LVM2 + DM-Crypt/LUKS neben Windows Vista

[MCMXI]

Hallo zusammen,

Nachdem ich Dokumente über FHS, Partitionierung, DM-Crypt/LUKS, LVM2 und man-pages über
einige unix-tools gelesen habe, beschlosse ich ein komplett verschlüsseltes Debian-System neben Windows Vista
zu installieren. Ich habe im Folgenden die einzelnen Schritte meines Vorgehenweise aufgezählt und diverse
Frage zu den einzelnen Komponenten gestellt. Ich würde mich auf jeden Hilfe freuen, weil ich eigentlich noch
_KEINE_ Ahnung von Linux habe .

Frage1: offen
Frage2: beantworted
Frage3: offen
Frage4: offen
Frage5: offen
Frage6: offen
Frage7: offen
Offne Fragen: -

HDD: SCSI-200GB
OS: Vista, Debian LennyBeta2 Installer
-------------------------------
Partition.1 NTFS Primary (70GB) #/dev/sda1
Partition.2 NTFS Primary (30GB) #/dev/sda2
Partition.3 LVM2 Primary (95GB) #/dev/sda3 [Encrypted]
Partition.4 Extended (500MB) #/dev/sda4 [/boot]
Partition.5 Extended (500MB) #/dev/sda5 [Pre-Linux]
-------------------------------
1. Installation von Vista auf Partition.1
2. Partition 5 formatieren

Code: Alles auswählen

#mke2fs -v -O dir_index,filetype,has_journal,sparse_super

3. Minimal System auf Partition 5 installieren
3.1 sources.list editieren

Code: Alles auswählen

#nano /etc/apt/sources.list
deb    http://ftp.de.debian.org/debian lenny main testing contrib non-free
#apt-get update

3.2 LVM2 und DM-Crypt installieren

Code: Alles auswählen

#apt-get install lvm2 cryptsetup

4. Fehlerhafte Sektoren überprüfen und Random data hinzufügen

Code: Alles auswählen

#badblocks -svw -c[?] /dev/sda3
#dd if=/dev/urandom of=/dev/sda3

Frage1: In wie fern ist diesen Schritt sinnvoll? /dev/sda3 wird später mit luksFormat formatiert.

5. /dev/sda3 verschlüsseln

Code: Alles auswählen

#cryptsetup -c aes-cbc-essiv:sha256 -y -s256 luksFormat /dev/sda3

Frage2: Was hat keysize (-s) auf sich? Je höher der Wert desto besser ist [$WAS]?
Antwort: keysize ist durch Verschlüsselungsmethode eingeschränkt. Da ich aes-cbc-essiv:sha256 verwende, kann ich auch bei keysize maximum 256 eintragen. Defaultwert: 128

6. /dev/sda3 öffnen

Code: Alles auswählen

#cryptsetup luksOpen /dev/sda3 anonymous

Physical (encrypted) /dev/sda3
Logical (unencrypted) /dev/mapper/anonymous

7. Anpassung lvm.conf
NoPaste lvm.conf
Gründe stehen in Quelle
7.1 LVM2 PV und VG angelegen

Code: Alles auswählen

#pvcreate /dev/mapper/anonymous
#vgcreate anonymous /dev/mapper/anonymous

8. LVs auf VG erzeugen

Code: Alles auswählen

#lvcreate -L 1000 -n root anonymous		#/		(1 GB)
#lvcreate -L 8000 -n tmp anonymous		#/tmp	(8 GB)
#lvcreate -L 20000 -n home anonymous	#/home	(20GB)
#lvcreate -L 10000 -n var anonymous		#/var	(10GB)
#lvcreate -L 20000 -n usr anonymous		#/usr	(20GB)
#lvcreate -L 40500 -n dump anonymous	#/dump	(40,5GB)
#lvcreate -L 2000 -n swap anonymous		#swap	(2 GB)

Frage3: Habt ihr bessere Partitionierungsvorschläge?

9. Dateisystem auf LVs erzeugen

Code: Alles auswählen

#mke2fs -v -m[?] -O dir_index,filetype,has_journal,sparse_super /dev/sda4
#mke2fs -v -m[?] -O dir_index,filetype,has_journal,sparse_super /dev/anonymous/root
#mke2fs -v -m[?] -O dir_index,filetype,has_journal,sparse_super /dev/anonymous/tmp
#mke2fs -v -m[?] -O dir_index,filetype,has_journal,sparse_super /dev/anonymous/home
#mke2fs -v -m[?] -O dir_index,filetype,has_journal,sparse_super /dev/anonymous/var
#mke2fs -v -m[?] -O dir_index,filetype,has_journal,sparse_super /dev/anonymous/usr
#mkswap /dev/anonymous/swap

Frage4: Welchen Wert soll ich -m passend zu meine Partitiongröße zuweisen?

10. Initrd erzeugen damit später das später encrypted System starten kann
NoPaste initrd
10.1 Laufendes System auf encrypted Partition mit LVM2 kopieren

Code: Alles auswählen

#mkdir /anonymous
#mount /dev/anonymous/root /anonymous
#mkdir /anonymous/boot
#mkdir /anonymous/tmp
#mkdir /anonymous/home
#mkdir /anonymous/var
#mkdir /anonymous/usr
#mkdir /anonymous/dump
#mkdir /anonymous/dump/vista/c
#mkdir /anonymous/dump/vista/d
#mount /dev/sda4 /anonymous/boot
#mount /dev/anonymous/tmp /anonymous/tmp
#mount /dev/anonymous/home /anonymous/home
#mount /dev/anonymous/var /anonymous/var
#mount /dev/anonymous/usr /anonymous/usr
#mount /dev/anonymous/dump /anonymous/dump

10.2 Switch to single user mode (Gründe siehe Quelle)

Code: Alles auswählen

#init s									 
#cp -av / /anonymous/
#rm -fr /anonymous/tmp/*
#rm -fr /anonymous/proc/*
#rm -fr /anonymous/sys/*
#rm  /anonymous/etc/mtab				
Mount-table wird gelöscht

Frage5: Wird mount-table gelöscht, weil mtab später mit fstab in Konflikt geraten wird?

11. Anpassung der Partitionstabelle
#nano /anonymous/etc/fstab

Code: Alles auswählen

# device name   		mount point     			fs-type     options					dump-freq 	pass-num
/dev/sda1				/anonymous/dump/vista/c		ntfs-3g		rw,umask=0007			0			0
/dev/sda2				/anonymous/dump/vista/d		ntfs-3g		rw,umask=0007			0			0
/dev/hdc				/anonymous/media/cdrom		auto		ro						0			0
/dev/sda4				/boot						ext3		defaults				0			2
/dev/anonymous/root		/anonymous					ext3		defaults				1			1
/dev/anonymous/tmp		/anonymous/tmp				ext3		defaults				0			2			
/dev/anonymous/usr		/anonymous/usr				ext3		defaults				0			2	
/dev/anonymous/var		/anonymous/var				ext3		defaults				0			2
/dev/anonymous/home		/anonymous/home				ext3		defaults				0			2
/dev/anonymous/dump		/anonymous/dump				ext3		defaults				0			0
/dev/anonymous/swap		none						swap		sw						0			0
none					/anonymous/proc				proc		defaults				0			0
none					/anonymous/bus/usb			usbdevfs	defaults				0			0
none					/anonymous/dev/shm			tmpfs		defaults				0			0
none					/anonymous/dev/pts			devpts		mode=0620				0			0

Frage6: Ist mein fstab vollständig/richtig?

12. Anpassung des Bootloader

Code: Alles auswählen

#chroot /anonymous
#umount -a
#mount -a
#grub
#>root (hd0,3)
#>setup (hd0)
#>quit
#exit

Frage7: Klappt das Ganze überhaupt?


Mit freundlichen Grüßen

MCMXI


PS: George, hoffentlich verstehst du jetzt warum ich nicht zu deinem LAN kommen kann

Quellen:
LVM2 with DM-Crypt/LUKS
Linux FHS
lvm-package
LVM HowTo/Abbildung
[1]/etc/fstab
[2]/etc/fstab
Singel User mode
badblocks man
badblocks man
[1]cryptsetup
[2]crypsetup
mkfs man
Addison-Wesley: Linux (7. Auflage) Diverse Kapitel über LVM2, fstab, virtuelle Dateisysteme ...

//edit1: Fehler im code. Danke an pluvo!

[Danielx]

Hm, ich habe es mir jetzt nicht komplett durchgelesen, aber beim Etch-Installer wurde man gefragt, ob man ein verschlüsseltes LVM verwenden möchte, allerdings wurde dabei dann die komplette Festplatte gelöscht, wenn ich mich richtig erinnere.
Wie das jetzt beim Lenny-Installer ist, weiß ich nicht.
So wie du es beschrieben hast geht es aber prinzipiell auch irgendwie, habe es mir aber (gerade keine Zeit) nicht näher angesehen.
Ich habe dazu glaube ich mal eine genaue Anleitung gesehen, finde diese aber jetzt nicht wieder.

Gruß,
Daniel

[pluvo]

Hallo MCMXI,

na also das ist doch mal ein Beitrag

Gleich mal vorweg: Eine Festplatte kann nur 4 primäre Partitionen haben. Da ist dein erster Fehler. (Vielleicht hast du dich da auch nur vertippt.)
Also deine /boot-Partition ist /dev/sda5 und nicht /dev/sda4.

Jetzt meine eigentlich Fragen:

1. Machst du das alles weil du Spaß am experimentieren hast, oder näheres zum eigentlichen Vorgang erfahren willst?
   Denn der Debian-Installer kann alles was du da machst grafisch
   Also einfach Sachen anklicken und auswählen. Du musst die Shell nicht mal starten
2. Was ist dieses Pre-Linux?
3. Bei Punkt 4 zerstörst du das Vista-System! (Du löscht die komplette Festplatte)
4. Punkt 8: Du wirst unter /usr vermutlich niemals 20 GB voll kriegen. Aber ist ja eine LV, die sich wieder verkleinern lässt. (Wenn das kein Server wird, würde ich dir nur zu drei Logical Volumes raten: 1x "/", 1x Swap, 1x Home
5. Was ist Dump?

Ich bin nicht alle Punkte durchgegangen. Ist einfach zuviel Arbeit.

mfg pluvo

[MCMXI]

Danke pluvo

1. Mit Debian Installer habe ich versucht alles einzurichten. Aber ich habe die Optionen nicht gefunden wo ich die ganze Festplatte dabei nicht formatiert werden muss. Nun war ich irgendwie stinksauer und habe angefangen alles per Hand zu machen. Jetzt finde ich es sogar besser alles manuell einzurichten, weil ich dadurch mein System besser kenne.
2. Pre-Linux ist nur meine Bezeichnung für ein minimales Linux-System dass zuerst auf unencrypted Partition installiert und später auf encrypted Partition kopiert wird. Damit habe ich dann ein komplett verschlüsseltes System.
3. Habs korrigiert! Dank nochmals.
4. Portable Mainframe . Jetzt wird es lustig, ihr lacht euch bestimmt kaputt. Ich habe vor auf meinem _Notebook_ httpd, mysql, ircd-hybrid, newsserver, counterstrike1.6, teamspeak... SERVERS zu installieren . Ich will das Gefühl bekommen wie Administratoren verschiedene Servers verwalten.
5. Dump ist die eigentliche /home Verzeichniss. Darauf liegen dann backups, Dokumente, Bilder, share-Verzeichnisse wo clients auf meinem _Server_ ^^ ihre Dateien ablegen können.

Bezüglich der Partitionierung
Ich sehe irgendwie keine 4 Primary, sondern 3 Primary und 2 Extended Partitionen. Oder heisst es 3 Primary, 1 Extended und 1 Logical Partition? Ich glaube, dass ich dich bei Partition.5 mit der falschen? Bezeichnung Extended verwirrt habe. Oder ich habe gar nichts von wikipedia verstanden



Mit freundlichen Grüßen


MCMXI

[Danielx]

Ich sehe irgendwie keine 4 Primary, sondern 3 Primary und 2 Extended Partitionen.

Hm, du hast sda1 (NTFS), sda2 (NTFS), sda3 (verschlüsseltes LVM) als primäre Partition.
Jetzt hast du nur noch einen Platz in der Partitionstabelle frei, dort erstellst du eine erweiterte Partition (sda4) welche es ermöglicht die logischen Partitionen sda5 (boot) und sda6 (Pre-Linux) anzulegen.
Ich würde die erweiterte Partition auch als (eine spezielle) primäre Partition bezeichnen (da sie ja zwingend eine der vier möglichen Plätze für primäre Partitionen belegt).

edit2:
Also 4 primäre (davon eine erweiterte) Partition und zwei logische Partitionen.

So, ich habe jetzt die Anleitung wiedergefunden:
http://www.kaaden.franken.de/output/how ... index.html

Zitat aus der "Motivation":

Daher befasst sich dieses HOWTO damit, ein auf unverschlüsselten Dateisystemen aufbauendes Debian GNU/Linux (getestet mit Debian GNU/Linux 4.0 ("Etch"), Debian GNU/Linux 5.0 ("Lenny") und Debian GNU/Linux Unstable ("Sid")) in eines mit Festplattenverschlüsselung umzuwandeln.

(Hervorhebung von mir)

Also eigentlich genau das was du machen möchtest (du hast nur eben noch zusätzlich zwei NTFS Partitionen, das macht aber fast keinen Unterschied).

edit: Hoffentlich habe ich dich mit der Anleitung jetzt nicht verwirrt.

Gruß,
Daniel

[pluvo]

Viel Erfolg!

Solltest du es nicht schaffen, dann schau dir nochmal den debian-Installer an. Ich habe solche Szenarien schon des öfteren damit gemacht, und es ist wirklich einfach

mfg pluvo

[Danielx]

@pluvo:

Solltest du es nicht schaffen, dann schau dir nochmal den debian-Installer an. Ich habe solche Szenarien schon des öfteren damit gemacht, und es ist wirklich einfach

Also geht es jetzt doch mit dem Lenny-Installer das komplette Debian zu verschlüsseln ohne dabei die ganze Platte zu löschen (und damit eben auch Vista)?
Ich bitte um Aufklärung!

@MCMXI:

Jetzt finde ich es sogar besser alles manuell einzurichten, weil ich dadurch mein System besser kenne.

Ja, das hat was.

Ich habe mir die (von mir verlinkte) Anleitung nochmals genau durchgesehen und ich wundere mich immer noch über das seltsame Umkopieren des vorhandenen Debian auf die verschlüsselte Partition mit Hilfe von tar:

Code: Alles auswählen

tar -cSp --numeric-owner --atime-preserve -f - . | ( cd /tmp/new && tar -xSpv --atime-preserve -f - )

Aber das scheint wohl nicht ungewöhnlich zu sein, siehe z.B. hier:
http://de.opensuse.org/SDB:SuSE_Linux_umkopieren
http://linuxwiki.de/tar#head-137016a590 ... ecae522f49

Aber was ist da der Unterschied zum Kopieren mit "cp -av"?
Oder sieht das einfach nur mehr nach "Experte" aus?
Weiß da jemand genaueres?

Gruß,
Daniel

[MCMXI]

Vielen Dank euch beiden

Es klappt wunderbar mit Debian LennyBeta2 Installer. Die Optionen für encryption bekommt man erst später zu sehen. Ich werde mal screenshots posten wenn ich wieder zu Hause bin.

@Danielx
Die Anleitung von dir sieht genial aus aber ich bin daran gescheitert weil ich offenbar nicht logisch genug denken kann Ich werde trotzdem weiter daran arbeiten und versuche manuell Debian unter VMware zum laufen zu bringen.


MfG

MCMXI

[pluvo]

Also geht es jetzt doch mit dem Lenny-Installer das komplette Debian zu verschlüsseln ohne dabei die ganze Platte zu löschen (und damit eben auch Vista)?
Ich bitte um Aufklärung!

Ja, das geht. Ich könnte eine kurze Screenshot-Anleitung machen. Falls jemand das möchte?

mfg pluvo

[Danielx]

Ja, das geht.

Ah, finde ich sehr gut, dass das jetzt unter Lenny möglich ist.

Ich dachte eben es würde bei Lenny immer noch nicht gehen, wegen:

Debian LennyBeta2 Installer

In Verbindung mit:

Aber ich habe die Optionen nicht gefunden wo ich die ganze Festplatte dabei nicht formatiert werden muss.

Ich könnte eine kurze Screenshot-Anleitung machen. Falls jemand das möchte?

Wenn es nicht zu viel Mühe macht, warum nicht?

pluvo, du hast das (verschlüsseltes Debian ohne die ganze Platte zu löschen) ja immer mit dem Lenny-Installer gemacht?!
Oder hast du das etwa auch schon mit dem Etch-Installer hin bekommen?
Denn beim Etch-Installer habe ich diese Funktion trotz mehrmaliger Suche nicht gefunden, da wurde immer die ganze Festplatte gelöscht, wenn man ein verschlüsseltes LVM wollte (hoffentlich hatte ich da keine Tomaten auf den Augen )!

Es klappt wunderbar mit Debian LennyBeta2 Installer.

Welche CD/DVD hast du denn verwendet, weekly build?

Die Optionen für encryption bekommt man erst später zu sehen. Ich werde mal screenshots posten wenn ich wieder zu Hause bin.

Ja, das wäre schön.

Gruß,
Daniel

[pluvo]

pluvo, du hast das (verschlüsseltes Debian ohne die ganze Platte zu löschen) ja immer mit dem Lenny-Installer gemacht?!

Ja.

Oder hast du das etwa auch schon mit dem Etch-Installer hin bekommen?

Ja, sogar mit RAID!

Ich habe die Screenshots fertig. (Da hätte man vermutlich besser ein Video machen können )

Jetzt wollte ich gerade mit gthumb oder f-spot eine Web-Galerie erstellen. Doch irgendwie bekomme ich keine Slideshow hin, bei der man die Bilder nicht extra vergrößern muss. (Die Screenshots haben eine Auflösung von 808x628.)

Ansonsten lade ich gleich mal die Bilder in einem normalen Archiv hoch.

mfg pluvo

[pluvo]

So, ich habe mal mit gthumb eine Galerie erstellt:
http://kaoso.org/debian_installer-lenny/

(Bei meinem Test-System war kein anderes Betriebssystem vorhanden. Aber ich glaube ihr kriegt das trotzdem hin. Die Partitionstabelle musste ich anlegen, da noch keine da war. Bei einem Produktivstem sollte schon eine da sein )

Ich hoffe ihr könnte damit etwas anfangen und auch selber voll verschlüsselte Systeme nach euren Vorstellungen umsetzen

mfg pluvo

[Danielx]

Oder hast du das etwa auch schon mit dem Etch-Installer hin bekommen?

Ja, sogar mit RAID!

Oh, hätte ich doch lieber mal etwas intensiver probiert.

Da hätte man vermutlich besser ein Video machen können

Ja, das sind ja echt viele Bilder geworden.

Aber ich glaube ihr kriegt das trotzdem hin.

Kein Problem!

Ich muss entweder bei Bild 42 oder Bild 57 hängen geblieben sein, ich sehe mir das nochmals beim Etch-Installer an.

Ich hoffe ihr könnte damit etwas anfangen und auch selber voll verschlüsselte Systeme nach euren Vorstellungen umsetzen

Ja, danke für die Screenshots.
Ich lerne immer wieder (überraschend) Neues dazu.
Das war eine echte Wissenslücke...

Gruß,
Daniel

[Danielx]

So, ich habe es gleich mal getestet.
Und es hat sowohl mit Etch als auch mit Lenny funktioniert und die schon vorhandenen Partitionen blieben erhalten.

Danke nochmal!

Gruß,
Daniel