Benutzer-Werkzeuge

Webseiten-Werkzeuge


thoschwiki:linux:ubuntumatebtrfsencrypted

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Nächste Überarbeitung
Vorherige Überarbeitung
Nächste Überarbeitung Beide Seiten, nächste Überarbeitung
thoschwiki:linux:ubuntumatebtrfsencrypted [28.11.2020 10:17]
thosch [LUKS-Partition und Btrfs-root-Filesystem anlegen] Hinweis auf Probleme mit US-Tastatur-Layout in der Bootphase, typo.
thoschwiki:linux:ubuntumatebtrfsencrypted [27.06.2021 17:06]
thosch Befehlsequenzen in Einzelzeilen aufgebrochen.
Zeile 1: Zeile 1:
 ====== Ubuntu Mate 20.04 auf Btrfs mit Verschlüsselung ====== ====== Ubuntu Mate 20.04 auf Btrfs mit Verschlüsselung ======
- 
-<note>Die Seite befindet sich im Aufbau.</note> 
  
 Bei der Installation soll ein //Ubuntu Mate 20.04.1// in einem //[[wpde>Btrfs|BTRFS-Filesystem]]// installiert und das System verschlüssel werden. Bei der Installation soll ein //Ubuntu Mate 20.04.1// in einem //[[wpde>Btrfs|BTRFS-Filesystem]]// installiert und das System verschlüssel werden.
Zeile 37: Zeile 35:
  
 <note warning> <note warning>
-In der Bootphase, in der die Passphrase abgefragt wird, **ist die Tastatur noch im US-Layout**. Dies kann bei der Eingabe der Passphrase zu Problemen führen, wenn Zeichen verwendet werden, die in den verwendeten Tastatur-Layouts auf unterschiedlichen Tasten liegen+In der Bootphase, in der die Passphrase abgefragt wird, **ist die Tastatur noch im US-Layout**. Dies kann bei der Eingabe der Passphrase zu Problemen führen, wenn Zeichen verwendet werden, die in den verwendeten Tastatur-Layouts auf unterschiedlichen Tasten liegen (siehe Abschnitt [[#probleme_mit_der_tastaturbelegung|Probleme mit der Tastaturbelegung]]).
- +
-Neben den üblichen Verdächtigen (y, z sowie Umlaute ä, ö, ü und ?) betrifft es die meisten der für die Verwendung in Passworten immer wieder empfohlenen Sonderzeichen (beispielsweise "&/=?#*+-<>()[]{}", vgl [[wpde>Tastaturbelegung#USA|Tastaturbelegung USA]]). +
- +
-Hierfür gibt es drei Lösungsstrategien: +
- +
-  * Die problematischen Zeichen meiden (nur Buchstaben außer y und z sowie Zahlen verwenden) +
-  * die Lage der problematischen Zeichen im US-Layout merken und entsprechend "blind" tippen +
-  * die gewünschte Zeichenfolge in der "US-Tippweise" als zusätzliche Passphrase((LUKS erlaubt 8 Passphrase bzw. Schlüssel pro Volume)) vorgeben (z.B. "yulu>echo" statt "zulu:echo"+
 </note> </note>
  
Zeile 120: Zeile 110:
  
   mount -o subvol=@,ssd,noatime,space_cache,commit=120,compress=zstd /dev/mapper/cryptdata /mnt   mount -o subvol=@,ssd,noatime,space_cache,commit=120,compress=zstd /dev/mapper/cryptdata /mnt
 +
   mount -o subvol=@home,ssd,noatime,space_cache,commit=120,compress=zstd /dev/mapper/cryptdata /mnt/home   mount -o subvol=@home,ssd,noatime,space_cache,commit=120,compress=zstd /dev/mapper/cryptdata /mnt/home
  
Zeile 125: Zeile 116:
  
   for i in /dev /dev/pts /proc /sys /run; do sudo mount -B $i /mnt$i; done   for i in /dev /dev/pts /proc /sys /run; do sudo mount -B $i /mnt$i; done
 +
   sudo cp /etc/resolv.conf /mnt/etc/   sudo cp /etc/resolv.conf /mnt/etc/
 +
   sudo chroot /mnt   sudo chroot /mnt
  
Zeile 157: Zeile 150:
  
   export UUIDVDA3=$(blkid -s UUID -o value /dev/sda2) #this is an environmental variable   export UUIDVDA3=$(blkid -s UUID -o value /dev/sda2) #this is an environmental variable
 +
   echo "cryptdata UUID=${UUIDVDA3} none luks" >> /etc/crypttab   echo "cryptdata UUID=${UUIDVDA3} none luks" >> /etc/crypttab
  
Zeile 176: Zeile 170:
  
   swapoff /dev/sda3   # swap deaktivieren, falls aktiv   swapoff /dev/sda3   # swap deaktivieren, falls aktiv
 +
   cryptsetup luksFormat --type=luks1 /dev/sda3   cryptsetup luksFormat --type=luks1 /dev/sda3
  
Zeile 202: Zeile 197:
  
   export SWAPUUID=$(blkid -s UUID -o value /dev/sda3)   export SWAPUUID=$(blkid -s UUID -o value /dev/sda3)
 +
   echo "cryptswap UUID=${SWAPUUID} none luks" >> /etc/crypttab   echo "cryptswap UUID=${SWAPUUID} none luks" >> /etc/crypttab
      
Zeile 221: Zeile 217:
  
   mkdir /etc/luks   mkdir /etc/luks
 +
   dd if=/dev/urandom of=/etc/luks/boot_os.keyfile bs=4096 count=1   dd if=/dev/urandom of=/etc/luks/boot_os.keyfile bs=4096 count=1
 +
   chmod u=rx,go-rwx /etc/luks   chmod u=rx,go-rwx /etc/luks
 +
   chmod u=r,go-rwx /etc/luks/boot_os.keyfile   chmod u=r,go-rwx /etc/luks/boot_os.keyfile
  
Zeile 228: Zeile 227:
  
   cryptsetup luksAddKey /dev/sda2 /etc/luks/boot_os.keyfile   # /   cryptsetup luksAddKey /dev/sda2 /etc/luks/boot_os.keyfile   # /
 +
   cryptsetup luksAddKey /dev/sda3 /etc/luks/boot_os.keyfile   # swap   cryptsetup luksAddKey /dev/sda3 /etc/luks/boot_os.keyfile   # swap
  
-<note tip>Sofern an dieser Stelle die Meldung <code>Kein Schlüssel mit dieser Passphrase verfügbar.</code> ausgegeben wird, wurde die Passphrase nicht korrekt eingegeben.</note>+<note tip>Sofern nach dem Ausführen eines der beiden Befehle die Meldung <code>Kein Schlüssel mit dieser Passphrase verfügbar.</code> ausgegeben wird, wurde die Passphrase nicht korrekt eingegeben.</note>
  
 Anschließend -- mit dem jeweiligen Gerätenamen -- prüfen, ob dies erfolgreich war: Anschließend -- mit dem jeweiligen Gerätenamen -- prüfen, ob dies erfolgreich war:
Zeile 246: Zeile 246:
   Key Slot 6: DISABLED   Key Slot 6: DISABLED
   Key Slot 7: DISABLED   Key Slot 7: DISABLED
 +
 +Anschließend die gleiche Prüfung für ''/dev/sda3'' durchführen.
  
 Weitere Sicherungsmaßnahmen: Weitere Sicherungsmaßnahmen:
  
   echo "KEYFILE_PATTERN=/etc/luks/*.keyfile" >> /etc/cryptsetup-initramfs/conf-hook   echo "KEYFILE_PATTERN=/etc/luks/*.keyfile" >> /etc/cryptsetup-initramfs/conf-hook
 +
   echo "UMASK=0077" >> /etc/initramfs-tools/initramfs.conf   echo "UMASK=0077" >> /etc/initramfs-tools/initramfs.conf
  
Zeile 281: Zeile 284:
  
   update-initramfs -c -k all   update-initramfs -c -k all
 +
   grub-install /dev/sda   grub-install /dev/sda
 +
   update-grub   update-grub
  
Zeile 314: Zeile 319:
 Da ist der Moment zum Daumendrücken, Beten, whatever... Da ist der Moment zum Daumendrücken, Beten, whatever...
  
-<note warning>In der Bootphase, in der die Passphrase abgefragt wird, **ist die Tastatur noch im US-Layout**. Bei der Eingabe der Passphrase ist dies unbedingt zu beachten!\\ Alternativ kann auch eine Passphrase gewählt werden, die in beiden Layouts gleich eingegeben werden kann.</note>+<note warning> 
 +In der Bootphase, in der die Passphrase abgefragt wird, **ist die Tastatur noch im US-Layout**. Dies kann bei der Eingabe der Passphrase zu Problemen führen, wenn Zeichen verwendet werden, die in den verwendeten Tastatur-Layouts auf unterschiedlichen Tasten liegen (siehe Abschnitt [[#probleme_mit_der_tastaturbelegung|Probleme mit der Tastaturbelegung]]). 
 +</note> 
 + 
 +===== Probleme mit der Tastaturbelegung ===== 
 + 
 +In der Bootphase, in der die Passphrase abgefragt wird, **ist die Tastatur noch im US-Layout**. Dies kann bei der Eingabe der Passphrase zu Problemen führen, wenn Zeichen verwendet werden, die in den verwendeten Tastatur-Layouts auf unterschiedlichen Tasten liegen. 
 + 
 +Neben den üblichen Verdächtigen (y, z sowie Umlaute ä, ö, ü und ?) betrifft es die meisten der für die Verwendung in Passworten immer wieder empfohlenen Sonderzeichen (beispielsweise "&/=?#*+-<>()[]{}", vgl [[wpde>Tastaturbelegung#USA|Tastaturbelegung USA]]). 
 + 
 +Hierfür gibt es drei Lösungsstrategien: 
 + 
 +  * Die problematischen Zeichen meiden (nur Buchstaben außer y und z sowie Zahlen verwenden) 
 +  * die Lage der problematischen Zeichen im US-Layout merken und entsprechend "blind" tippen 
 +  * die gewünschte Zeichenfolge in der "US-Tippweise" als zusätzliche Passphrase((LUKS erlaubt 8 Passphrase bzw. Schlüssel pro Volume)) vorgeben (z.B. "yulu>echo" statt "zulu:echo")  
 + 
 +Sofern man eine zusätzliche Passphrase hinzufügen möchte, kann man zuerst den Zustand der Key-Stores ermitteln: 
 + 
 +  # cryptsetup luksDump /dev/sda2 | grep "Key Slot" 
 +  Key Slot 0: ENABLED 
 +  Key Slot 1: DISABLED 
 +  Key Slot 2: DISABLED 
 +  Key Slot 3: DISABLED 
 +  Key Slot 4: DISABLED 
 +  Key Slot 5: DISABLED 
 +  Key Slot 6: DISABLED 
 +  Key Slot 7: DISABLED 
 + 
 +Die zusätzliche Passphrase wird dann folgt hinzugefügt:((Sofern nicht bereits ein Konsole mit root-Rechten geöffnet ist, muss ein ''sudo'' vorangestellt werden)): 
 + 
 +  # cryptsetup luksAddKey /dev/sda2 
 +  Geben Sie irgendeine bestehende Passphrase ein:  
 +  Geben Sie die neue Passphrase für das Schlüsselfach ein:  
 +  Passphrase bestätigen:  
 + 
 +<note tip>Sofern nach der Abfrage der bestehenden Passphrase die Meldung <code>Kein Schlüssel mit dieser Passphrase verfügbar.</code> ausgegeben wird, wurde die Passphrase nicht korrekt eingegeben.</note> 
 + 
 +Abschließend noch den Zustand des Key-Stores prüfen: 
 + 
 +  # cryptsetup luksDump /dev/sda2 | grep "Key Slot" 
 +  Key Slot 0: ENABLED 
 +  Key Slot 1: ENABLED 
 +  Key Slot 2: DISABLED 
 +  Key Slot 3: DISABLED 
 +  Key Slot 4: DISABLED 
 +  Key Slot 5: DISABLED 
 +  Key Slot 6: DISABLED 
 +  Key Slot 7: DISABLED 
 + 
 +Es sollte nun ein Key-Slot mehr belegt sein.
  
 +<note tip>Wurde für die verschlüsselte Swap-Partition eine [[#schluesseldatei_implementieren_optional|Schlüsseldatei eingerichtet]], dann ist es ausreichend nur für das root-Filesystem eine weitere Passphrase vorzugeben.</note>
 ===== Fazit ===== ===== Fazit =====
  
thoschwiki/linux/ubuntumatebtrfsencrypted.txt · Zuletzt geändert: 28.08.2022 17:58 von thosch