System verschlüsseln mittels Live-Server
Artikel für fortgeschrittene Anwender
Dieser Artikel erfordert mehr Erfahrung im Umgang mit Linux und ist daher nur für fortgeschrittene Benutzer gedacht.
Hinweis:
Dieses Howto wurde von fleet_street erstellt. Bei Problemen mit der Anleitung melde dies bitte in der dazugehörigen Diskussion und wende dich gegebenenfalls zusätzlich an den/die Verfasser des Howtos.
Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:
Ubuntu 24.04 Noble Numbat
Du möchtest den Artikel für eine weitere Ubuntu-Version testen? Mitarbeit im Wiki ist immer willkommen! Dazu sind die Hinweise zum Testen von Artikeln zu beachten.
Problembeschreibung¶
Mit der in Ubuntu 23.04 eingeführten und mit 24.04 nochmals umgebauten sowie umbenannten Installationsroutine kann ein verschlüsseltes System nicht mehr nach Benutzervorstellungen eingerichtet werden. Oder kurz: Die Anleitung System verschlüsseln ist nicht anwendbar.
Im Forum wurde zwar immer wieder die Möglichkeit einer Serverinstallation ins Spiel gebracht, aber wie sich gezeigt hat ist dies nur bei mehreren Datenträgern einfach möglich. Man wählt Partitionen des einen Datenträgers für den Systemstart aus (EFI bzw. bios_grub) sowie eine Partition für /boot und verwendet den gesamten anderen Datenträger für LUKS/LVM mit benutzerdefinierter Aufteilung. Soll jedoch alles auf einen Datenträger, ist dies allein mittels Live-Server nicht zu bewerkstelligen.
Anleitung¶
Hier wird in Kürze eine Vorgehensweise mittels Desktop-Livemedium zur Vorbereitung sowie Server-Livemedium zur Installation gezeigt um ein LUKS/LVM samt aller für den Startvorgang benötigten Partitionen auf einem Datenträger unter zu bekommen.
Hinweis:
Die Beschreibung gilt nur für eine Neuinstallation. Mit einer bestehenden, verschlüsselten Partitionierung funktioniert es leider nicht.
Vorbereitung¶
Als Vorbereitung wird ein Livemedium nach Wahl gestartet und werden die grundlegenden Partitionen erstellt. Das kann grafisch mit GParted (GTK) oder KDE Partitionsverwaltung* (Qt) geschehen.
Auf einem frischen Datenträger muss zuerst eine Partitionstabelle erstellt werden. Gewählt wird sinnigerweise nicht das alte msdos, sondern das modernere GPT. Im nächsten Schritt werden vier Partitionen erstellt, bspw.
1M bzw. 8M* - nicht formatiert
100M - fat32
1234M - nicht formatiert
Rest - nicht formatiert
* Serviervorschlag; zu anwendbaren Größen siehe Manuelle Partitionierung.
Diese Änderungen müssen erst angewendet werden, damit als nächstes die Markierungen/Eigenschaften* gesetzt werden können.
1M bzw. 8M* - unformatiert - bios_grub
100M - fat32 - esp bsw. bootfähig*
Je nach verwendetem Programm muss die letzte Änderung wieder angewendet werden. Das Ergebnis kann man evtl. noch mit der folgenden Ausgabe vergleichen (daher unabhängig von der Distro im Terminal):
sudo fdisk -l
Disk /dev/vda: 100 GiB, 10737418240 bytes, 20971520 sectors Units: sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disklabel type: gpt Disk identifier: AECED288-D95D-4DC5-A5B3-044230176E6C Device Start End Sectors Size Type /dev/vda1 2048 18431 16384 8M BIOS boot /dev/vda2 18432 223231 204800 100M EFI System /dev/vda3 223232 2750463 2527232 1,2G Linux filesystem /dev/vda4 2750464 20963327 18212864 98,7G Linux filesystem
Die Laufverwerksbezeichnung vda, sdb, nvme0n3 usw. ist natürlich von der Art des Datenträgers abhängig und hier nur symbolisch. Nun kann der Rechner heruntergefahren und das Desktop-Livemedium entnommen werden.
Installation¶
Nun erfolgt der Start mit dem Server-Livemedium. Zu den ersten Dialogen kann man im Artikel Server Installation nachlesen; mit folgenden Abweichungen: Zum einen beim Umfang der Installation und der Zuteilung der eben vorbereiteten Partitionen.
Möchte man hinterher eine Desktopumgebung installieren ist es hilfreich nicht Ubuntu Server, sondern Ubuntu Server (minimized) auszuwählen. Sollte man offline installieren, kann man dem Spiegelserver trotzdem schon manuell ein "de." für den deutschen Spiegel voranstellen.
Partition 3 als /boot¶
Nach der Auswahl von "Benutzerdefinierte Partitionierung" geht es hier nun richtig los: Je nach Startvorgang wird die Installation für GRUB automatisch als bios_grub
bzw. efi
gefunden.
Unter "Verfügbare Geräte" wählt man nun die dritte Partition sowie "Edit", als Format ext4 und als Einhängepunkt /boot.
Partition 4 als LUKS/LVM¶
Weiter geht es mit "Datenträgergruppe (LVM) anlegen". Der Name ist frei wählbar, die Vorbelegung tut es genauso – schließlich bekommt man diesen im installierten System so gut wie nie zu Gesicht. Als Gerät die vierte Partition ausgewählt, die Verschlüsselung aktiviert und ein Kennwort vergeben.
LVs nach Wunsch /, /home, usw.¶
Nun wird "freier Speicherplatz" sowie "Logisches Volumen erstellen" gewählt. Auch hier ist der Name frei wählbar; im Problemfall ist es freilich hilfreich, wenn der Name die Verwendung anklingen lässt. Es wird eine Größe festgelegt, das Dateisystem sowie der Einhängepunkt. Dies wiederholt man für alle gewünschten „Partitionen“ (besser: LVs). Beim letzten kann mit die Angabe der Größe weglassen und es wird automatisch der verbliebene Rest genommen.
Kontrolle¶
Zur Kontrolle schaut man bei "Verwendete Geräte", ob alles passt.
Systemstart bios_grub bzw. efi
dritte Partition als /boot
vierte Partition als LVM
sowie darüberstehen die im LVM gewünschten LVs samt Einhängepunkt
Wenn alles passt unten mittels "Erledigt" bestätigen, aber das dürfte durch die vorangegangenen Abfragen bereits erprobt sein.
Zu den abschließenden Dialogen kann wieder der Artikel Server Installation zu Rate gezogen werden. Im Anschluß kann man im neu gestarteten System das Metapaket der gewünschten Desktopumgebung installieren.