Ubuntu Mate 20.04 auf Btrfs mit Verschlüsselung [ThoSch:Wiki]

Benutzer-Werkzeuge

Webseiten-Werkzeuge


thoschwiki:linux:ubuntumatebtrfsencrypted

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Nächste Überarbeitung
Vorherige Überarbeitung
thoschwiki:linux:ubuntumatebtrfsencrypted [28.11.2020 12:19]
thosch [Ubuntu Mate 20.04 auf Btrfs mit Verschlüsselung] Hinweis 'Die Seite befindet sich im Aufbau.' entfernt
thoschwiki:linux:ubuntumatebtrfsencrypted [27.06.2021 19:22] (aktuell)
thosch URL 'www.mutschler.eu' -> 'mutschler.eu' wegen Zertifikatsproblmen
Zeile 7: Zeile 7:
 Das Installationstool //[[ubuntuusers>Ubiquity]]// unterstützt diese Art der Installation nicht aktiv. Daher sind manuelle Einriffe vor und nach der eigentlichen Installation notwendig. Das Installationstool //[[ubuntuusers>Ubiquity]]// unterstützt diese Art der Installation nicht aktiv. Daher sind manuelle Einriffe vor und nach der eigentlichen Installation notwendig.
  
-Grundlage für das Vorgehen ist eine [[https://www.mutschler.eu/linux/install-guides/ubuntu-btrfs/|Anleitung von Willi Mutschler]].+Grundlage für das Vorgehen ist eine [[https://mutschler.eu/linux/install-guides/ubuntu-btrfs/|Anleitung von Willi Mutschler]].
  
  
Zeile 110: Zeile 110:
  
   mount -o subvol=@,ssd,noatime,space_cache,commit=120,compress=zstd /dev/mapper/cryptdata /mnt   mount -o subvol=@,ssd,noatime,space_cache,commit=120,compress=zstd /dev/mapper/cryptdata /mnt
 +
   mount -o subvol=@home,ssd,noatime,space_cache,commit=120,compress=zstd /dev/mapper/cryptdata /mnt/home   mount -o subvol=@home,ssd,noatime,space_cache,commit=120,compress=zstd /dev/mapper/cryptdata /mnt/home
  
Zeile 115: Zeile 116:
  
   for i in /dev /dev/pts /proc /sys /run; do sudo mount -B $i /mnt$i; done   for i in /dev /dev/pts /proc /sys /run; do sudo mount -B $i /mnt$i; done
 +
   sudo cp /etc/resolv.conf /mnt/etc/   sudo cp /etc/resolv.conf /mnt/etc/
 +
   sudo chroot /mnt   sudo chroot /mnt
  
Zeile 147: Zeile 150:
  
   export UUIDVDA3=$(blkid -s UUID -o value /dev/sda2) #this is an environmental variable   export UUIDVDA3=$(blkid -s UUID -o value /dev/sda2) #this is an environmental variable
 +
   echo "cryptdata UUID=${UUIDVDA3} none luks" >> /etc/crypttab   echo "cryptdata UUID=${UUIDVDA3} none luks" >> /etc/crypttab
  
Zeile 161: Zeile 165:
 ==== Swap verschlüsseln ==== ==== Swap verschlüsseln ====
  
-Die Swap-Partition sollte auch verschlüsselt werden. Ich weiche hier vom [[https://www.mutschler.eu/linux/install-guides/ubuntu-btrfs/|Vorgehen von Willi Mutschler]] mit einem zufälligen Schlüssel ab, weil ich ggf. //Hibernate// oder //Suspend-to-Disk// nutzen möchte.+Die Swap-Partition sollte auch verschlüsselt werden. Ich weiche hier vom [[https://mutschler.eu/linux/install-guides/ubuntu-btrfs/|Vorgehen von Willi Mutschler]] mit einem zufälligen Schlüssel ab, weil ich ggf. //Hibernate// oder //Suspend-to-Disk// nutzen möchte.
  
 Zunächst wird die entsprechende Partition ähnlich der root-Partition vorbereitet: Zunächst wird die entsprechende Partition ähnlich der root-Partition vorbereitet:
  
   swapoff /dev/sda3   # swap deaktivieren, falls aktiv   swapoff /dev/sda3   # swap deaktivieren, falls aktiv
 +
   cryptsetup luksFormat --type=luks1 /dev/sda3   cryptsetup luksFormat --type=luks1 /dev/sda3
  
Zeile 192: Zeile 197:
  
   export SWAPUUID=$(blkid -s UUID -o value /dev/sda3)   export SWAPUUID=$(blkid -s UUID -o value /dev/sda3)
 +
   echo "cryptswap UUID=${SWAPUUID} none luks" >> /etc/crypttab   echo "cryptswap UUID=${SWAPUUID} none luks" >> /etc/crypttab
      
Zeile 211: Zeile 217:
  
   mkdir /etc/luks   mkdir /etc/luks
 +
   dd if=/dev/urandom of=/etc/luks/boot_os.keyfile bs=4096 count=1   dd if=/dev/urandom of=/etc/luks/boot_os.keyfile bs=4096 count=1
 +
   chmod u=rx,go-rwx /etc/luks   chmod u=rx,go-rwx /etc/luks
 +
   chmod u=r,go-rwx /etc/luks/boot_os.keyfile   chmod u=r,go-rwx /etc/luks/boot_os.keyfile
  
Zeile 218: Zeile 227:
  
   cryptsetup luksAddKey /dev/sda2 /etc/luks/boot_os.keyfile   # /   cryptsetup luksAddKey /dev/sda2 /etc/luks/boot_os.keyfile   # /
 +
   cryptsetup luksAddKey /dev/sda3 /etc/luks/boot_os.keyfile   # swap   cryptsetup luksAddKey /dev/sda3 /etc/luks/boot_os.keyfile   # swap
  
-<note tip>Sofern an dieser Stelle die Meldung <code>Kein Schlüssel mit dieser Passphrase verfügbar.</code> ausgegeben wird, wurde die Passphrase nicht korrekt eingegeben.</note>+<note tip>Sofern nach dem Ausführen eines der beiden Befehle die Meldung <code>Kein Schlüssel mit dieser Passphrase verfügbar.</code> ausgegeben wird, wurde die Passphrase nicht korrekt eingegeben.</note>
  
 Anschließend -- mit dem jeweiligen Gerätenamen -- prüfen, ob dies erfolgreich war: Anschließend -- mit dem jeweiligen Gerätenamen -- prüfen, ob dies erfolgreich war:
Zeile 236: Zeile 246:
   Key Slot 6: DISABLED   Key Slot 6: DISABLED
   Key Slot 7: DISABLED   Key Slot 7: DISABLED
 +
 +Anschließend die gleiche Prüfung für ''/dev/sda3'' durchführen.
  
 Weitere Sicherungsmaßnahmen: Weitere Sicherungsmaßnahmen:
  
   echo "KEYFILE_PATTERN=/etc/luks/*.keyfile" >> /etc/cryptsetup-initramfs/conf-hook   echo "KEYFILE_PATTERN=/etc/luks/*.keyfile" >> /etc/cryptsetup-initramfs/conf-hook
 +
   echo "UMASK=0077" >> /etc/initramfs-tools/initramfs.conf   echo "UMASK=0077" >> /etc/initramfs-tools/initramfs.conf
  
Zeile 271: Zeile 284:
  
   update-initramfs -c -k all   update-initramfs -c -k all
 +
   grub-install /dev/sda   grub-install /dev/sda
 +
   update-grub   update-grub
  
Zeile 358: Zeile 373:
 ===== Fazit ===== ===== Fazit =====
  
-Als ich die [[https://www.mutschler.eu/linux/install-guides/ubuntu-btrfs/|Anleitung von Willi Mutschler]] das erste Mal durchlas, war ich erschlagen und ging davon aus, dass ich das Konzept -- wenn überhaupt -- nur 1:1, Zeile für Zeile nachbauen könnte.+Als ich die [[https://mutschler.eu/linux/install-guides/ubuntu-btrfs/|Anleitung von Willi Mutschler]] das erste Mal durchlas, war ich erschlagen und ging davon aus, dass ich das Konzept -- wenn überhaupt -- nur 1:1, Zeile für Zeile nachbauen könnte.
  
 Da in dem Artikel ausreichend Hintergrundinformationen enthalten sind ((Die im vorliegenden Artikel teilweise fehlen.)), konnte ich mir Stück für die Stück die Thematik erarbeiten. Dazu trug sicherlich bei, dass ich parallel mein Vorgehen im vorliegenden Artikel dokumentierte und es dafür sprachlich aufbereiten musste. Da in dem Artikel ausreichend Hintergrundinformationen enthalten sind ((Die im vorliegenden Artikel teilweise fehlen.)), konnte ich mir Stück für die Stück die Thematik erarbeiten. Dazu trug sicherlich bei, dass ich parallel mein Vorgehen im vorliegenden Artikel dokumentierte und es dafür sprachlich aufbereiten musste.
Zeile 366: Zeile 381:
 ===== Quellen ===== ===== Quellen =====
  
-  * [[https://www.mutschler.eu/linux/install-guides/ubuntu-btrfs/|Willi Mutschler -- Ubuntu 20.04 with btrfs-luks full disk encryption including /boot and auto-apt snapshots with Timeshift]]+  * [[https://mutschler.eu/linux/install-guides/ubuntu-btrfs/|Willi Mutschler -- Ubuntu 20.04 with btrfs-luks full disk encryption including /boot and auto-apt snapshots with Timeshift]]
   * [[https://cryptsetup-team.pages.debian.net/cryptsetup/encrypted-boot.html|Full disk encryption, including /boot: Unlocking LUKS devices from GRUB]]   * [[https://cryptsetup-team.pages.debian.net/cryptsetup/encrypted-boot.html|Full disk encryption, including /boot: Unlocking LUKS devices from GRUB]]
thoschwiki/linux/ubuntumatebtrfsencrypted.1606562364.txt.gz · Zuletzt geändert: 28.11.2020 12:19 von thosch