Autor Thema: Komplettverschlüsselung mit LUKS  (Gelesen 18611 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline cupakob

  • Neuling
  • *
  • Beiträge: 38
  • Karma: +0/-0
  • Desktop: Openbox
  • Skill: Anfänger
  • Zweig: keine Ahnung (vlt. stable?)
Komplettverschlüsselung mit LUKS
« am: 25. September 2013, 19:40:52 »
ich versuche seit einige Tage eine VM aufzusetzen, wobei ich da eine Komplettverschlüsselung anstrebe. Leider kriege ich es nicht hin. Ich bin eigentlich Debian/Ubuntu-Nutzer und ich habe es bisher immer relativ leicht geschafft die ganze Platte zu verschlüsseln. Analog zu Debian erstelle ich hier auch 2 Partitionen:

1. /boot (sda1)
2. /rest (sda2)

Die sda2 wird mit Luks verschlüsselt (ich habs mal luks-device genannt). Ich speichere das Passwort NICHT unter /etc/passphrase-luks-device

Danach erstelle ich physikalisches volume, dazu wähle ich /dev/mapper/luks-device.

Danach erstelle ich das volume group (genannt lvmgroup) und für diese wähle ich /dev/mapper/luks-device als device.

Danach erstelle ich 3 logische volumes in der /dev/mapper/luks-device (swap, root, home)

Dann mounte ich diese, wobei ich nur eine Bezeichnung für jede Partition eingebe, keine extra Flags oder ähnlich...zusätzlich mounte ich auch die /dev/sda1, die säter das /boot sein wird...

System wird installiert.

Das System konfiguriere ich nicht großartig, ich ändere nur das root-Passwort und füge einen neuen Benutzer ein.

Dann mache ich mit dem Bootloader (BIOS/GRUB_BIOS) weiter. Als Boot-Device wähle ich /dev/sda. Dann erstelle ich die Bios boot partition und speichere die Änderungen. Dann gehe ich zurück und der Bootloader wird installiert.

Ich starte neu, dann versucht dass System auf der root partition zuzugreifen (10 Sekunden lang) , was nicht klappt und ich lande in einem root terminal (siehe Anhang). Kann mir jmd. erklären, was ich falsch mache (bzw. was mir noch fehlt)? Manjaro gefällt mir schon, ich möchte ungerne wegen Verschlüsselung zurück zu Ubuntu/Debian...ich hoffe, jemand kann mir helfen.

PS. Ich versuche die netinstall Version 0.8.7.1  zu installieren, falls dies eine Rolle spielen sollte.
« Letzte Änderung: 25. September 2013, 19:43:08 von cupakob »

Offline sam

  • Held Mitglied
  • *****
  • Beiträge: 598
  • Dankeschön: 29 mal
  • Karma: +0/-0
  • Desktop: MATE, KDE, Xfce, Openbox, Fluxbox
  • Grafikkarte: Intel Corporation 4 Series Chipset Integrated Graphics Controller (rev 03)
  • Grafikkartentreiber: free
  • Prozessor: Intel® Core™2 Quad CPU @ 4× 2.666GHz
  • Skill: Fortgeschritten
  • Zweig: stable
Re: Komplettverschlüsselung mit LUKS
« Antwort #1 am: 03. Oktober 2013, 21:30:35 »
Hier eine Anleitung, wie es bei mir geklappt hat:

Manjaro Linux Installation mit Crypt und LVM

Live-CD starten komplett hochfahren, ein Terminalfenster öffnen und folgende Zeilen eingeben:
(Die mit $ und # beginnenden Zeilen sind Kommandozeilenbefehle im Terminalfenster)

1. Root werden
$ sudo -s
2. Tastaturlayout setzen (wichtig für ein korrektes Passwort)
# setxkbmap de
3. LVM im live-System installieten
# pacman -Syu
4. Partitionen anlegen
mit
# cfdisk
Erstellt wird eine 100MB große Boot-Partition und eine zweite Partition, die den restlichen Festplattenplatz einnimmt, anschließend verschlüsselt werden soll und danach mittels LVM partitioniert wird.

Die Aufteilung sieht dann so aus:
Festplatte /dev/sda
Partitionstabelle: msdos

Partition Größe Typ Flags
-------- ------ --- -----
/dev/sda1 100MB primary boot
/dev/sda2 restl. Speicherplatz primary
(Hier werden die beiden Partitionen als /dev/sda1 und /dev/sda2 bezeichnet.
Die Bezeichnung kann jedoch von Rechner zu Rechner unterschiedlich sein.)

5. Verschlüsseln der 2. Partition (/dev/sda2)

Die Partition, die verschlüsselt werden soll, mit Zufallsdaten zu überschreiben (optional) steigert die Sicherheit, kann aber sehr lange dauern. (1600 MHz-CPU bei einer 250 GB-Partition ca. 40 Std.)
# dd if=/dev/urandom of=/dev/sda2
Dann die Verschlüsselung:
# cryptsetup -c aes-xts-plain64 -s 512 -y luksFormat /dev/sda2
Verschlüsselte Partition öffnen:
# cryptsetup luksOpen /dev/sda2 luksVolume
6. Mit LVM formatieren:
(Die Größe der Swap- und Root-Partition nach den eigenen Bedürfnissen anpassen)
# pvcreate /dev/mapper/luksVolume
# vgcreate cryptvg /dev/mapper/luksVolume
# lvcreate -L 512M -n swap cryptvg
# lvcreate -L 7G -n root cryptvg
# lvcreate -l 100%free -n home cryptvg

7. Volumes aktivieren:
# vgscan --mknodes
# vgchange -ay

8. Swap-Partition einrichten:
# mkswap -L swap /dev/cryptvg/swap
# swapon /dev/cryptvg/swap

Damit wären die Vorbereitungen für die Installation getroffen und der Installer kann gestartet werden.

9. Menübasierten CLI-Installer starten
# setup
Mit dem Installer die Festplatte NICHT neu partitionieren und dann folgende Schritte:
· Hard disk(s) preparation
    -> 4 Set Filesystem Mountpoints ...
   
· Select the partition for ...
    -> swap: /dev/mapper/cryptvg-swap
    -> root: /dev/mapper/cryptvg-root -> ext4

    -> /dev/sda1 -> ext4 -> /boot
    -> /dev/mapper/cryptvg-home -> ext4 -> /home
    -> DONE

Alle anderen Partitionen (also /dev/mapper/luksVolume und /dev/sda2) dürfen NICHT verwendet werden!

Danach mit der Installation wie gewohnt fortfahren.
Wenn die Installation abgeschlossen ist, darf noch KEIN NEUSTART erfolgen!
Das neu installierte System kann noch nicht richtig booten und braucht vorher noch einige Einstellungen, damit die verschlüsselte Partition beim Bootvorgang erkannt wird:

10. Installiertes System einbinden
# mount /dev/cryptvg/root /mnt
# mount --bind /dev /mnt/dev
# chroot /mnt
# mount boot
# mount -t proc proc proc/
# mount -t sysfs sys sys/
# mount -t devpts pts dev/pts/

11. Konfigurationsdateien ergänzen
# nano /etc/mkinitcpio.confund in der Zeile
HOOKS="..."zwischen keyboard und fsck folgendes eintragen:
keymap encrypt lvm2
Dann die Datei /etc/default/grub bearbeiten:
# nano /etc/default/grubfolgende Zeilen ändern:
GRUB_CMDLINE_LINUX_DEFAULT="quiet"
GRUB_CMDLINE_LINUX="cryptdevice=/dev/sda2:cryptvg root=/dev/cryptvg/root resume=/dev/cryptvg/swap"
und
#GRUB_DISABLE_LINUX_UUID=trueändern zu
GRUB_DISABLE_LINUX_UUID=true
Dann das initrd-image mit
# mkinitcpio -p linux310(für einen aktuelleren Kernel als 3.10 mit "ls /etc/mkinitcpio.d/" prüfen, welcher .preset-Dateinamen-Präfix hier verwendet werden soll)
und die /boot/grub/grub.cfg mit
# grub-mkconfig -o /boot/grub/grub.cfgerstellen.
(Die Warnmeldungen können ignoriert werden)

12. Systemumgebung verlassen und neu starten
# exit
# reboot

Jetzt Daumen drücken! ;)





Fehlersuche
Sollte das System nicht hochfahren, kann man wieder von der Live-CD booten und im Terminalfenster das installierte System einbinden, um sich auf die Fehlersuche zu begeben und die nötigen Korrekturen vorzunehmen:

Root werden und Tastaturlayout ändern
$ sudo -s
# setxkbmap de

Verschlüsselte Partition öffnen:
# cryptsetup luksOpen /dev/sda2 luksVolume
Volumes aktivieren:
# vgscan --mknodes
# vgchange -ay

System einbinden und "chroot"en
# swapon /dev/cryptvg/swap
# mount /dev/cryptvg/root /mnt
# mount --bind /dev /mnt/dev
# chroot /mnt
# mount boot
# mount -t proc proc proc/
# mount -t sysfs sys sys/
# mount -t devpts pts dev/pts/

Nicht vergessen:
Wenn Änderungen in der Datei /etc/mkinitcpio.conf vorgenommen werden müssen, nicht vergessen, das initrd-image zu aktualisieren:
# mkinitcpio -p linux310und bei Änderungen in der /etc/default/grub immer
# grub-mkconfig -o /boot/grub/grub.cfgvor dem Neustart!
« Letzte Änderung: 06. Oktober 2014, 16:28:05 von sam »

Offline Ocsej

  • Held Mitglied
  • *****
  • Beiträge: 580
  • Dankeschön: 2 mal
  • Karma: +0/-0
  • Ocsej
  • Desktop: Openbox /-Laptop Openbox
  • Grafikkarte: Desktoprechner nVidia Geforce 8500 GT / Laptop ATI Mobility RADEON HD 3470
  • Grafikkartentreiber: Desktop Rechner nVidia-free / Laptop ATI-free
  • Kernel: 4.1.6-1-ARCH /-64bit
  • Prozessor: Desktop Rechner (HP) AMD 5600 / Laptop Acer Aspire 5530G QL60 1,9GHz
  • Skill: Durchschnitt
  • Zweig: ARCH /-Stable
Re: Komplettverschlüsselung mit LUKS
« Antwort #2 am: 04. Oktober 2013, 13:16:57 »
Da sage ich mal, eine Super Beschreibung!!! :D

Und danke das Du sie hier so ausführlich geschrieben hast!

Mehr kann man nicht dazu sagen, oder doch Danke!!! ;)

Ocsej
Deutscher Manjaro IRC Channel auf Freenode #manjaro-de

ARCH /-64bit installiert.

Ocsej

Offline cupakob

  • Neuling
  • *
  • Beiträge: 38
  • Karma: +0/-0
  • Desktop: Openbox
  • Skill: Anfänger
  • Zweig: keine Ahnung (vlt. stable?)
Re: Komplettverschlüsselung mit LUKS
« Antwort #3 am: 13. Oktober 2013, 18:03:04 »
Danke! Ich habe es gerade mit einer VM ausprobiert, auch wenn es kleine Abweichungen gab, habe ich es doch hingekriegt :) ich bin leider inzwischen wieder auf Debian, aber jetzt weiß ich wie es geht, so daß der Umstieg nicht schwer sein soll. Erstmal werde ich mit der VM rumspielen und dabei lernen :D

Offline Cheffe

  • Neuling
  • *
  • Beiträge: 14
  • Karma: +0/-0
  • Skill: Durchschnitt
  • Zweig: stable
Re: Komplettverschlüsselung mit LUKS
« Antwort #4 am: 29. Januar 2014, 16:54:00 »
@ sam

Ich hätte da mal eine Frage zwecks Erweiterung des ganzen. Wie muss ich denn vorgehen, wenn ich z.Bsp. eine weitere Festplatte einbaue und diese 2. Festplatte auch zu meinem verschlüsselten LVM dazunehmen will? Ich habe zwar schon etwas probiert, bin aber noch nicht zu einem Ergebnis gekommen. Insbesondere die Zusammenführung des ganzen ist mir noch nicht so ganz klar. Eventuell hast Du da eine Idee oder bereits Erfahrungen gesammelt? Besten Dank im Voraus für eine Antwort.   8)

Offline sam

  • Held Mitglied
  • *****
  • Beiträge: 598
  • Dankeschön: 29 mal
  • Karma: +0/-0
  • Desktop: MATE, KDE, Xfce, Openbox, Fluxbox
  • Grafikkarte: Intel Corporation 4 Series Chipset Integrated Graphics Controller (rev 03)
  • Grafikkartentreiber: free
  • Prozessor: Intel® Core™2 Quad CPU @ 4× 2.666GHz
  • Skill: Fortgeschritten
  • Zweig: stable
Re: Komplettverschlüsselung mit LUKS
« Antwort #5 am: 30. Januar 2014, 09:55:43 »
@Cheffe:
Hatte dafür noch keinen Bedarf, habe das aber in der VM mit Slackware erfolgreich getestet. Bei Gelegenheit werde ich das auch mal mit Manjaro testen und eine Anleitung hier posten.

Eines aber vorweg: Mir ist es nicht gelungen, mehrere verschlüsselte Partitionen aus einer Volumengruppe mit nur einem Passwort (ohne USB-Key) beim booten zu öffnen, sondern ich musste für jede LUKS-Partition das Passwort separat eingeben. Hoffe, dass das kein NoGo für Dich ist.

Offline Cheffe

  • Neuling
  • *
  • Beiträge: 14
  • Karma: +0/-0
  • Skill: Durchschnitt
  • Zweig: stable
Re: Komplettverschlüsselung mit LUKS
« Antwort #6 am: 30. Januar 2014, 13:35:50 »
@sam

Wäre sehr nett, wenn Du dazu eine kleine Anleitung posten könntest. Ich würde gern auf einer neuen Festplatte den vorhandenen verschlüsselten LUKS Container ausdehnen. Wäre dies prinzipiell möglich oder müsste ich dazu einen komplett neuen LUKS Container anlegen? Bei einem Container ist halt der Vorteil, das ja nur einmal das PW eingegeben werden muss. Daher meine Frage. Aber ich will nicht Deiner Anleitung vorgreifen. Auf jeden Fall schon mal besten Dank im Voraus für deine Anstrengungen mir zu helfen.

Offline sam

  • Held Mitglied
  • *****
  • Beiträge: 598
  • Dankeschön: 29 mal
  • Karma: +0/-0
  • Desktop: MATE, KDE, Xfce, Openbox, Fluxbox
  • Grafikkarte: Intel Corporation 4 Series Chipset Integrated Graphics Controller (rev 03)
  • Grafikkartentreiber: free
  • Prozessor: Intel® Core™2 Quad CPU @ 4× 2.666GHz
  • Skill: Fortgeschritten
  • Zweig: stable

Offline Cheffe

  • Neuling
  • *
  • Beiträge: 14
  • Karma: +0/-0
  • Skill: Durchschnitt
  • Zweig: stable
Re: Komplettverschlüsselung mit LUKS
« Antwort #8 am: 03. Februar 2014, 10:50:44 »
Erst mal recht herzlichen Dank für Deine ausführliche Anleitung. Ich hatte auch schon angefangen zu probieren und war so bis Punkt 4 gekommen, allerdings ohne extra Schlüsseldatei. Ab da fing es ja dann an, richtig knifflig zu werden. Danke für die Lösung und für die wirklich gut verständliche Anleitung. Ist wirklich ein sehr interessantes Thema und für Rechner interessant, in denen man später extra Festplatten verbaut.  8)

Offline mimi12

  • Vollwertiges Mitglied
  • ***
  • Beiträge: 207
  • Dankeschön: 3 mal
  • Karma: +0/-0
  • Desktop: XFCE
  • Grafikkarte: Intel® HD Graphics 4000
  • Grafikkartentreiber: free
  • Kernel: 4.13.5-1 (x86_64)
  • Prozessor: Intel® Core™ i5-3210M (2.50 GHz, 3MB L3)
  • Skill: Durchschnitt
  • Zweig: stable

Offline DaLucy

  • Neuling
  • *
  • Beiträge: 2
  • Karma: +0/-0
  • Grafikkarte: Lucy
  • Grafikkartentreiber: Da
  • Skill: Anfänger
Re: Komplettverschlüsselung mit LUKS
« Antwort #10 am: 05. April 2014, 23:12:18 »
Hier eine Anleitung, wie es bei mir geklappt hat:

Manjaro Linux Installation mit Crypt und LVM

... Ziemlich lange und coole Anleitung ...

Ich beabsichtige von Ubuntu auf Manjaro umzusteigen und dabei das voll verschlüsselte Partitionslayout bei zu behalten. Wenn ich das richtig sehe brauche ich in Schritt 5 nur das
# cryptsetup luksOpen /dev/sda2 luksVolume
Schritt 6 kann ich komplett weglassen, da die LVMs ja schon da sind. D.h. in Schritt 7 brauche ich zusätzlich noch ein
# lvscanund kann den Rest übernehmen.

Richtig?


Offline sam

  • Held Mitglied
  • *****
  • Beiträge: 598
  • Dankeschön: 29 mal
  • Karma: +0/-0
  • Desktop: MATE, KDE, Xfce, Openbox, Fluxbox
  • Grafikkarte: Intel Corporation 4 Series Chipset Integrated Graphics Controller (rev 03)
  • Grafikkartentreiber: free
  • Prozessor: Intel® Core™2 Quad CPU @ 4× 2.666GHz
  • Skill: Fortgeschritten
  • Zweig: stable
Re: Komplettverschlüsselung mit LUKS
« Antwort #11 am: 06. April 2014, 01:49:07 »
Hi DaLucy,

Du braucht vor der Installation nur den Abschnitt "Fehlersuche", ohne den "chroot"-Teil, zu befolgen.
Danach den Installer starten und der sollte die Partitionen dann erkennen.

Generell kann ich bei sowas immer einen Test in einer Virtuellen Maschine empfehlen.

Offline Django1066

  • Neuling
  • *
  • Beiträge: 3
  • Karma: +0/-0
  • Desktop: Gnome 3.14
  • Grafikkarte: Nvidia GTX 660
  • Grafikkartentreiber: nonfree
  • Kernel: linux318-x86
  • Prozessor: AMD 3000
  • Skill: Durchschnitt
  • Zweig: testing
Re: Komplettverschlüsselung mit LUKS
« Antwort #12 am: 17. September 2014, 23:54:05 »
Hallöchen


Hatte Probleme beim Starten der vesrchlüsselten Festplatte. Habe 3 Festplatten. Eine Festplatte ist verschlüsselt.
Mal ging das Booten mit der der verschlüsselten Festplatte, mal nicht, zum Schluss nur noch schwarzer Bildschirm. Warum auch immer ??  >:D

Habe das Problem durch setzten der Festplatten-ID  zu /dec/sda2 gelöst  ;D

mit sudo blkid
/dev/sda1: UUID="f3c64876-0632-441f-aee9-f38f2217b151" TYPE="ext4" PARTUUID="d50865c9-01"
/dev/sda2: UUID="[b]674f7974-93a4-4da6-a1dd-375d7b82645a[/b]" TYPE="crypto_LUKS" PARTUUID="d50865c9-02"
/dev/sdc2: LABEL="WinData2" UUID="AE646AA5646A704F" TYPE="ntfs" PARTUUID="000d8116-02"
/dev/sdc3: LABEL="WinData" UUID="e6a48334-b81d-4c7d-8223-84042d1e8291" TYPE="ext4" PARTUUID="000d8116-03"
/dev/sdb1: LABEL="System-reserviert" UUID="1270495870494427" TYPE="ntfs" PARTUUID="49f0ab5b-01"
/dev/sdb2: UUID="B0464ECA464E90D0" TYPE="ntfs" PARTUUID="49f0ab5b-02"
/dev/mapper/cryptvg: UUID="jxtitI-ny8X-vAhy-xNNX-PFOf-fDYp-nZ2M0N" TYPE="LVM2_member"
/dev/mapper/cryptvg-swap: UUID="1e62b9e1-41ca-47df-9416-bfcbf04cb4de" TYPE="swap"
/dev/mapper/cryptvg-root: UUID="0984f052-b5c3-443f-95e9-ffe81f62b313" TYPE="ext4"
/dev/mapper/cryptvg-home: UUID="5f9c3da5-3581-42c4-8166-ce4093bcd44b" TYPE="ext4"

GRUB_CMDLINE_LINUX="cryptdevice=/dev/disk/by-uuid/674f7974-93a4-4da6-a1dd-375d7b82645a:cryptvg root=/dev/cryptvg/root resume=/dev/disk/by-uuid/674f7974-93a4-4da6-a1dd-375d7b82645a"


Jetzt funzt das Booten der verschlüsselten Festplatte  wunderbar.  :D
« Letzte Änderung: 05. Oktober 2014, 22:32:31 von mozon »

Offline dgunder

  • Neuling
  • *
  • Beiträge: 2
  • Karma: +0/-0
  • Skill: Anfänger
Re: Komplettverschlüsselung mit LUKS
« Antwort #13 am: 05. Oktober 2014, 16:42:40 »
Seit mir gegrüßt,
als erstes hier einmal großen Dank für diese Anleitung!!
Ich habe allerdings ein Verhalten welches ich mir nicht genau erklären kann. Ich habe mich Schritt für Schritt an die Anleitung gehalten und abgesehen vom erstellen der grub.cfg (diese waren ja angekündigt) keine Fehlermeldungen erhalten.
Wenn ich nun allerdings mein System starte, sehe ich kurz ein
Loading GRUBund dann bootet das System neu. Weiß nicht genau was ich da als Lösungsansatz nehmen soll, bzw. welche Informationen euch helfen könnten mir hier zur hand zu gehen. Soviel erstmal: zum Einsatz kommt ein HP Compaq 2510p mit einer 64 GB SSD, mit einem 3.12 Kernel.
Hat event. jemand nen Ansatz für mein Problem, wo ich anfangen könnte zu "buddeln"?

EDIT:
Ich habe auch schon den Ansatz von Django1066 probiert aber auch danach tritt keine Veränderung des Zustands ein.

Mit freundlichen Grüßen,
dgunder

Offline sam

  • Held Mitglied
  • *****
  • Beiträge: 598
  • Dankeschön: 29 mal
  • Karma: +0/-0
  • Desktop: MATE, KDE, Xfce, Openbox, Fluxbox
  • Grafikkarte: Intel Corporation 4 Series Chipset Integrated Graphics Controller (rev 03)
  • Grafikkartentreiber: free
  • Prozessor: Intel® Core™2 Quad CPU @ 4× 2.666GHz
  • Skill: Fortgeschritten
  • Zweig: stable
Re: Komplettverschlüsselung mit LUKS
« Antwort #14 am: 06. Oktober 2014, 13:39:35 »
Hi dgunder,

so ein Verhalten hatte ich mal auf einem Rechner, bei dem ich im BIOS die Boot-Reihenfolge der Geräte geändert hatte, um vom USB-Stick zu starten und Manjaro zu installieren. Als ich den Stick nach der Installation entfernt hatte, war Grub dann plötzlich nicht mehr auf /dev/sdb (wie bei der Installation), sondern auf /dev/sda.

Falls das bei Dir nicht zutrifft, dann beantworte bitte folgende Fragen:
Hast Du ...
  • ... auf demselben Rechner vorher schon mal Manjaro oder ein anderes Linux-System (mit oder ohne Verschlüsselung) installiert gehabt, bei dem es keine Probleme gab?
  • ... es auch mit dem grafischen Installer und der automatischen Installation mit LUKS+LVM probiert?
  • ... vor der Installation auf echter Hardware, eine Installation in einer Virtuellen Maschine versucht?
  • ... mkinitcpio -p linux312 (für Kernel 3.12) benutzt?