Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung Nächste Überarbeitung Beide Seiten, nächste Überarbeitung | ||
thoschwiki:linux:ubuntumatebtrfsencrypted [24.11.2020 11:40] thosch [Fazit] ergänzt |
thoschwiki:linux:ubuntumatebtrfsencrypted [27.06.2021 17:06] thosch Befehlsequenzen in Einzelzeilen aufgebrochen. |
||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== Ubuntu Mate 20.04 auf Btrfs mit Verschlüsselung ====== | ====== Ubuntu Mate 20.04 auf Btrfs mit Verschlüsselung ====== | ||
- | |||
- | < | ||
Bei der Installation soll ein //Ubuntu Mate 20.04.1// in einem // | Bei der Installation soll ein //Ubuntu Mate 20.04.1// in einem // | ||
Zeile 34: | Zeile 32: | ||
cryptsetup luksFormat --type=luks1 /dev/sda2 | cryptsetup luksFormat --type=luks1 /dev/sda2 | ||
- | An dieser Stelle wird die künftig zu verwendende Passphrase | + | An dieser Stelle wird die künftig zu verwendende Passphrase |
+ | |||
+ | <note warning> | ||
+ | In der Bootphase, in der die Passphrase abgefragt wird, **ist die Tastatur noch im US-Layout**. Dies kann bei der Eingabe der Passphrase zu Problemen führen, wenn Zeichen verwendet werden, die in den verwendeten Tastatur-Layouts auf unterschiedlichen Tasten liegen (siehe Abschnitt [[# | ||
+ | </ | ||
cryptsetup luksOpen /dev/sda2 cryptdata | cryptsetup luksOpen /dev/sda2 cryptdata | ||
Zeile 107: | Zeile 110: | ||
mount -o subvol=@, | mount -o subvol=@, | ||
+ | |||
mount -o subvol=@home, | mount -o subvol=@home, | ||
Zeile 112: | Zeile 116: | ||
for i in /dev /dev/pts /proc /sys /run; do sudo mount -B $i /mnt$i; done | for i in /dev /dev/pts /proc /sys /run; do sudo mount -B $i /mnt$i; done | ||
+ | |||
sudo cp / | sudo cp / | ||
+ | |||
sudo chroot /mnt | sudo chroot /mnt | ||
Zeile 144: | Zeile 150: | ||
export UUIDVDA3=$(blkid -s UUID -o value /dev/sda2) #this is an environmental variable | export UUIDVDA3=$(blkid -s UUID -o value /dev/sda2) #this is an environmental variable | ||
+ | |||
echo " | echo " | ||
Zeile 163: | Zeile 170: | ||
swapoff / | swapoff / | ||
+ | |||
cryptsetup luksFormat --type=luks1 /dev/sda3 | cryptsetup luksFormat --type=luks1 /dev/sda3 | ||
Zeile 189: | Zeile 197: | ||
export SWAPUUID=$(blkid -s UUID -o value /dev/sda3) | export SWAPUUID=$(blkid -s UUID -o value /dev/sda3) | ||
+ | |||
echo " | echo " | ||
| | ||
Zeile 208: | Zeile 217: | ||
mkdir /etc/luks | mkdir /etc/luks | ||
+ | |||
dd if=/ | dd if=/ | ||
+ | |||
chmod u=rx,go-rwx /etc/luks | chmod u=rx,go-rwx /etc/luks | ||
+ | |||
chmod u=r,go-rwx / | chmod u=r,go-rwx / | ||
Zeile 215: | Zeile 227: | ||
cryptsetup luksAddKey /dev/sda2 / | cryptsetup luksAddKey /dev/sda2 / | ||
+ | |||
cryptsetup luksAddKey /dev/sda3 / | cryptsetup luksAddKey /dev/sda3 / | ||
- | <note tip> | + | <note tip> |
Anschließend -- mit dem jeweiligen Gerätenamen -- prüfen, ob dies erfolgreich war: | Anschließend -- mit dem jeweiligen Gerätenamen -- prüfen, ob dies erfolgreich war: | ||
Zeile 233: | Zeile 246: | ||
Key Slot 6: DISABLED | Key Slot 6: DISABLED | ||
Key Slot 7: DISABLED | Key Slot 7: DISABLED | ||
+ | |||
+ | Anschließend die gleiche Prüfung für ''/ | ||
Weitere Sicherungsmaßnahmen: | Weitere Sicherungsmaßnahmen: | ||
echo " | echo " | ||
+ | |||
echo " | echo " | ||
Zeile 268: | Zeile 284: | ||
update-initramfs -c -k all | update-initramfs -c -k all | ||
+ | |||
grub-install /dev/sda | grub-install /dev/sda | ||
+ | |||
update-grub | update-grub | ||
Zeile 301: | Zeile 319: | ||
Da ist der Moment zum Daumendrücken, | Da ist der Moment zum Daumendrücken, | ||
- | <note warning> | + | <note warning> |
+ | In der Bootphase, in der die Passphrase abgefragt wird, **ist die Tastatur noch im US-Layout**. | ||
+ | </ | ||
+ | |||
+ | ===== Probleme mit der Tastaturbelegung ===== | ||
+ | |||
+ | In der Bootphase, in der die Passphrase abgefragt wird, **ist die Tastatur noch im US-Layout**. Dies kann bei der Eingabe der Passphrase | ||
+ | |||
+ | Neben den üblichen Verdächtigen (y, z sowie Umlaute ä, ö, ü und ?) betrifft es die meisten der für die Verwendung in Passworten immer wieder empfohlenen Sonderzeichen (beispielsweise "&/ | ||
+ | |||
+ | Hierfür gibt es drei Lösungsstrategien: | ||
+ | |||
+ | * Die problematischen Zeichen meiden (nur Buchstaben außer y und z sowie Zahlen verwenden) | ||
+ | * die Lage der problematischen Zeichen im US-Layout merken und entsprechend " | ||
+ | * die gewünschte Zeichenfolge in der " | ||
+ | |||
+ | Sofern man eine zusätzliche Passphrase hinzufügen möchte, | ||
+ | |||
+ | # cryptsetup luksDump /dev/sda2 | grep "Key Slot" | ||
+ | Key Slot 0: ENABLED | ||
+ | Key Slot 1: DISABLED | ||
+ | Key Slot 2: DISABLED | ||
+ | Key Slot 3: DISABLED | ||
+ | Key Slot 4: DISABLED | ||
+ | Key Slot 5: DISABLED | ||
+ | Key Slot 6: DISABLED | ||
+ | Key Slot 7: DISABLED | ||
+ | |||
+ | Die zusätzliche Passphrase wird dann folgt hinzugefügt: | ||
+ | |||
+ | # cryptsetup luksAddKey /dev/sda2 | ||
+ | Geben Sie irgendeine bestehende Passphrase ein: | ||
+ | Geben Sie die neue Passphrase für das Schlüsselfach ein: | ||
+ | Passphrase bestätigen: | ||
+ | |||
+ | <note tip> | ||
+ | |||
+ | Abschließend noch den Zustand des Key-Stores prüfen: | ||
+ | |||
+ | # cryptsetup luksDump /dev/sda2 | grep "Key Slot" | ||
+ | Key Slot 0: ENABLED | ||
+ | Key Slot 1: ENABLED | ||
+ | Key Slot 2: DISABLED | ||
+ | Key Slot 3: DISABLED | ||
+ | Key Slot 4: DISABLED | ||
+ | Key Slot 5: DISABLED | ||
+ | Key Slot 6: DISABLED | ||
+ | Key Slot 7: DISABLED | ||
+ | |||
+ | Es sollte nun ein Key-Slot mehr belegt sein. | ||
+ | <note tip> | ||
===== Fazit ===== | ===== Fazit ===== | ||