Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung Letzte Überarbeitung Beide Seiten, nächste Überarbeitung | ||
thoschwiki:linux:ubuntumatebtrfsencrypted [28.11.2020 10:17] thosch [LUKS-Partition und Btrfs-root-Filesystem anlegen] Hinweis auf Probleme mit US-Tastatur-Layout in der Bootphase, typo. |
thoschwiki:linux:ubuntumatebtrfsencrypted [27.06.2021 19:22] thosch URL 'www.mutschler.eu' -> 'mutschler.eu' wegen Zertifikatsproblmen |
||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== Ubuntu Mate 20.04 auf Btrfs mit Verschlüsselung ====== | ====== Ubuntu Mate 20.04 auf Btrfs mit Verschlüsselung ====== | ||
- | |||
- | < | ||
Bei der Installation soll ein //Ubuntu Mate 20.04.1// in einem // | Bei der Installation soll ein //Ubuntu Mate 20.04.1// in einem // | ||
Zeile 9: | Zeile 7: | ||
Das Installationstool // | Das Installationstool // | ||
- | Grundlage für das Vorgehen ist eine [[https://www.mutschler.eu/ | + | Grundlage für das Vorgehen ist eine [[https:// |
Zeile 37: | Zeile 35: | ||
<note warning> | <note warning> | ||
- | In der Bootphase, in der die Passphrase abgefragt wird, **ist die Tastatur noch im US-Layout**. Dies kann bei der Eingabe der Passphrase zu Problemen führen, wenn Zeichen verwendet werden, die in den verwendeten Tastatur-Layouts auf unterschiedlichen Tasten liegen. | + | In der Bootphase, in der die Passphrase abgefragt wird, **ist die Tastatur noch im US-Layout**. Dies kann bei der Eingabe der Passphrase zu Problemen führen, wenn Zeichen verwendet werden, die in den verwendeten Tastatur-Layouts auf unterschiedlichen Tasten liegen (siehe Abschnitt |
- | + | ||
- | Neben den üblichen Verdächtigen | + | |
- | + | ||
- | Hierfür gibt es drei Lösungsstrategien: | + | |
- | + | ||
- | * Die problematischen Zeichen meiden (nur Buchstaben außer y und z sowie Zahlen verwenden) | + | |
- | * die Lage der problematischen Zeichen im US-Layout merken und entsprechend " | + | |
- | * die gewünschte Zeichenfolge in der " | + | |
</ | </ | ||
Zeile 120: | Zeile 110: | ||
mount -o subvol=@, | mount -o subvol=@, | ||
+ | |||
mount -o subvol=@home, | mount -o subvol=@home, | ||
Zeile 125: | Zeile 116: | ||
for i in /dev /dev/pts /proc /sys /run; do sudo mount -B $i /mnt$i; done | for i in /dev /dev/pts /proc /sys /run; do sudo mount -B $i /mnt$i; done | ||
+ | |||
sudo cp / | sudo cp / | ||
+ | |||
sudo chroot /mnt | sudo chroot /mnt | ||
Zeile 157: | Zeile 150: | ||
export UUIDVDA3=$(blkid -s UUID -o value /dev/sda2) #this is an environmental variable | export UUIDVDA3=$(blkid -s UUID -o value /dev/sda2) #this is an environmental variable | ||
+ | |||
echo " | echo " | ||
Zeile 171: | Zeile 165: | ||
==== Swap verschlüsseln ==== | ==== Swap verschlüsseln ==== | ||
- | Die Swap-Partition sollte auch verschlüsselt werden. Ich weiche hier vom [[https://www.mutschler.eu/ | + | Die Swap-Partition sollte auch verschlüsselt werden. Ich weiche hier vom [[https:// |
Zunächst wird die entsprechende Partition ähnlich der root-Partition vorbereitet: | Zunächst wird die entsprechende Partition ähnlich der root-Partition vorbereitet: | ||
swapoff / | swapoff / | ||
+ | |||
cryptsetup luksFormat --type=luks1 /dev/sda3 | cryptsetup luksFormat --type=luks1 /dev/sda3 | ||
Zeile 202: | Zeile 197: | ||
export SWAPUUID=$(blkid -s UUID -o value /dev/sda3) | export SWAPUUID=$(blkid -s UUID -o value /dev/sda3) | ||
+ | |||
echo " | echo " | ||
| | ||
Zeile 221: | Zeile 217: | ||
mkdir /etc/luks | mkdir /etc/luks | ||
+ | |||
dd if=/ | dd if=/ | ||
+ | |||
chmod u=rx,go-rwx /etc/luks | chmod u=rx,go-rwx /etc/luks | ||
+ | |||
chmod u=r,go-rwx / | chmod u=r,go-rwx / | ||
Zeile 228: | Zeile 227: | ||
cryptsetup luksAddKey /dev/sda2 / | cryptsetup luksAddKey /dev/sda2 / | ||
+ | |||
cryptsetup luksAddKey /dev/sda3 / | cryptsetup luksAddKey /dev/sda3 / | ||
- | <note tip> | + | <note tip> |
Anschließend -- mit dem jeweiligen Gerätenamen -- prüfen, ob dies erfolgreich war: | Anschließend -- mit dem jeweiligen Gerätenamen -- prüfen, ob dies erfolgreich war: | ||
Zeile 246: | Zeile 246: | ||
Key Slot 6: DISABLED | Key Slot 6: DISABLED | ||
Key Slot 7: DISABLED | Key Slot 7: DISABLED | ||
+ | |||
+ | Anschließend die gleiche Prüfung für ''/ | ||
Weitere Sicherungsmaßnahmen: | Weitere Sicherungsmaßnahmen: | ||
echo " | echo " | ||
+ | |||
echo " | echo " | ||
Zeile 281: | Zeile 284: | ||
update-initramfs -c -k all | update-initramfs -c -k all | ||
+ | |||
grub-install /dev/sda | grub-install /dev/sda | ||
+ | |||
update-grub | update-grub | ||
Zeile 314: | Zeile 319: | ||
Da ist der Moment zum Daumendrücken, | Da ist der Moment zum Daumendrücken, | ||
- | <note warning> | + | <note warning> |
+ | In der Bootphase, in der die Passphrase abgefragt wird, **ist die Tastatur noch im US-Layout**. | ||
+ | </ | ||
+ | |||
+ | ===== Probleme mit der Tastaturbelegung ===== | ||
+ | |||
+ | In der Bootphase, in der die Passphrase abgefragt wird, **ist die Tastatur noch im US-Layout**. Dies kann bei der Eingabe der Passphrase | ||
+ | |||
+ | Neben den üblichen Verdächtigen (y, z sowie Umlaute ä, ö, ü und ?) betrifft es die meisten der für die Verwendung in Passworten immer wieder empfohlenen Sonderzeichen (beispielsweise "&/ | ||
+ | |||
+ | Hierfür gibt es drei Lösungsstrategien: | ||
+ | |||
+ | * Die problematischen Zeichen meiden (nur Buchstaben außer y und z sowie Zahlen verwenden) | ||
+ | * die Lage der problematischen Zeichen im US-Layout merken und entsprechend " | ||
+ | * die gewünschte Zeichenfolge in der " | ||
+ | |||
+ | Sofern man eine zusätzliche Passphrase hinzufügen möchte, | ||
+ | |||
+ | # cryptsetup luksDump /dev/sda2 | grep "Key Slot" | ||
+ | Key Slot 0: ENABLED | ||
+ | Key Slot 1: DISABLED | ||
+ | Key Slot 2: DISABLED | ||
+ | Key Slot 3: DISABLED | ||
+ | Key Slot 4: DISABLED | ||
+ | Key Slot 5: DISABLED | ||
+ | Key Slot 6: DISABLED | ||
+ | Key Slot 7: DISABLED | ||
+ | |||
+ | Die zusätzliche Passphrase wird dann folgt hinzugefügt: | ||
+ | |||
+ | # cryptsetup luksAddKey /dev/sda2 | ||
+ | Geben Sie irgendeine bestehende Passphrase ein: | ||
+ | Geben Sie die neue Passphrase für das Schlüsselfach ein: | ||
+ | Passphrase bestätigen: | ||
+ | |||
+ | <note tip> | ||
+ | |||
+ | Abschließend noch den Zustand des Key-Stores prüfen: | ||
+ | |||
+ | # cryptsetup luksDump /dev/sda2 | grep "Key Slot" | ||
+ | Key Slot 0: ENABLED | ||
+ | Key Slot 1: ENABLED | ||
+ | Key Slot 2: DISABLED | ||
+ | Key Slot 3: DISABLED | ||
+ | Key Slot 4: DISABLED | ||
+ | Key Slot 5: DISABLED | ||
+ | Key Slot 6: DISABLED | ||
+ | Key Slot 7: DISABLED | ||
+ | |||
+ | Es sollte nun ein Key-Slot mehr belegt sein. | ||
+ | <note tip> | ||
===== Fazit ===== | ===== Fazit ===== | ||
- | Als ich die [[https://www.mutschler.eu/ | + | Als ich die [[https:// |
Da in dem Artikel ausreichend Hintergrundinformationen enthalten sind ((Die im vorliegenden Artikel teilweise fehlen.)), konnte ich mir Stück für die Stück die Thematik erarbeiten. Dazu trug sicherlich bei, dass ich parallel mein Vorgehen im vorliegenden Artikel dokumentierte und es dafür sprachlich aufbereiten musste. | Da in dem Artikel ausreichend Hintergrundinformationen enthalten sind ((Die im vorliegenden Artikel teilweise fehlen.)), konnte ich mir Stück für die Stück die Thematik erarbeiten. Dazu trug sicherlich bei, dass ich parallel mein Vorgehen im vorliegenden Artikel dokumentierte und es dafür sprachlich aufbereiten musste. | ||
Zeile 326: | Zeile 381: | ||
===== Quellen ===== | ===== Quellen ===== | ||
- | * [[https://www.mutschler.eu/ | + | * [[https:// |
* [[https:// | * [[https:// |