Willkommen Gast. Bitte einloggen oder registrieren. Haben Sie Ihre Aktivierungs E-Mail übersehen?
01.06.2020, 01:39:17

.
Einloggen mit Benutzername, Passwort und Sitzungslänge

Mitglieder
  • Mitglieder insgesamt: 24071
  • Letzte: atze48
Statistiken
  • Beiträge insgesamt: 663317
  • Themen insgesamt: 53656
  • Heute online: 330
  • Am meisten online: 2287
  • (22.01.2020, 19:20:24)
Benutzer Online
Mitglieder: 2
Gäste: 221
Gesamt: 223

Autor Thema:  Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?  (Gelesen 885 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Re: Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?
« Antwort #15 am: 22.05.2020, 14:02:26 »
Off-Topic:
Woher willst Du denn wissen, dass das der erste Teilschritt ist? Möglicherweise bin ich schon viel weiter, als Du denkst und es ist nur noch der letzte Schritt zum Erfolg?
Es war geraten und scheinbar habe ich getroffen, sonst hättest du dich für den Rest meines Beitrages interessiert. ;D

PS: Du bist nicht zufällig StefanP?
https://forum.ubuntuusers.de/topic/lvm-luks-eine-2-systempartition-einrichten/
« Letzte Änderung: 22.05.2020, 14:13:45 von get_well(soon) »

Re: Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?
« Antwort #16 am: 22.05.2020, 14:39:15 »
Es war geraten und scheinbar habe ich getroffen, sonst hättest du dich für den Rest meines Beitrages interessiert.

Doch - ich habe mich auch für den Rest Deines Beitrags interessiert. Ich habe nur nicht darauf geantwortet, weil er mir zeigt, dass Du Dich mit dem Thema m. e. noch nicht auseinandergesetzt hast. Aber da Du darauf ansprichst, sollst Du auch die Antwort haben.

Man kann GRUB auch so konfigurieren, dass /boot sich innerhalb von LUKS befinden darf. (Ob im Wurzelverzeichnis oder als Partition wäre dabei nebensächlich.)

Das was Du da schreibst kann unmöglich funktionieren! Beim Start ist das gesamte System verschlüsselt. Wenn die /boot innerhalb des Systems liegt, ist auch die verschlüsselt! In so fern kann das System gar nicht starten, da Grub gar keine Startdateien findet. Die /boot muss zwingend immer unverschlüsselt sein, damit Grub die Startdateien ansprechen kann. Wenn /boot die Kontrolle hat, wird von dort aus das Passwort abgefragt und erst dann die Systempartition entschlüsselt.

Solltest Du der Ansicht sein, dass ich damit unrecht habe und es einen anderen Weg gibt, dann klär mich bitte auf. Ich bin gern bereit etwas dazu zu lernen.

PS: Du bist nicht zufällig StefanP?

Nein - bin ich nicht! Ich kannte auch den Beitrag bisher nicht, aber ich Danke Dir dafür, dass Du mich darauf aufmerksam gemacht hast. Möglicherweise ist etwas Brauchbares für mich darin enthalten.

Re: Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?
« Antwort #17 am: 22.05.2020, 14:54:12 »
Das was Du da schreibst kann unmöglich funktionieren!
Ungläubiger Thomas. ;)

Zitat
Solltest Du der Ansicht sein, dass ich damit unrecht habe und es einen anderen Weg gibt, dann klär mich bitte auf. Ich bin gern bereit etwas dazu zu lernen.
Das klingt doch schon anders. Ist in dem verlinkten Thema auch enthalten.
https://forum.ubuntuusers.de/post/8669683/
Und ich habe das auf meinem Desktop ausprobiert und es funktioniert. Es gibt nur einen Nachteil: Wenn man sich beim Passwort der Verschlüsselung vertippt, dann gibt es keine Wiederholmöglichkeit, sondern das System strandet unbrauchbar. Da am Dateisystem aber noch nichts eingebunden sein kann, sollte ein Warmstart kein Problem bereiten.

Zitat
… Ich kannte auch den Beitrag bisher nicht, aber ich Danke Dir dafür, dass Du mich darauf aufmerksam gemacht hast. Möglicherweise ist etwas Brauchbares für mich darin enthalten.
Naja, das dreht sich im Kreis und endet im Leerlauf.

Re: Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?
« Antwort #18 am: 22.05.2020, 15:18:09 »
Hi :)
Zitat
Es hat absolut keine Nachteile und langsamer wird das System dadurch auch nicht
das unterschreibe ich ganz und gar nicht...

natürlich kann man einfach verschlüsseln...
das sollte aber nur jemand machen der sich bereits sehr gut mit dem system auskennt, sonst gibt es gewaltige probleme im fehlerfall.

Re: Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?
« Antwort #19 am: 22.05.2020, 18:02:20 »
@ole_hilja
Warum gerade VeraCrypt? Linux bringt doch von Hause aus die Verschlüsselung aus dem Kernel mit. Das ist mit Sicherheit schneller als ein externes Programm. Warum soll man die Linux Kernel-Funktionen, die zudem auch noch mehr Möglichkeiten bietet als Veracrypt, nicht nutzen?
VeraCrypt, da für mich folgendes wichtig ist: Datensicherheit inkl. einfacher Datensicherung, die Container sind systemübergreifend verwendbar und mein OS ist bei einer Störung einfach zu reparieren. Da ich auf einem Produktivrechner sowieso mind. 2 Tuxe habe, benötige ich hierfür meist noch nicht einmal ein Livesystem. Mit einsprechenden Einstellungen im Bios/UEFI und dortigem gutem Passwort startet keiner so leicht ein Livesystem. Das System zu verschlüsseln macht daher nur Sinn, wenn ich Angst haben muss, dass mir jemand die SSD(HDD ausbaut um mein System zu manipulieren.

Re: Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?
« Antwort #20 am: 22.05.2020, 20:03:06 »
@get_well(soon)

Wieso ungläubiger Thomas?

Du verweist auf einen Artikel, in dem prinzipiell auch nichts anders steht als das, was ich behauptet habe, nämlich dass die Startinstanz nicht verschlüsselt werden darf.

Zugegeben, es muss nicht die ganze /boot sein, da hast Du recht!

Natürlich kann man, wie dort beschrieben, auch /boot noch zerpflücken und die Teile daraus, die nicht unmittelbar zur Entschlüsselung erforderlich sind, weiter im verschlüsselten System lassen. Ich verstehe jedoch nicht, wieso dass mein Problem lösen oder vereinfachen sollte.
Das Problem ist doch im Prinzip das Gleiche und wird nur auf eine andere m. e. noch kompliziertere Ebene gestellt.

Anhand der wenigen sachlich bezogenen Antworten, ist doch zu erkennen, dass die Frage danach, wie man ein System mit interner /boot in ein System mit externer /boot überführt, nicht unbedingt von jedem beantwortet werden kann.

Ich müsste im anderen Fall sonst die Frage gestellt haben, wie man aus einem kompletten System einige systemrelevante Teile des Kernels herausreißt und extern speichert. Du möchtest doch hoffentlich nicht andeuten, dass es in dem Fall der Fragestellung die Lösungen und Antworten nur so gehagelt hätte?


@ehtron

das sollte aber nur jemand machen der sich bereits sehr gut mit dem system auskennt

Das hat m. e. damit recht wenig zu tun. Ich mache das doch nicht zum Spaß!
Was meine 2 Rechner zu Hause betrifft, da benötige ich auch keine Verschlüsselung. Ein weiteres Notebook geht mit mir außer Haus, da ich jemand aus dem, von mir beschriebenen Personenkreis bin.
Ob ich mich nun gut auskenne oder nicht, für dieses Notebook ist die Verschlüsselung einfach eine Notwendigkeit, wenn ich nicht irgendwann mit einem dummen Gesicht dastehen will!

.... sonst gibt es gewaltige probleme im fehlerfall.

Ich verstehe Deine Bedenken - ehrlich gesagt - nicht so recht. Aber möglicherweise sehe ich irgendwelche Zusammenhänge noch nicht. Ich möchte deshalb meine Sicht der Dinge einmal darstellen.

Ist-Stand:
Beim vorhandenen unverschlüsselten System mache ich vor jeder größeren Änderung einen Schnappschuss vom System mit Timeshift und ab und zu auch mit fsarchiver, /home sowieso mit Back in Time. Wenn ich mir das System zerschieße, gehe ich einfach auf den letzten, funktionierenden Stand zurück. Ich habe sofort wieder ein laufendes System.

Wenn ich wissen will, warum genau das System zerschossen wurde, die Schritte, die zum Zerschießen geführt haben, einfach Step by Step wiederholen.

Die Vorgehensweise hat sich bislang bestens bewährt.

Beim verschlüsselten System:
Falls das System noch startet, mache ich das wie beim unverschlüsselten System mit Timeshift oder fsarchiver und fertig.

Falls das System nicht mehr starten sollte, boote ich ein Live-System. Danach sind 2 Fälle zu unterscheiden:

1. die verschlüsselte Partition lässt sich entschlüsseln. Das kann bei mir (xfce) sogar der Dateimanager Thunar mit einem einzigen Mausklick auf die verschlüsselte Partition: dann wie üblich mit Timeshift oder fsarchiver und fertig.

2. die verschlüsselte Partition lässt sich nicht mehr entschlüsseln: Die Verschlüsslung wird vom Live-System neu angelegt und die Partition entschlüsselt (keine 5 Minuten Aufwand): dann wie üblich mit Timeshift oder fsarchiver und fertig.

Wenn ich wissen will, warum das System zerschossen wurde, die Schritte, die zum Zerschießen geführt haben, einfach Step by Step wiederholen, ggf. im unverschlüsselten System, falls meine System-Transformation, nach der ich ja suche, funktionieren sollte.

Habe ich da irgend etwas übersehen?


@ole_hilja

... die Container sind systemübergreifend verwendbar

Nun gut, wenn Du das auch unter Windows öffnen möchtest, ist VeraCrypt sicherlich nicht die schlechteste Lösung. Systemübergreifendes öffnen war aber vorliegend nicht die Aufgabenstellung. In so fern war auch nicht zu erkennen, warum es ausgerechnet VeraCrypt sein soll.

Re: Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?
« Antwort #21 am: 22.05.2020, 20:07:19 »
Letztlich muss man abwägen, ob die Vorteile von Verschlüsselung im individuellen Fall die Nachteile (die es gibt) überwiegen.
Falls das der Fall ist, kann man überlegen, welche Methode am besten im individuellen Fall geeignet ist.
Und keine Ideologie daraus machen.

Re: Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?
« Antwort #22 am: 22.05.2020, 20:30:45 »
Anhand der wenigen sachlich bezogenen Antworten, ist doch zu erkennen, dass die Frage danach,
wie man ein System mit interner /boot in ein System mit externer /boot überführt, nicht unbedingt von jedem beantwortet werden kann.

die sind alle lieb, nett und wollen helfen… auch wenns vielleicht deinen blutdruck steigen lässt^^

im prinzip ist das ganz einfach…1. du verkleinerst dein(e) partitionen soweit, daß /boot platz findet. du weißt, das kostet viel zeit und ist gefährlich, neu installieren wär die schnellste lösung.
1.1 mach /boot groß genug, bei jedem kernel update wird eine neue initramfs angelegt und das summiert sich mit der zeit ganz schön…
2. formatiere das neue /boot
3. passe die /etc/fstab an
4. lösche alles was sich in boot befindet
5. unmount /boot
6. mounte die neue partition auf den jetzt leeren boot ordner
6. mount /dev/sda? /boot
7. grub-install -o /dev/sda?
8. kernel neu installieren
9. live system bereit halten und neu starten


meine meinung: ich würde /boot/ nicht auslagern, das ist auf die dauer unbequem und ein sicherheitsgewinn hast auch nicht,
home verschlüsseln reicht eigentlich, wenn du nicht grad super wichtige staatsgeheimnis auf dem laptop hast,
aber ein root passwort würde ich unbedingt setzen… früher konntest du dich ohne passwort als root anmelden, und hättest
jeden nur erdenklichen schabernack treiben können, ob das heut noch so ist, weiß ich nicht.

Re: Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?
« Antwort #23 am: 22.05.2020, 20:43:05 »
Du verweist auf einen Artikel, in dem prinzipiell auch nichts anders steht als das, was ich behauptet habe, nämlich dass die Startinstanz nicht verschlüsselt werden darf.
Nein, ich habe zur Diskussion zu dem Artikel verlinkt und dort ist beschrieben, dass /boot auch innerhalb der Verschlüsselung liegen kann. Und das würde dein Problem /boot auf eine extra Partition auszulagen elegant umgehend.

PS: Ich habe Faden nochmal gelesen und hatte damals den Gedanken der Diskussion etwas weiter gedacht. Wenn /boot verschlüsselt sein darf, dann braucht es auch keine separate Partition dafür. Also habe ich nur eine LUKS-Partition mit ext4 darin (Auf LVM auch verzichtet).
« Letzte Änderung: 22.05.2020, 21:19:29 von get_well(soon) »

Re: Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?
« Antwort #24 am: 22.05.2020, 21:36:57 »
un gut, wenn Du das auch unter Windows öffnen möchtest, ist VeraCrypt sicherlich nicht die schlechteste Lösung.
Leider eine vollkommene Fehlinterpretation. Die 98er MüllEdition war das letzte Fenstersystem das ich im Einsatz hatte. Vll mal in Richtung BSD oder Schottland denken.

Re: Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?
« Antwort #25 am: 22.05.2020, 22:37:15 »
Letztlich muss man abwägen, ob die Vorteile von Verschlüsselung im individuellen Fall die Nachteile (die es gibt) überwiegen.
@aexe, soll jetzt wirklich nicht kritisch gemeint sein, sondern eher der eigene Blickwinkel aufgezeigt werden, wenn ich Deinen Satz umschreibe, in etwa:
Zitat
"Letztlich muss man abwägen, ob die Vorteile eines unverschlüsselten Systems im individuellen Fall die Nachteile (die es gibt) überwiegen"  ;)

Re: Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?
« Antwort #26 am: 22.05.2020, 23:00:00 »
Habe ich da irgend etwas übersehen?
Hardwaredefekt. 

Das macht externe Sicherung unabdingbar.

Re: Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?
« Antwort #27 am: 22.05.2020, 23:10:59 »
Hardwaredefekt.

Das macht externe Sicherung unabdingbar.
Wo ist das Problem, bei einem verschlüsseltem System habe ich selbstverständlich eine Sicherung, aber auch auf einer verschlüsselten internen oder externen Festplatte
oder beides. (persönlich habe ich dreifache Sicherung)

Re: Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?
« Antwort #28 am: 23.05.2020, 08:34:04 »
Hallo zusammen!

Allen Unkenrufen zum trotz, das die Systemtransformation nicht funktionieren wird, ist es mir gelungen, ein unverschlüsseltes fertig installiertes System in ein gleiches, verschlüsseltes System ohne Neuinstallation und auch ohne neue Konfiguration zu klonen.

Es geht also doch!

Ob meine Frage ans Forum damit beantwortet ist, kann ich allerdings noch nicht mit Gewissheit sagen. Den erfolgversprechenden Ansatz von Birkler (vielen Dank dafür) habe ich noch nicht getestet.

Ich bin nämlich, parallel dazu, noch einen anderen, alternativen Weg gegangen, bei dem die Kenntnis nach dem Ablauf der Boot-Sequenzen und Auslagerung der /boot ausgeklammert wird und überhaupt keine Rolle spielt. Dafür ergeben sich allerdings andere Hindernisse, welche ich jedoch selbst beseitigen konnte. Dieser Weg, obwohl er sicherlich als der kompliziertere erscheint, führte bei mir aber zuerst zum Erfolg.

Dieser Weg der Systemtransformation geht von einem ganz anderen Gedankenansatz aus:

Gegeben ist ja ein bereits installiertes, unverschlüsseltes System. In diesen System ist zwangsläufig alles an Dateien enthalten, was für ein lauffähiges, unverschlüsseltes System incl. der individuellen Programme, .deb, PPA’s, Konfiguration, User-Konten, etc. erforderlich ist.

Als Zwischenschritt wird ein verschlüsseltes System in der Grundkonfiguration als Dummy-System erstellt. In diesem verschlüsselten Dummy-System ist zwangsläufig alles enthalten, was für ein verschlüsseltes System erforderlich ist, jedoch ohne den individuellen Part.

Wenn beide Systeme von selben Rechner aus erreichbar sind (auf anderer Partition oder anderer HDD), dann hat der Rechner auch alles an Informationen zur Verfügung, was zur Systemtransformation erforderlich ist, jedoch verteilt auf 2 Systeme.

Nun wird das unverschlüsselte System gestartet und das verschlüsselte Dummy-System gemountet. Damit hat man die erforderliche Gesamtinformation zur Laufzeit in einem System verheiratet.

Jetzt starte ich je ein Terminal im unverschlüsselten System und über chroot ein zweites im verschlüsselten Dummy-System jeweils als root. Ich kann also parallel in beiden Systemen unterwegs sein, um die gegenseitig unterschiedlichen Informationen zu synchronisieren.

Was jetzt folgt ist ein händischer Merge-Vorgang der zu 90% eine Abfolge von kopieren, einfügen und löschen darstellt. Dabei werden ganze Ordner, einzelne Dateien und an einigen Stellen auch nur Inhalte von Dateien ineinandergeschoben.

Als Endergebnis erhält man das gewünschte verschlüsselte System als Klon des unverschlüsselten Systems.

Wichtig ist dabei, dass man in der Abfolge die richtige Aktion auf dem jeweils richtigen Terminal durchführt, denn sonst erhält man statt eines funktionsfähigen Klons ein geschrottetes System.
Nachteilig auf diesem Weg zum Erfolg war, dass das System innerhalb des Merge-Vorgangs nicht mehr zu starten gewesen wäre, sondern erst nach Abschluss wieder bootfähig und funktionsfähig wird. Es ist deshalb nicht möglich, auf dem Weg irgendwelche Zwischenstände zu überprüfen. Es hat, aus diesem Grund, einiges an "trial and error" gegeben, wie sich jeder bestimmt vorstellen kann.

Anfänglich habe ich dabei noch darauf geachtet, dass die Update-Stände in beiden Systemen exakt übereinstimmen. Wie ich feststellen konnte, ist das aber überhaupt nicht erforderlich.
Wenn ich das Dummy-System nach der Erstellung absolut unangetastet lasse, funktioniert dieser Weg auch und ich kann mir für den Klon dann sogar aussuchen, ob ich z. B. mit dem aktuellen Kernel des unverschlüsselten Systems oder mit dem alten Kernel des Dummy-Systems fahren möchte. Diese Möglichkeit für ein Kernel -Upgrade oder -Downgrade kann man möglicherweise noch einmal an anderer Stelle für einen Reparaturvorgang nutzen.

Eine Detailbeschreibung darüber, welche Datei zu welcher Zeit auf welchem Terminal verschoben, kopiert oder angepasst wird, würde eine längere Abhandlung darstellen.

Ich gehe auch davon aus, dass dieser alternative Weg noch nicht optimal ist, sondern nur einen ersten Erfolg darstellt und das es auch besser wäre, den zuvor eingeschlagenen Weg weiter zu verfolgen, die /boot zuerst auszulagern. Das habe ich aber zeitlich noch nicht machen können und ich werde in der nächsten Zeit auch nicht die Gelegenheit dazu haben, denn das nun verschlüsselte Notebook geht mit mir wieder in die Ferne.

Allen Helfenden nochmals meinen Dank!


@birkler
Auf Deinen Beitrag möchte ich nochmals individuell eingehen, damit hier kein falscher Eindruck entsteht.

die sind alle lieb, nett und wollen helfen…

Dessen bin ich mir absolut bewusst!

Wenn ich geschrieben habe, dass es nur wenig sachbezogene Antworten gab, dann nicht deshalb, weil ich andeuten wollte, dass keiner helfen will, sondern nur deshalb, weil ich daran gesehen habe, dass die Frage anscheinend eine gewisse Komplexität in sich trägt und zudem einen Spezialfall betrifft. Die meisten User werden sich sicherlich zuvor noch nicht mit dem Thema auseinandergesetzt haben - warum auch, wenn kein Erfordernis vorhanden ist? Mit der Erstellung eines Klons bei gleichzeitiger Transformation in ein verschlüsseltes System schon erst recht nicht.

Deine Detail-Anleitung zur Auslagerung von /boot ist für mich viel Wert. Ich gehe davon aus, dass mein oben beschriebene Weg, über ein Dummy-System mit Merge-Vorgang, viel zu kompliziert und umständlich ist. Das geht bei vorzeitiger Auslagerung von /boot bestimmt noch besser und schneller.

Ich werde zu passender Zeit die Angelegenheit auf diesem Weg deshalb auch noch weiter verfolgen.

Re: Linux mit/ohne Boot-Partition. Wo liegen die Unterschiede?
« Antwort #29 am: 23.05.2020, 08:55:29 »
@BR01
Auf Deine Antwort trifft m. e. genau das zu, was ich unter @Alle geschrieben habe.
Von mir aus kannst du machen was du willst. Auch ist deine Meinung für mich nicht von Relevanz. Geschweige, dass jene mich irgendwie beeinflusst.
Hatte ich ja schon @Hollex geschrieben, dass mich sein Ansinnen "nicht juckt".
Wenn aber versucht wird, einen unvoreingenommen neutralen post (#21) zu beeinflussen, wie mit #25 geschehen, wo die Fragestellung dazu umgekehrt wird, dann ist für mich der Zeitpunkt erreicht, mir zu sagen, dogmatische Weltverbesserei mit Hang eine Ideologie daraus zu machen.
Machste nix dran.

Jeder ist für sich selbst verantwortlich. Und dabei bedarf es keinen, der andere indoktriniert. Auch was hiesiges Thema anbelangt.
Und wenn die ganze Sache (Linux Installation) dabei für unbedarfte bzw. Linuxanfänger nur noch komplizierter wird (Voll-Systemverschlüsselung), dann lieber selbst dazu sich seine Gedanken machen, abwegen, und zu einer eigenen Entscheidung kommen. Da kann es durchaus sein, dass der ein- oder andere ganz von Verschlüsselung absieht und ein Teil nur das home verschlüsselt. So sei es...
Ohne sich weiter von "begeisterten Verschlüsselungsfe..." beeinflussen zu lassen.
Für mich ist das halt nix, wird nicht gebraucht und hat sich erledigt/kein Thema im Alltag.
Nur hattest du überlesen, dass ich in der "ich Form" schrieb, Aber ok, keine Empfehlung für Dritte zu Verschlüsselung gab. Wird es auch nicht von mir geben.
Und allgemeiner die Nachteile der Verschlüsselung beschrieb. Und leichter zu realisierende "Absicherungen" auch etwas beschrieb.