Autor Thema: Komplettverschlüsselung mit LUKS  (Gelesen 17226 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline Arkved

  • Neuling
  • *
  • Beiträge: 23
  • Desktop: Xfce
  • Skill: Anfänger
Manjaro Installation mit vollverschlüsselung
« Antwort #15 am: 17. Februar 2015, 10:57:07 »
Hallo,

(ich möchte die Gnome Version installieren und habe das entsprechende, neueste Community-Gnome Image auf ein USB Speichermedium kopiert [mit dd])

Mein Ziel ist es ein vollverschlüsseltes (LUKS) Manjaro-Gnome System auf meinem Thinkpad T61 zu installieren, ich nutze eine 60GB Kingston SSD.

Mit diesem Tutorial https://wiki.manjaro.org/index.php?title=Installation_to_SSD_(quick_guide) habe ich es mehrmals versucht, allerdings nicht geschafft, gab meistens Probleme bei dem Bootloader, jedenfalls habe ich kein funktionierendes System mit Verschlüsselung aufspielen können.

In der Live-Version gibt es einen grafischen Installer, welcher eine Verschlüsselung durchaus anbietet, ich frage mich, warum die Option nicht funktioniert(?)

Bei einem Debian zum Beispiel konnte ich ohne Probleme ein verschlüsseltes OS aufsetzen.

Geht die Verschlüsselung im grafischen Standard-Installer nicht?
Ansonsten: Gibt es keine einfachere Variante ein Manjaro, zur Not auch Arch selber verschlüsselt zu installieren als Tutorials wie dem Genannten?

Ich wäre sehr dankbar, mein Notebook wird kein OS haben, bis ich das geschafft habe  :P
« Letzte Änderung: 17. Februar 2015, 12:23:49 von mozon »

Offline sam

  • Held Mitglied
  • *****
  • Beiträge: 598
  • Dankeschön: 27 mal
  • Desktop: MATE, KDE, Xfce, Openbox, Fluxbox
  • Grafikkarte: Intel Corporation 4 Series Chipset Integrated Graphics Controller (rev 03)
  • Grafikkartentreiber: free
  • Prozessor: Intel® Core™2 Quad CPU @ 4× 2.666GHz
  • Skill: Fortgeschritten
  • Zweig: stable
Re: Manjaro Installation mit vollverschlüsselung
« Antwort #16 am: 17. Februar 2015, 12:29:37 »
Geht die Verschlüsselung im grafischen Standard-Installer nicht?
Doch, generell geht das (zumindest bei der automatischen Installation). Mit der GNOME-Edition habe ich es aber noch nicht getestet.

Klappt die Installation, wenn Du sie ohne Verschlüsselung machst?

Ansonsten hatte ich mal unter Komplettverschlüsselung mit LUKS beschrieben, wie es mit dem CLI-Installer klappen sollte.

Generell finde ich es besser, die Verschlüsselung manuell zu machen, da man dann besser durchblickt und sich bei Problemen eher selbst helfen kann.

Varkolac

  • Gast
Re: Komplettverschlüsselung mit LUKS
« Antwort #17 am: 17. Februar 2015, 14:08:31 »
Kann man die Festplatte auch nachträglich noch verschlüsseln oder geht das nur bei einer Neuinstallation?

Nachdem ich das hier gelesen hab würde ich das doch ganz gerne machen, dachte davor das wäre nur nötig wenn mir jemand die Platte klaut  ::)

Offline sam

  • Held Mitglied
  • *****
  • Beiträge: 598
  • Dankeschön: 27 mal
  • Desktop: MATE, KDE, Xfce, Openbox, Fluxbox
  • Grafikkarte: Intel Corporation 4 Series Chipset Integrated Graphics Controller (rev 03)
  • Grafikkartentreiber: free
  • Prozessor: Intel® Core™2 Quad CPU @ 4× 2.666GHz
  • Skill: Fortgeschritten
  • Zweig: stable
Re: Komplettverschlüsselung mit LUKS
« Antwort #18 am: 17. Februar 2015, 16:16:26 »
Kann man die Festplatte auch nachträglich noch verschlüsseln oder geht das nur bei einer Neuinstallation?
Re: System mit Komplettverschlüsselung (LUKS+LVM) um Speichermedien erweitern

Die einfachste Methode sein bestehendes unverschlüsseltes System zu verschlüsseln und dabei keine Daten zu verlieren, wäre ein Backup des home-Verzeichnisses zu machen, evtl. auch von /etc, falls dort manuelle Einstellungen vorgenommen wurden, und diese Verzeichnisse nach der Installation auf das verschlüsselte System wieder aufspielen.
Nach dem Wiederaufspielen können die Daten auf dem Backupmedium mit Zufallszahlen (langsam) oder Nullen (schneller) überschreiben und somit vernichtet werden.

Varkolac

  • Gast
Re: Komplettverschlüsselung mit LUKS
« Antwort #19 am: 17. Februar 2015, 17:01:36 »
Re: System mit Komplettverschlüsselung (LUKS+LVM) um Speichermedien erweitern

Die einfachste Methode sein bestehendes unverschlüsseltes System zu verschlüsseln und dabei keine Daten zu verlieren, wäre ein Backup des home-Verzeichnisses zu machen, evtl. auch von /etc, falls dort manuelle Einstellungen vorgenommen wurden, und diese Verzeichnisse nach der Installation auf das verschlüsselte System wieder aufspielen.
Nach dem Wiederaufspielen können die Daten auf dem Backupmedium mit Zufallszahlen (langsam) oder Nullen (schneller) überschreiben und somit vernichtet werden.

Ok, danke! Dann werd ich das demnächst  mal machen.

Offline Arkved

  • Neuling
  • *
  • Beiträge: 23
  • Desktop: Xfce
  • Skill: Anfänger
Re: Komplettverschlüsselung mit LUKS
« Antwort #20 am: 18. Februar 2015, 13:00:52 »
Re: System mit Komplettverschlüsselung (LUKS+LVM) um Speichermedien erweitern

Die einfachste Methode sein bestehendes unverschlüsseltes System zu verschlüsseln und dabei keine Daten zu verlieren, wäre ein Backup des home-Verzeichnisses zu machen, evtl. auch von /etc, falls dort manuelle Einstellungen vorgenommen wurden, und diese Verzeichnisse nach der Installation auf das verschlüsselte System wieder aufspielen.
Nach dem Wiederaufspielen können die Daten auf dem Backupmedium mit Zufallszahlen (langsam) oder Nullen (schneller) überschreiben und somit vernichtet werden.

Backup des Homeverzeichnis.
Weil man die zu verschlüsselnden Partitionen in die Verschlüsselung "hinein" installiert. D.h. man erstellt eine Verschlüsselung und dann bastelt man sich darin etwas zurecht, nicht andersherum.

Also es hat allem Anschein nach nichts mehr der Gnome-Version zu tun, ich habe verschiedene Manjaro Images getestet, verschiedene USB-Sticks, verschiedene Computer und sogar verschiedene Testpersonen :D

Offline sam

  • Held Mitglied
  • *****
  • Beiträge: 598
  • Dankeschön: 27 mal
  • Desktop: MATE, KDE, Xfce, Openbox, Fluxbox
  • Grafikkarte: Intel Corporation 4 Series Chipset Integrated Graphics Controller (rev 03)
  • Grafikkartentreiber: free
  • Prozessor: Intel® Core™2 Quad CPU @ 4× 2.666GHz
  • Skill: Fortgeschritten
  • Zweig: stable
Re: Komplettverschlüsselung mit LUKS
« Antwort #21 am: 18. Februar 2015, 13:36:53 »
Also es hat allem Anschein nach nichts mehr der Gnome-Version zu tun, ich habe verschiedene Manjaro Images getestet, verschiedene USB-Sticks, verschiedene Computer und sogar verschiedene Testpersonen :D
Was hast du probiert (grafischen oder cli-installer, Anleitung etc.) und wo sind welche Fehler aufgetreten (Ausgabe im Terminal-Fenster, z.B. beim Aufruf von thus)?
Und
Klappt die Installation, wenn Du sie ohne Verschlüsselung machst?

Offline sammy

  • Neuling
  • *
  • Beiträge: 18
  • Desktop: KDE
  • Grafikkarte: nVidia 940M
  • Grafikkartentreiber: nonfree
  • Kernel: linux41
  • Prozessor: i5200
  • Skill: Anfänger
  • Zweig: stable (?)
Re: Komplettverschlüsselung mit LUKS
« Antwort #22 am: 17. Februar 2016, 03:17:54 »
Hallo,

vielen Dank für die tolle Anleitung. Habe sie Schritt für Schritt befolgt, aber bin zweimal gescheitert.
Die Mount-Punkte kann ich noch setzen - wenn ich weiterklicke, dann bekomme ich aber "Error mounting /install/". Wenn ich das mit "OK" bestätige und ins Hauptmenü zurückkehre, kann ich die Installation dann durchführen, dann kommt auch "Installation succeeded!", aber während der Erstellung der initranfs(?)-Datei erscheint u.a. "Failed to detect root partition", am Ende wird trotzdem gemeldet, dass das Image erfolgreich erstellt wurde. Wenn ich dann aber den Bootloader erstellen möchte, steht "Setup couldn't detect mounted partition(s) in /install, please set mountpoints first." und versucht er wieder /root zu mounten, bricht aber mit "Error mounting /install/" ab.

Bin für jede Hilfe wirklich dankbar!
LG


Nebeninfo:
Ich möchte ein Dual-Boot-System mit Windows 7 (auf /dev/sda1 und /dev/sda2) einrichten, bei dem nur Linux verschlüsselt ist, und da sowohl die swap- als auch die root- und home-partition.
Bisher habe ich nur Ubuntu und Linux Mint benutzt, habe also noch weniger Erfahrung in dem manuellen Bereich, und ein System habe ich auch noch nie verschlüsselt.

Offline sammy

  • Neuling
  • *
  • Beiträge: 18
  • Desktop: KDE
  • Grafikkarte: nVidia 940M
  • Grafikkartentreiber: nonfree
  • Kernel: linux41
  • Prozessor: i5200
  • Skill: Anfänger
  • Zweig: stable (?)
Re: Komplettverschlüsselung mit LUKS
« Antwort #23 am: 17. Februar 2016, 15:38:13 »
Edit: Ich hatte Schritt 3 übersprungen.
Wenn ich "pacman -Syu" ausführe, erhalte ich beim 5. Schritt die Fehlermeldung: "Cannot initialize device-mapper. Is dm_mod kernel module loaded?"

Offline suska

  • Sr. Mitglied
  • ****
  • Beiträge: 395
  • Dankeschön: 33 mal
  • Desktop: openbox
  • Grafikkarte: Intel
  • Grafikkartentreiber: free
  • Kernel: 5.1
  • Prozessor: i5
  • Skill: Durchschnitt
  • Zweig: #
Re: Komplettverschlüsselung mit LUKS
« Antwort #24 am: 17. Februar 2016, 16:07:45 »
Ich hatte genau das gleiche Problem. Einfach pacman -Syu weglassen und nur mittels pacman -S paketname das installieren was gebraucht wird.
Void Linux .:. FreeBSD

Offline sammy

  • Neuling
  • *
  • Beiträge: 18
  • Desktop: KDE
  • Grafikkarte: nVidia 940M
  • Grafikkartentreiber: nonfree
  • Kernel: linux41
  • Prozessor: i5200
  • Skill: Anfänger
  • Zweig: stable (?)
Re: Komplettverschlüsselung mit LUKS
« Antwort #25 am: 18. Februar 2016, 01:03:13 »
Vielen Dank für die Antwort. Ich habe es jetzt geschafft, und möchte kurz erklären, was los war (falls ein anderer Anfänger das gleiche Problem hat):

Bei meinem ersten Versuch hatte ich während des Setups die Nachfrage verneint, ob auf den Partitionen, für die ich einen Mount-Punkt gesetzt habe, ein Filesystem erzeugt werden soll. Außerdem habe ich hier "pacman -Syu" ausgelassen.
Beim zweiten Versuch habe ich "pacman -Syu" ausgeführt, erhielt dann aber besagte Fehlermeldung.
Beim dritten Versuch habe ich nach suskas Empfehlung nicht -Syu, sondern "pacman -S lvm2" ausgeführt. Anschließend erhielt ich beim Erzeugen des initrd-image aber folgenden Fehler:
-> ERROR: Hook 'lwm2' cannot be found

Funktioniert hat es letztlich so:
Ich habe die Anleitung Schritt für Schritt befolgt, jedoch weder kein einziges Mal pacman benutzt (Schritt 3 übersprungen) und beim Setup dann nach dem Mountpunkte-Setzen jeweils das Filesystem erzeugen lassen.

Nun funktioniert anscheinend alles, jedoch wird kurz vor der Passwortabfrage beim Start noch folgender Fehler angezeigt:
ERROR: resume: hibernation device '/dev/cryptvg/swap' not found
... diese Meldung erscheint, nachdem für ~5 Sekunden nur "starting version 228" da stand. Dann wird nach dem PW gefragt.

Hat jemand einen Tipp? Dankeschön!

Offline suska

  • Sr. Mitglied
  • ****
  • Beiträge: 395
  • Dankeschön: 33 mal
  • Desktop: openbox
  • Grafikkarte: Intel
  • Grafikkartentreiber: free
  • Kernel: 5.1
  • Prozessor: i5
  • Skill: Durchschnitt
  • Zweig: #
Re: Komplettverschlüsselung mit LUKS
« Antwort #26 am: 18. Februar 2016, 13:51:35 »
Nun funktioniert anscheinend alles, jedoch wird kurz vor der Passwortabfrage beim Start noch folgender Fehler angezeigt:
ERROR: resume: hibernation device '/dev/cryptvg/swap' not found
... diese Meldung erscheint, nachdem für ~5 Sekunden nur "starting version 228" da stand. Dann wird nach dem PW gefragt.

Habe nur eine 2GB Swap-Partition für den Fall, dass mein RAM ausnahmsweise mal nicht ausreichen sollte und weil ich auch Hibernation, sprich suspend-to-disk, nicht nutze. Deshalb habe ich bei mir in /etc/default/grub in der Zeile

GRUB_CMDLINE_LINUX
den Eintrag

resume=/dev/cryptvg/swap
entfernt. Ebenso hab ich in /etc/mkinitcpio.conf  in der Zeile

HOOKS="..."
resume entfernt.

Aber Vorsicht, ich nutze kein systemd und hab keinen Plan, ob das einen Unterschied macht. Ich mache vieles über "Versuch macht klug". Vielleicht meldet sich ja noch wer, der mehr Ahnung von der Materie hat.
Schau auch mal ins Arch-Wiki. Dort steht unter anderem:
Zitat
Note: LVM users should add the resume hook after lvm2.

Void Linux .:. FreeBSD
Folgende Mitglieder bedankten sich: sammy

Offline sammy

  • Neuling
  • *
  • Beiträge: 18
  • Desktop: KDE
  • Grafikkarte: nVidia 940M
  • Grafikkartentreiber: nonfree
  • Kernel: linux41
  • Prozessor: i5200
  • Skill: Anfänger
  • Zweig: stable (?)
Re: Komplettverschlüsselung mit LUKS
« Antwort #27 am: 18. Februar 2016, 22:08:42 »
Zitat
Note: LVM users should add the resume hook after lvm2.

Dankeschön! Das war's :-)

Offline AnthonyK

  • Neuling
  • *
  • Beiträge: 2
  • Skill: Durchschnitt
Re: Komplettverschlüsselung mit LUKS
« Antwort #28 am: 11. Januar 2020, 22:19:43 »
Hi,

ich habe gerade auch diese Installation auf einen UEFI (M2 Festplatte) System versucht und stehe vor ein paar Problemen.

1.) Ich muss 2x die Passphrase eingeben

Starte ich das System kommt

Attempting to decrypt master key...
Enter passphrase for hd3.gpt2

Gebe ich nun die Passphrase ein, dann geht es einen Schritt weiter.

mkdir: can`t create directory "run/lvm": File exists
Failed to acquire lock on /run/lvmetad.pid. Already running?

A password is required to access the cryptvg volume:
Enter passphrase for /dev/nvme0n1p2:

Gebe ich nun erneut die Passphrase ein, dann startet das System komplett durch.

2.) Das Tastaturlayout ist bei der Passphraseneingabe auf Englisch. Wie kann ich das auf Deutsch einstellen?