Willkommen Gast. Bitte einloggen oder registrieren. Haben Sie Ihre Aktivierungs E-Mail übersehen?
01.06.2020, 00:01:53

.
Einloggen mit Benutzername, Passwort und Sitzungslänge

Mitglieder
  • Mitglieder insgesamt: 24071
  • Letzte: atze48
Statistiken
  • Beiträge insgesamt: 663311
  • Themen insgesamt: 53656
  • Heute online: 330
  • Am meisten online: 2287
  • (22.01.2020, 19:20:24)
Benutzer Online

Autor Thema:  Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?  (Gelesen 882 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Hallo zusammen!

Ich würde gern ein fertig installiertes System (LM19.3 xfce) ohne separate Boot-Partition in ein System mit Boot-Partition überführen.

Natürlich kann ich eine neue Partition anlegen, die Dateien aus dem System unter /boot dort hin verschieben und die neue Partition in der fstab nach /boot einbinden. Aber dass kann ja nicht alles sein, denn die fstab wird ja erst ausgeführt, wenn die root-Partition schon die Kontrolle hat.
Irgendwie muss die Kontrollinstanz auf der Boot-Partition beim Start doch wissen, dass es ein externes System gibt, was zu laden ist?

Weiß jemand wie so etwas zu machen ist?

Re: Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?
« Antwort #1 am: 20.05.2020, 16:15:43 »
Hi :)
ist machbar.. nur warum..
separate /home ist sinnvoll... /boot aber nicht unbedingt

Re: Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?
« Antwort #2 am: 20.05.2020, 16:30:33 »
Ja - machbar ist es sicherlich, denn bei einer Neuinstallation kann ich das ja durch den Installer erledigen lassen. Ich weiß nur nicht, was der Installer dann anders macht, als bei der Normalinstallation?

So etwas wird benötigt, wenn man eine offene Installation in eine LUKS-Installation überführen möchte. Die boot- Partition darf sich in dem Fall nicht in der LUKS-Partition befinden.

Re: Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?
« Antwort #3 am: 20.05.2020, 18:35:38 »
Spezialfall: Rechner mit GPT auf der Platte und BIOS-Boot (CSM, simulierter MBR).
Hintergrund ist, dass LMDE3 so langsam das Supportende erreicht und ich das Hauptsystem auf LMDE4 Debbie  umstellen wollte. Also musste ich den Grub neu schreiben lassen. user@debbie-t450s:~$ sudo grub-install /dev/sda
[sudo] Passwort für user:           
i386-pc wird für Ihre Plattform installiert.
grub-install: Warnung: Diese GPT-Partitionsbezeichnung hat keine BIOS-Boot-Partition,
Einbettung würde unmöglich sein.
grub-install: Warnung: Einbettung ist nicht möglich.
GRUB kann in dieser Konfiguration nur mittels Blocklisten installiert werden.
Blocklisten sind allerdings UNZUVERLÄSSIG und deren Verwendung wird daher nicht empfohlen..
grub-install: Fehler: mit Blocklisten wird nicht fortgesetzt.

Ging aber trotzdem mit: sudo dpkg-reconfigure grub-pc und ich konnte mir das Einrichten einer zusätzlichen Boot-Partition sparen. (Grub stattdessen auf /dev/sda (CSM-MBR) installiert).
Bisher habe ich keine negativen Effekte dadurch feststellen können. Alle drei vorhandenen Betriebssysteme  (Multiboot) werden im Grub-Menü angeboten und lassen sich problemlos starten

Allerdings vermute ich auf Grund dieser Erfahrung, dass eine Boot-Partition grundsätzlich bei einer GPT (Partitionstabelle) sinnvoll ist, auch wenn man einen – mit Linux möglichen – altmodischen BIOS-Boot betreibt.
Bei einem UEFI-Boot kommt man sowieso nicht drum herum, soweit ich gelesen habe.   

Möglicherweise geht auch die Grub-Einrichtung auf eine separaten Boot-Partition mit dem erwähnten Befehl "sudo grub-install /dev/sdX". Getestet habe ich das noch nicht.
« Letzte Änderung: 20.05.2020, 18:50:02 von aexe »

Re: Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?
« Antwort #4 am: 21.05.2020, 15:00:36 »
Hi :)
zwar verstanden.. nur warum sollte man ein OSS verschlüsseln...
wenn verschlüsseln, dann das /home
oder m.e. noch besser: container für die besonders schutzwürdigen daten anlegen ...

aber mach mal ;)

Re: Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?
« Antwort #5 am: 21.05.2020, 15:15:51 »
noch besser: container
Richtig, VeraCrypt wäre da das passende.

Re: Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?
« Antwort #6 am: 21.05.2020, 19:57:28 »
@ehtron
Im Normalfall muss man gar nichts verschlüsseln, außer man ist hoch kriminell und erwartet jederzeit Hausbesuch vom Staat, aber ich denke, dass wir alle in diesem Forum nicht zu diesem Klientel gehören.

Dieser Normalfall endet aber augenblicklich an der Stelle, an der man nicht mehr dafür garantieren kann, dass nicht andere kriminelle Elemente physischen Zugriff auf den Rechner erhalten können. Dann wäre nicht nur der Rechner weg, sondern durch Datenmissbrauch ggf. ein weit höherer Schaden entstanden.
Wäre es nicht äußerst dumm, Sich nicht dagegen abzusichern, obwohl das System dieses kostenlos bietet und statt dessen zu hoffen, dass nichts passieren wird?

Besonders schützenswert sind sicherlich die sichtbaren Daten in /home, aber nicht ausschließlich. Die können auch auf der swap liegen, oder im Papierkorb, oder in /temp, oder in den Konfigurationsdaten von /home (z. B. .bash_history, .smbcredentials, .mozilla, .thunderbird. ...) oder in /etc (z. B. WLAN-Schlüssel, Einwahl in den Router, der möglicherweise auch noch online erreichbar ist und wiederum Zugriff auf das häuslich NAS mit allen privaten Daten gestattet und ... und ... und ...

@ole_hilja
Warum gerade VeraCrypt? Linux bringt doch von Hause aus die Verschlüsselung aus dem Kernel mit. Das ist mit Sicherheit schneller als ein externes Programm. Warum soll man die Linux Kernel-Funktionen, die zudem auch noch mehr Möglichkeiten bietet als Veracrypt, nicht nutzen?

@Alle
Auch wenn man den Nutzen nicht einsehen mag, weil man selbst den Rechner immer nur im geschützten Bereich der Wohnung hat, dann kann man meine Fragestellung auch als Klärung eines technischen Problems betrachten. Da spricht doch sicherlich nichts dagegen.

Re: Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?
« Antwort #7 am: 21.05.2020, 20:34:39 »
So etwas wird benötigt, wenn man eine offene Installation in eine LUKS-Installation überführen möchte.
Anscheinend hast du dafür auch noch keine Anleitung, denn sonst hättest du hier nicht den ersten Teilschritt erfragt. Das würde ich per Neuinstallation regeln. Und dabei wird die Partition schon automatisch eingerichtet.

Zitat
Die boot- Partition darf sich in dem Fall nicht in der LUKS-Partition befinden.
Muss nicht, auch wenn es gängige Praxis ist. Man kann GRUB auch so konfigurieren, dass /boot sich innerhalb von LUKS befinden darf. (Ob im Wurzelverzeichnis oder als Partition wäre dabei nebensächlich.)

Re: Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?
« Antwort #8 am: 21.05.2020, 20:57:11 »
Prinzipiell werden meine Systeme, eagl ob Winows oder Linux, niemals verschlüsselt. Gestern, heute, morgen nicht.
Wer in Browser Zugänge speichert, kann das mittels Master Passwort verschlüsselt machen lassen, dito bei TB.
Andere Online Zugänge bspw. in KeepPassX und vergleichbaren speichern. Und für wichtige Dateien gennantes Veracrypt oder ähnliches nutzen.
smbcredentials ist ja nur für Sambazugänge im internen Netzwerk zu Hause. Und wenn ich da keinen trauen kann, habe ich ganz andere Probleme.
Ohne System- und/oder Homeverschlüsselung habe ich immer die Möglichkeit von außen das Betriebssystem zu richten, bzw. im äußersten Notfall wichtige Daten davon zu sichern. Was bei verschlüsselten und defekten System nicht gelingt.
Bestenfalls wahrscheinlich ein Komplettbackup zurück spielen, quasie die pauschale Gießkannenmethode, wo ein zielgerichteter Strahl gereicht hätte. Ohne Verschlüsselung.

Nein, Verschlüsselung ist und war nie etwas für mich, ganz und gar nicht. Zumal ich mehrere Tuxe auf dem Rechner habe.
Ich kann da auch keinen helfen, bei im Zusammenhang stehenden Problemen und versuche es auch erst gar nicht.
Und ich denke Hilfe wird mit verschlüsselten Systemen eh schwierig und viele Helfer und Hilfe gibt es bei Problemen damit nicht.

Re: Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?
« Antwort #9 am: 21.05.2020, 23:07:06 »
Also ich kann nur jedem empfehlen, spätestens bei einer anstehenden Neuinstallation, sein Linux System vollständig zu verschlüsseln.
Es hat absolut keine Nachteile und langsamer wird das System dadurch auch nicht, da vor jedem Systemstart sozusagen die Festplatte
geöffnet wird. Man kann sich dann auch das 2.Passwort sparen z.B. dann mit automatischer Anmeldung.
Im Prinzip habe ich seither nur einen Vorteil, meine Daten sind sicherer als vorher. Laptops haben hier noch eine bevorzugte Behandlung.
Auch der Rechner in den eigenen vier Wänden wird sicherer. Verschlüsselung kann auf keinen Fall schaden.
Ich will hier keine Diskussion lostreten, ist alles nur meine persönliche Meinung. Alle meine Freunde und Bekannten, darunter auch Linux
Administratoren von Beruf haben alle persönlich Ihre Maschinen verschlüsselt. Vor 10 Jahren kamen wir nicht mal auf diesen Gedanken.
Schlussbemerkung: seit einem halben Jahr läuft bei mir ein vollverschlüsseltes Kubuntu absolut problemfrei und es macht mir immer mehr Freude. ;D


wenn man eine offene Installation in eine LUKS-Installation überführen möchte.
Ich denke nicht, dass so etwas möglich ist, geht m.E. nur bei einer Neuinstallation.

Ohne System- und/oder Homeverschlüsselung habe ich immer die Möglichkeit von außen das Betriebssystem zu richten, bzw. im äußersten Notfall wichtige Daten davon zu sichern.
Auch mit Verschlüsselung hat man die Möglichkeit an die Daten zu kommen, geht ganz normal mit einem Live-System, nur dass beim Einhängen halt das Passwort der
verschlüsselten Platte benötigt wird.
« Letzte Änderung: 21.05.2020, 23:50:16 von Hollex »

Re: Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?
« Antwort #10 am: 22.05.2020, 09:18:43 »
So Gott will. Klappt die Passwortabfrage auch nicht mehr...
Bin bisher immer ohne Verschlüsselung "gut gefahren", so wie ich es mache und oben benannt habe. Reicht mir vollkommen.
Nein, du "überzeugst" mich nicht. Systemverschlüsselung kommt mir nicht ins Haus, Ende aus. Und keine weitere Diskussion darüber, ob ich jene doch will - NEIN!

Re: Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?
« Antwort #11 am: 22.05.2020, 09:35:16 »
Irgendwie muss die Kontrollinstanz auf der Boot-Partition beim Start doch wissen, dass es ein externes System gibt, was zu laden ist?
diese information wo das root verzeichnis liegt, übergibst du mit grub
das heißt der boot loader "weckt" den kernel und sagt ihm alles nötige, zb wo das root verzeichnis ist, wo der swap liegt und ob er mit "tiefschlaf" aka resume7/ibernate rechnen muß.

/boot muß nur eingebunden sein, wenn der kernel aktualisiert wird

tom@frija ~]$ cat /proc/mounts | grep sda
/dev/sda2 / f2fs rw,lazytime,relatime,background_gc=on,discard,no_heap,user_xattr,inline_xattr,acl,inline_data,inline_dentry,flush_merge,extent_cache,mode=adaptive,active_logs=6,alloc_mode=reuse,fsync_mode=posix 0 0
/dev/sda3 /home f2fs rw,lazytime,noatime,background_gc=on,discard,no_heap,user_xattr,inline_xattr,acl,inline_data,inline_dentry,flush_merge,extent_cache,mode=adaptive,active_logs=6,alloc_mode=default,fsync_mode=posix 0 0
[tom@frija ~]$ lsblk
NAME   MAJ:MIN RM   SIZE RO TYPE MOUNTPOINT
sda      8:0    0 111,8G  0 disk
|-sda1   8:1    0    90M  0 part
|-sda2   8:2    0  14,7G  0 part /
|-sda3   8:3    0  94,9G  0 part /home
`-sda4   8:4    0   2,2G  0 part [SWAP]
#/dev/sda1   /boot   vfat    noatime,x-systemd.automount,noauto 0 0
/dev/sda2   /   f2fs  noatime,noatime,flush_merge,defaults  0   0
/dev/sda3 /home f2fs defaults,noatime,noatime,x-systemd.automount 0 0

Re: Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?
« Antwort #12 am: 22.05.2020, 09:36:34 »
  ;D
So Gott will. Klappt die Passwortabfrage auch nicht mehr...
..aber nur, wenn du dass Passwort vergessen hast.  ;D

@BR01, keine Sorge und sry, ich möchte Dich nicht überzeugen! Ich wollte damit nur sagen, Luks Verschlüsselung ist kein Hexenwerk,
              das läuft alles schon zuverlässig.
Für alle anderen Interessierten, hier mal ein vernünftiges Video mit Hintergrundinformationen mit beispiel für ein Arch-System zur Verschlüsselung.
https://www.youtube.com/watch?v=v1Emxc43xMo
« Letzte Änderung: 22.05.2020, 10:16:09 von Hollex »

Re: Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?
« Antwort #13 am: 22.05.2020, 09:44:39 »
Ich denke du wolltest, Zitat aus #9: "Ich will hier keine Diskussion lostreten".
Warum tust du es dann?
Das Ding ist durch - System Verschlüsselung wird bei mir nicht kommen. Da zusätlich mögliche Fehlerquelle. Ende Alende.

Re: Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?
« Antwort #14 am: 22.05.2020, 12:20:39 »
@aexe
Vielen Dank für Deinen Hinweis.

Ging aber trotzdem mit:
Code: [Auswählen]
Zitat
sudo dpkg-reconfigure grub-pc.

und ich konnte mir das Einrichten einer zusätzlichen Boot-Partition sparen.

Ob ich Deinen Hinweis in meinem Projekt verwerten kann, weiß ich noch nicht. Trotzdem nochmals meinen Dank für Deine sachliche Antwort.


@get_well(soon)

Anscheinend hast du dafür auch noch keine Anleitung, denn sonst hättest du hier nicht den ersten Teilschritt erfragt.

Woher willst Du denn wissen, dass das der erste Teilschritt ist? Möglicherweise bin ich schon viel weiter, als Du denkst und es ist nur noch der letzte Schritt zum Erfolg?


@BR01
Auf Deine Antwort trifft m. e. genau das zu, was ich unter @Alle geschrieben habe. Freue Dich doch darüber, dass Du persönlich kein Problem hast, welches zu Beseitigung eine Verschlüsselung erfordert. Aber bestreite doch bitte nicht, das es andere Personenkreise mit anderen Aufgabenstellungen gibt.


@Hollex
Ich kann Dir nur zustimmen, was den Einsatz von LUKS angeht. Insbesondere weiß ich nicht, warum hier an einigen Stellen immer VeraCrypt ins Spiel gebracht wird? Wenn ich allein sehe, wie lange es dauert, bis VeraCrypt eine große HDD entschlüsselt hat, was mit LUKS durch die Kernel-Integration im Bruchteil einer Sekunde abläuft (auf einem lahmen Atom-Prozessor basierenden N3150 etwa 0,05 - 0,1 Sek) dann wird klar, dass Kompromisslösungen wie VeraCrypt einfach keine Konkurrenz sind und aus Performance-Gründen nichts gegen LUKS spricht.

Ich denke nicht, dass so etwas möglich ist, geht m.E. nur bei einer Neuinstallation.

An dieser Stelle möchte ich Dir nicht zustimmen. Ich gebe gern zu, dass hier eine Nuss mit dicker, harter Schale zu knacken ist (zumindest für mich, mit meinen bescheidenen Linux-Kenntnissen). Wenn ich dazu sehe, wie viele User hier schon gefragt haben, wie ein unverschlüsseltes System zu klonen ist, dann wird klar, dass die Erstellung eines Klons mit gleichzeitiger Überführung vom offenen System in ein verschlüsseltes LUKS-System und mit gleichzeitigem Einsatz von lvm und auch wieder zurück in ein unverschlüsseltes System, für mich eine sportliche Herausforderung besonderer Art darstellt.
Allerdings weiß man doch nie, über welche Hürden man springen kann, wenn man immer nur auf dem Sofa sitzt? Ich sehe es als technische Herausforderung und gleichzeitig als Möglichkeit, meine sehr bescheidenen Linux-Kenntnisse etwas zu vertiefen. Mal sehen, was daraus wird!


@brikler
/boot muß nur eingebunden sein, wenn der kernel aktualisiert wird

Danke für Deine sachliche Info. Ob das der allein entscheidende Hinweis war, muss ich erst wieder testen. Zumindest hast Du mich in so fern auf die Spur gebracht, als dass ich einen meiner restlich noch vorhandenen Fehler erkannt habe!


@Alle
Das Thema polarisiert offensichtlich sehr. Ich habe wirklich nicht beabsichtigt, hier einen Glaubenskrieg über die Sinnfälligkeit der Systemverschlüsselung loszutreten. Das Anwendungsprofil der einzelnen Nutzer ist dafür viel zu unterschiedlich. Wenn wir damit anfangen wollen, dann müssen wir m. e. zuerst Fallunterscheidungen treffen, in denen festgelegt wird, wogegen das System zu schützen ist. Wenn wir aber beginnen, wie es hier schon erfolgt ist, die eigene Situation auf alle User zu übertragen, dann reden wir ständig aneinander vorbei und die Diskussion führt ins Nirvana.

Ich will einmal versuchen, da etwas Ordnung hinein zu bringen:

- Schutz vor online-Angriffen
Da ist Linux (im Vergleich zu anderen OS) doch auch unverschlüsselt bestens gerüstet. Allein das Rechte-System zu überlisten, ohne Schadsoftware einzuschleusen, dürfte ein Problem besonderer Art sein. Verschlüsselung würde auch hier nichts nutzen, denn das laufende System ist immer entschlüsselt und das ausgeschaltete System ist online nicht angreifbar. (Ausnahme wäre WOL, aber das muss man ja nicht installieren).

- Schutz vor schadhafter Software (Trojaner, Keylogger)
Benötigt man auch nur, wenn er Rechner online geht. Bei reinen offline-Systemen ist es doch egal, wie viele Keylogger auf dem System darauf warten (wie ET der Außerirdische), nach Hause zu telefonieren.
Für online Systeme gibt es doch an jeder Stelle eindeutige Warnungen, dass Fremdsoftware die Sicherheit gefährden kann. Da schützt auch keine Verschlüsselung, denn das System ist ja immer entschlüsselt, wenn es online geht.
Wer auf dem online-Rechner Software zweifelhafter Herkunft benutzen will, kann aber firejail einsetzen. Das schützt auch in diesem Fall. Ist allerdings, insbesondere wenn man von Standard abweichende Installationen benutzt, ggf. etwas tricky zu konfigurieren.

- Schutz vor Polizei und Geheimdienst
Brauche ich nicht, ebenso wie der größte Teil der Menschen (zumindest hier in DL). Als unbescholtener Bürger interessieren die sich nicht für mich.

- Schutz vor Mitbewohnern
Hier könnte Verschlüsselung für Leute interessant sein, die in einer offenen WG wohnen. Wenn dort jemand auch nur rudimentäre Linux-Kenntnisse hat, kann er mit einem USB-Live-Stick auf dem fremden System machen was er will. Er kann z. B. selbst mit einfachem Skript, was in kürzester Zeit eingeschleust wird, die Tastatur und Zwischenablage überwachen. Da hilft auch kein KeePassX. Die Passworte und sämtliche Kommunikation (auch verschlüsselt zu Banken etc.) sind einfach als kompromittiert anzusehen. Trifft für mich (bei meinen Rechnern zu Hause) aber nicht zu, da Fremde bei mir zu Hause keinen Zugang haben.

- Schutz vor Kriminellen, die physischen Zugriff auf den Rechner außerhalb der Wohnung erhalten können.
Linux mag ja noch so gut sein, ist aber in unverschlüsselter Form für diesen Fall einfach nicht ausgelegt. Das Linux-Konzept für diesen Fall heißt LUKS. Komischerweise wollen viele das abstreiten und zwar nur deshalb, weil bei ihnen selbst dieser Fall nicht vorliegt.
Man darf aber die eigene Situation nicht auf Andere übertragen. Es gibt genügend Menschen, die genau dieses Problem haben und da eine Lösung suchen (z. B. Reisende, Ärzte ohne Grenzen, Auslandsjournalisten, Leute in der Entwicklungshilfe, etc.). Wer für diesen Personenkreis den Nutzen der Systemverschlüsselung bestreitet, behauptet in meinen Augen nichts anderes, als dass Linux für diesen Fall und für diesen Personenkreis ungeeignet ist und das stimmt einfach nicht. Genau dafür ist LUKS gedacht! Und wenn man es selbst nicht benötigt, dann um so besser, aber bitte nicht bestreiten, dass es auch andere Menschen, mit anderen Problemen gibt.