ubuntuusers.de

Upgrade eines verschlüsselten Systems

Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:


Du möchtest den Artikel für eine weitere Ubuntu-Version testen? Mitarbeit im Wiki ist immer willkommen! Dazu sind die Hinweise zum Testen von Artikeln zu beachten.

Artikel für fortgeschrittene Anwender

Dieser Artikel erfordert mehr Erfahrung im Umgang mit Linux und ist daher nur für fortgeschrittene Benutzer gedacht.

Einleitung

Diese Anleitung beschreibt, wie ein durch manuelle statt automatische Partitionierung verschlüsseltes System auf eine neuere Version aktualisiert werden kann. Das Homeverzeichnis bleibt dabei unberührt.

Voraussetzungen

Die Anleitung dieses Artikels bezieht sich auf folgende Festplattenpartitionierung:

1
2
3
4
5
6
7
8
sda                   8:0    0 238,5G  0 disk  
├─sda1                8:1    0   250M  0 part  /boot/efi
├─sda2                8:2    0     1G  0 part  /boot
└─sda3                8:3    0 237,2G  0 part  
  └─sda3-lukslvm    253:0    0 237,2G  0 crypt 
    ├─vgubuntu-root 253:1    0    20G  0 lvm   /
    ├─vgubuntu-home 253:2    0   205G  0 lvm   /home
    └─vgubuntu-swap 253:3    0  12,2G  0 lvm   [SWAP]

Die Festplattenpartitionierung kann mit dem Befehl lsblk ermittelt werden.

Vorbereitungen

Zum Upgrade wird eine Desktop-CD oder Live-USB benötigt. Nach dem Starten des Live-Systems ("Try Ubuntu without installing"), darf die Installation nicht gestartet werden.

Upgrade

1. Schritt: Ein Terminal[3] öffnen und in eine Rootshell wechseln.

sudo -i 

2. Schritt: Die Tastatur auf Deutsch umstellen.

setxkbmap de 

3. Schritt: Das bereits existierende LUKS-Medium mit dem Namen sda3-lukslvm öffnen:

cryptsetup luksOpen /dev/sda3 sda3-lukslvm 

Hinweis: Die Bezeichnung sda3-lukslvm kann bei der Verschlüsselung des Systems beliebig gewählt werden. Im Artikel System verschlüsseln wurde die Bezeichung lukslvm verwendet.

4. Schritt: Anschließend die Ubuntu Installation starten, beim Schritt "Varianten der automatischen oder halbautomatischen Partitionierung" den Punkt "Etwas anderes" auswählen und die bestehenden Partitionen wie folgt zuordnen.

vgubuntu-root:

  • root

  • formatieren

vgubuntu-home: /home

Achtung!

vgubuntu-home darf nicht formatiert werden! Ansonsten gehen alle persönlichen Daten verloren.

vgubuntu-swap: swap

sda1: efi

sda2:

  • /boot

  • ext4

  • formatieren

5. Schritt: Nach der Installation Ubuntu nicht neu starten, sondern in das verschlüsselte System wechseln.

mount /dev/mapper/vgubuntu-root /mnt 
mount /dev/sda2 /mnt/boot 
mount /dev/sda1 /mnt/boot/efi  
mount -o rbind /dev /mnt/dev 
mount -t proc proc /mnt/proc 
mount -t sysfs sys /mnt/sys 

6. Schritt: DNS-Auflösung im verschlüsseltem System ermöglichen.

cp /etc/resolv.conf /mnt/etc/resolv.conf 
chroot /mnt /bin/bash  

7. Schritt: Die Datei /etc/crypttab bearbeiten.

printf "sda3-lukslvm\tUUID=%s\tnone\tluks\n" "$(cryptsetup luksUUID /dev/sda3)" | tee -a /etc/crypttab  

Anschließend überprüfen, ob die Änderung auch eingetragen wurde:

nano /etc/crypttab 

8. Schritt: Nun muss noch unter /etc/modules das dm-crypt-Modul hinzugefügt werden, falls es dort noch nicht existiert:

echo "dm-crypt" >> /etc/modules 

9. Schritt: Um die Änderungen an der crypttab zu übernehmen, muss noch Kernel-Initramfs aktualisiert werden:

update-initramfs -u -k all  

10. Schritt:

nano /etc/default/grub 

Zeile mit GRUB_CMDLINE_LINUX_DEFAULT="..." suchen und editieren:

GRUB_CMDLINE_LINUX_DEFAULT="kopt=root=/dev/mapper/vgubuntu-root"

11. Schritt: Grub aktualisieren

update-grub 

12. Schritt: Beenden/Neustart

sync && reboot 

Diese Revision wurde am 13. Januar 2023 12:19 von Berlin_1946 erstellt.
Die folgenden Schlagworte wurden dem Artikel zugewiesen: Systemverschlüsselung, Sicherheit, Verschlüsselung, Vollverschlüsselung, System