ubuntuusers.de

System verschlüsseln mittels Live-Server

Artikel für fortgeschrittene Anwender

Dieser Artikel erfordert mehr Erfahrung im Umgang mit Linux und ist daher nur für fortgeschrittene Benutzer gedacht.

Hinweis:

Dieses Howto wurde von fleet_street erstellt. Bei Problemen mit der Anleitung melde dies bitte in der dazugehörigen Diskussion und wende dich gegebenenfalls zusätzlich an den/die Verfasser des Howtos.

Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:


Du möchtest den Artikel für eine weitere Ubuntu-Version testen? Mitarbeit im Wiki ist immer willkommen! Dazu sind die Hinweise zum Testen von Artikeln zu beachten.

Problembeschreibung

Mit der in Ubuntu 23.04 eingeführten und mit 24.04 nochmals umgebauten sowie umbenannten Installationsroutine kann ein verschlüsseltes System nicht mehr nach Benutzervorstellungen eingerichtet werden. Oder kurz: Die Anleitung System verschlüsseln ist nicht anwendbar.

Im Forum wurde zwar immer wieder die Möglichkeit einer Serverinstallation ins Spiel gebracht, aber wie sich gezeigt hat ist dies nur bei mehreren Datenträgern einfach möglich. Man wählt Partitionen des einen Datenträgers für den Systemstart aus (EFI bzw. bios_grub) sowie eine Partition für /boot und verwendet den gesamten anderen Datenträger für LUKS/LVM mit benutzerdefinierter Aufteilung. Soll jedoch alles auf einen Datenträger, ist dies allein mittels Live-Server nicht zu bewerkstelligen.

Anleitung

Hier wird in Kürze eine Vorgehensweise mittels Desktop-Livemedium zur Vorbereitung sowie Server-Livemedium zur Installation gezeigt um ein LUKS/LVM samt aller für den Startvorgang benötigten Partitionen auf einem Datenträger unter zu bekommen.

Hinweis:

Die Beschreibung gilt nur für eine Neuinstallation. Mit einer bestehenden, verschlüsselten Partitionierung funktioniert es leider nicht.

Vorbereitung

Als Vorbereitung wird ein Livemedium nach Wahl gestartet und werden die grundlegenden Partitionen erstellt. Das kann grafisch mit GParted (GTK) oder KDE Partitionsverwaltung* (Qt) geschehen.

Auf einem frischen Datenträger muss zuerst eine Partitionstabelle erstellt werden. Gewählt wird sinnigerweise nicht das alte msdos, sondern das modernere GPT. Im nächsten Schritt werden vier Partitionen erstellt, bspw.

  • 1M bzw. 8M* - nicht formatiert

  • 100M - fat32

  • 1234M - nicht formatiert

  • Rest - nicht formatiert

* Serviervorschlag; zu anwendbaren Größen siehe Manuelle Partitionierung.

Diese Änderungen müssen erst angewendet werden, damit als nächstes die Markierungen/Eigenschaften* gesetzt werden können.

  • 1M bzw. 8M* - unformatiert - bios_grub

  • 100M - fat32 - esp bsw. bootfähig*

Je nach verwendetem Programm muss die letzte Änderung wieder angewendet werden. Das Ergebnis kann man evtl. noch mit der folgenden Ausgabe vergleichen (daher unabhängig von der Distro im Terminal):

sudo fdisk -l 

Disk /dev/vda: 100 GiB, 10737418240 bytes, 20971520 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: gpt
Disk identifier: AECED288-D95D-4DC5-A5B3-044230176E6C

Device       Start      End  Sectors   Size Type
/dev/vda1     2048    18431    16384     8M BIOS boot
/dev/vda2    18432   223231   204800   100M EFI System
/dev/vda3   223232  2750463  2527232   1,2G Linux filesystem
/dev/vda4  2750464 20963327 18212864  98,7G Linux filesystem

Die Laufverwerksbezeichnung vda, sdb, nvme0n3 usw. ist natürlich von der Art des Datenträgers abhängig und hier nur symbolisch. Nun kann der Rechner heruntergefahren und das Desktop-Livemedium entnommen werden.

Installation

Nun erfolgt der Start mit dem Server-Livemedium. Zu den ersten Dialogen kann man im Artikel Server Installation nachlesen; mit folgenden Abweichungen: Zum einen beim Umfang der Installation und der Zuteilung der eben vorbereiteten Partitionen.

Möchte man hinterher eine Desktopumgebung installieren ist es hilfreich nicht Ubuntu Server, sondern Ubuntu Server (minimized) auszuwählen. Sollte man offline installieren, kann man dem Spiegelserver trotzdem schon manuell ein "de." für den deutschen Spiegel voranstellen.

Partition 3 als /boot

Nach der Auswahl von "Benutzerdefinierte Partitionierung" geht es hier nun richtig los: Je nach Startvorgang wird die Installation für GRUB automatisch als bios_grub bzw. efi gefunden. Unter "Verfügbare Geräte" wählt man nun die dritte Partition sowie "Edit", als Format ext4 und als Einhängepunkt /boot.

./server-luks-lvm-1.png

Partition 4 als LUKS/LVM

Weiter geht es mit "Datenträgergruppe (LVM) anlegen". Der Name ist frei wählbar, die Vorbelegung tut es genauso – schließlich bekommt man diesen im installierten System so gut wie nie zu Gesicht. Als Gerät die vierte Partition ausgewählt, die Verschlüsselung aktiviert und ein Kennwort vergeben.

./server-luks-lvm-3.png

LVs nach Wunsch /, /home, usw.

Nun wird "freier Speicherplatz" sowie "Logisches Volumen erstellen" gewählt. Auch hier ist der Name frei wählbar; im Problemfall ist es freilich hilfreich, wenn der Name die Verwendung anklingen lässt. Es wird eine Größe festgelegt, das Dateisystem sowie der Einhängepunkt. Dies wiederholt man für alle gewünschten „Partitionen“ (besser: LVs). Beim letzten kann mit die Angabe der Größe weglassen und es wird automatisch der verbliebene Rest genommen.

./server-luks-lvm-4.png

Kontrolle

Zur Kontrolle schaut man bei "Verwendete Geräte", ob alles passt.

  • Systemstart bios_grub bzw. efi

  • dritte Partition als /boot

  • vierte Partition als LVM

  • sowie darüberstehen die im LVM gewünschten LVs samt Einhängepunkt

./server-luks-lvm-6.png

Wenn alles passt unten mittels "Erledigt" bestätigen, aber das dürfte durch die vorangegangenen Abfragen bereits erprobt sein.

Zu den abschließenden Dialogen kann wieder der Artikel Server Installation zu Rate gezogen werden. Im Anschluß kann man im neu gestarteten System das Metapaket der gewünschten Desktopumgebung installieren.

Diese Revision wurde am 16. September 2024 11:01 von fleet_street erstellt.
Die folgenden Schlagworte wurden dem Artikel zugewiesen: Howto