere LUKS-Bezeichnung ^ | ||
+ | | /dev/sda1 | ca. 9 GiB | bestehendes // | ||
+ | | /dev/sda2 | ca. 446 GiB | root-Filesystem der neuen Installation | cryptdata | | ||
+ | | /dev/sda3 | 10 GiB | Swap | cryptswap | | ||
===== Vorarbeiten ===== | ===== Vorarbeiten ===== | ||
Zeile 21: | Zeile 32: | ||
cryptsetup luksFormat --type=luks1 /dev/sda2 | cryptsetup luksFormat --type=luks1 /dev/sda2 | ||
- | An dieser Stelle wird die künftig zu verwendende Passphrase | + | An dieser Stelle wird die künftig zu verwendende Passphrase |
+ | |||
+ | <note warning> | ||
+ | In der Bootphase, in der die Passphrase abgefragt wird, **ist die Tastatur noch im US-Layout**. Dies kann bei der Eingabe der Passphrase zu Problemen führen, wenn Zeichen verwendet werden, die in den verwendeten Tastatur-Layouts auf unterschiedlichen Tasten liegen (siehe Abschnitt [[# | ||
+ | </ | ||
cryptsetup luksOpen /dev/sda2 cryptdata | cryptsetup luksOpen /dev/sda2 cryptdata | ||
Zeile 94: | Zeile 110: | ||
mount -o subvol=@, | mount -o subvol=@, | ||
+ | |||
mount -o subvol=@home, | mount -o subvol=@home, | ||
Zeile 99: | Zeile 116: | ||
for i in /dev /dev/pts /proc /sys /run; do sudo mount -B $i /mnt$i; done | for i in /dev /dev/pts /proc /sys /run; do sudo mount -B $i /mnt$i; done | ||
+ | |||
sudo cp / | sudo cp / | ||
+ | |||
sudo chroot /mnt | sudo chroot /mnt | ||
Zeile 131: | Zeile 150: | ||
export UUIDVDA3=$(blkid -s UUID -o value /dev/sda2) #this is an environmental variable | export UUIDVDA3=$(blkid -s UUID -o value /dev/sda2) #this is an environmental variable | ||
+ | |||
echo " | echo " | ||
Zeile 150: | Zeile 170: | ||
swapoff / | swapoff / | ||
+ | |||
cryptsetup luksFormat --type=luks1 /dev/sda3 | cryptsetup luksFormat --type=luks1 /dev/sda3 | ||
Zeile 176: | Zeile 197: | ||
export SWAPUUID=$(blkid -s UUID -o value /dev/sda3) | export SWAPUUID=$(blkid -s UUID -o value /dev/sda3) | ||
+ | |||
echo " | echo " | ||
| | ||
Zeile 195: | Zeile 217: | ||
mkdir /etc/luks | mkdir /etc/luks | ||
+ | |||
dd if=/ | dd if=/ | ||
+ | |||
chmod u=rx,go-rwx /etc/luks | chmod u=rx,go-rwx /etc/luks | ||
+ | |||
chmod u=r,go-rwx / | chmod u=r,go-rwx / | ||
Zeile 202: | Zeile 227: | ||
cryptsetup luksAddKey /dev/sda2 / | cryptsetup luksAddKey /dev/sda2 / | ||
+ | |||
cryptsetup luksAddKey /dev/sda3 / | cryptsetup luksAddKey /dev/sda3 / | ||
- | <note tip> | + | <note tip> |
Anschließend -- mit dem jeweiligen Gerätenamen -- prüfen, ob dies erfolgreich war: | Anschließend -- mit dem jeweiligen Gerätenamen -- prüfen, ob dies erfolgreich war: | ||
Zeile 220: | Zeile 246: | ||
Key Slot 6: DISABLED | Key Slot 6: DISABLED | ||
Key Slot 7: DISABLED | Key Slot 7: DISABLED | ||
+ | |||
+ | Anschließend die gleiche Prüfung für ''/ | ||
Weitere Sicherungsmaßnahmen: | Weitere Sicherungsmaßnahmen: | ||
echo " | echo " | ||
+ | |||
echo " | echo " | ||
Zeile 255: | Zeile 284: | ||
update-initramfs -c -k all | update-initramfs -c -k all | ||
+ | |||
grub-install /dev/sda | grub-install /dev/sda | ||
+ | |||
update-grub | update-grub | ||
Zeile 286: | Zeile 317: | ||
reboot | reboot | ||
- | Da ist der Moment zum Daumendrücker, Beten, whatever... | + | Da ist der Moment zum Daumendrücken, Beten, whatever... |
+ | |||
+ | <note warning> | ||
+ | In der Bootphase, in der die Passphrase abgefragt wird, **ist die Tastatur noch im US-Layout**. Dies kann bei der Eingabe der Passphrase zu Problemen führen, wenn Zeichen verwendet werden, die in den verwendeten Tastatur-Layouts auf unterschiedlichen Tasten liegen (siehe Abschnitt [[# | ||
+ | </ | ||
+ | |||
+ | ===== Probleme mit der Tastaturbelegung ===== | ||
+ | |||
+ | In der Bootphase, in der die Passphrase abgefragt wird, **ist die Tastatur noch im US-Layout**. Dies kann bei der Eingabe der Passphrase zu Problemen führen, wenn Zeichen verwendet werden, die in den verwendeten Tastatur-Layouts auf unterschiedlichen Tasten liegen. | ||
+ | |||
+ | Neben den üblichen Verdächtigen (y, z sowie Umlaute ä, ö, ü und ?) betrifft es die meisten der für die Verwendung in Passworten immer wieder empfohlenen Sonderzeichen (beispielsweise "&/ | ||
+ | |||
+ | Hierfür gibt es drei Lösungsstrategien: | ||
+ | |||
+ | * Die problematischen Zeichen meiden (nur Buchstaben außer y und z sowie Zahlen verwenden) | ||
+ | * die Lage der problematischen Zeichen im US-Layout merken und entsprechend " | ||
+ | * die gewünschte Zeichenfolge in der " | ||
+ | |||
+ | Sofern man eine zusätzliche Passphrase hinzufügen möchte, kann man zuerst den Zustand der Key-Stores ermitteln: | ||
+ | |||
+ | # cryptsetup luksDump /dev/sda2 | grep "Key Slot" | ||
+ | Key Slot 0: ENABLED | ||
+ | Key Slot 1: DISABLED | ||
+ | Key Slot 2: DISABLED | ||
+ | Key Slot 3: DISABLED | ||
+ | Key Slot 4: DISABLED | ||
+ | Key Slot 5: DISABLED | ||
+ | Key Slot 6: DISABLED | ||
+ | Key Slot 7: DISABLED | ||
+ | |||
+ | Die zusätzliche Passphrase wird dann folgt hinzugefügt: | ||
+ | |||
+ | # cryptsetup luksAddKey /dev/sda2 | ||
+ | Geben Sie irgendeine bestehende Passphrase ein: | ||
+ | Geben Sie die neue Passphrase für das Schlüsselfach ein: | ||
+ | Passphrase bestätigen: | ||
+ | |||
+ | <note tip> | ||
+ | |||
+ | Abschließend noch den Zustand des Key-Stores prüfen: | ||
+ | |||
+ | # cryptsetup luksDump /dev/sda2 | grep "Key Slot" | ||
+ | Key Slot 0: ENABLED | ||
+ | Key Slot 1: ENABLED | ||
+ | Key Slot 2: DISABLED | ||
+ | Key Slot 3: DISABLED | ||
+ | Key Slot 4: DISABLED | ||
+ | Key Slot 5: DISABLED | ||
+ | Key Slot 6: DISABLED | ||
+ | Key Slot 7: DISABLED | ||
+ | |||
+ | Es sollte nun ein Key-Slot mehr belegt sein. | ||
+ | |||
+ | <note tip> | ||
+ | ===== Fazit ===== | ||
+ | |||
+ | Als ich die [[https:// | ||
+ | |||
+ | Da in dem Artikel ausreichend Hintergrundinformationen enthalten sind ((Die im vorliegenden Artikel teilweise fehlen.)), konnte ich mir Stück für die Stück die Thematik erarbeiten. Dazu trug sicherlich bei, dass ich parallel mein Vorgehen im vorliegenden Artikel dokumentierte und es dafür sprachlich aufbereiten musste. | ||
+ | |||
+ | Gegen Ende war mir dann schon möglich, ein eigene, von der Vorlage abweichendes Vorgehen für die Swap-Partition zu erarbeiten und umzusetzen. | ||
===== Quellen ===== | ===== Quellen ===== |