# Offizielle Verschlüsselungs Anleitung

## ex-LFSler

Hallo.

Suche eine offizielle Handbuch-Anleitung wie man die Root-Partition verschlüsselt. 

Finde zwar bei google Einträge die das beschreiben aber die sind älter und nicht offiziell.

In diesem Beitrag: http://www.gentooforum.de/artikel/18238/gentoo-verschl-sselt-installieren-mit-cyptsetup-und-lvm.html

wird auf http://en.gentoo-wiki.com/wiki/DM-Crypt_with_LUKS

verwiesen, leider bekomme ich keine Verbindung.

Habe die Gentoo Dokus vor und rückwärts durchgesucht aber nichts gefunden.

Gibt's da was offizielles?

----------

## l3u

http://wiki.gentoo.org/wiki/Dm-crypt

Vermutlich ist es sinnvoll, wenn man per Live-CD die verschlüsselte root-Partition erstellt und dann gleich eine neue Installation darin hochzieht. Habe ich aber noch nie gemacht sowas …

Für das Mounten der root-Partition beim Booten musst du halt ein initramfs bauen, was das Mounten übernimmt. Eine schöne Anleitung, wie das geht, ist http://wiki.gentoo.org/wiki/Custom_Initramfs – ich habe so ein initramfs gemacht, was mir ein root-Software-RAID zusammenbaut.

----------

## ex-LFSler

Ich hatte auf sowas gehofft: http://wiki.ubuntuusers.de/System_verschl%C3%BCsseln/Alternate_Installation

So eine Art alternative Installation für gentoo im Handbuch.

Die genannten Seite sind mir bekannt. Ist aber Stückwerk und ich habe nicht die Zeit mir von zig verschiedenen Seiten mein Wissen zusammen zu klauben.

Werde wohl auf eine andere Distri ausweichen müssen.

Trotzdem Danke.

----------

## l3u

 *ex-LFSler wrote:*   

> ich habe nicht die Zeit mir von zig verschiedenen Seiten mein Wissen zusammen zu klauben

 

Dann bist du bei Gentoo imho in der Tat schlecht aufgehoben ;-)

----------

## kernelOfTruth

 *l3u wrote:*   

>  *ex-LFSler wrote:*   ich habe nicht die Zeit mir von zig verschiedenen Seiten mein Wissen zusammen zu klauben 
> 
> Dann bist du bei Gentoo imho in der Tat schlecht aufgehoben 

 

ja - schade eigentlich, denn das was du am Anfang reinstecken musst, hast du langfristig mehrfach eingespart im Vergleich zu anderen Distros (eigene Erfahrung)

----------

## ex-LFSler

> ja - schade eigentlich, denn das was du am Anfang reinstecken musst, hast du langfristig mehrfach eingespart im Vergleich zu anderen Distros (eigene Erfahrung)

z. B.?

Was spare ich den ein?

----------

## mv

 *ex-LFSler wrote:*   

> Was spare ich den ein?

 

Den Ärger, wenn das Kochbuch von $ANDERE_DISTRO nicht das Gewünschte liefert: Weil Du mit der Vorarbeit verstanden hast, was Dein System macht, und warum, kannst Du es auch leichter an Deine spezielle Situation anpassen bzw. im Problemfall reparieren. Das kostet in aller Regel weniger Zeit als zielloses Herumprobieren oder Suchen nach einer exakt passenden Anleitung, die dann vielleicht doch nicht exakt das macht, was Du brauchst.

----------

## kernelOfTruth

 *ex-LFSler wrote:*   

> > ja - schade eigentlich, denn das was du am Anfang reinstecken musst, hast du langfristig mehrfach eingespart im Vergleich zu anderen Distros (eigene Erfahrung)
> 
> z. B.?
> 
> Was spare ich den ein?

 

Zeit !

die einzelnen Komponenten des Systems sind unabhängiger voneinander,

d.h. du kannst z.B. nur ein Paket aktualisierten (jetzt z.B. gnutls), wenn es Sicherheitsrelevant,

kannst Pakete einfacher downgraden,

wenn es Probleme geben sollte - weißt du ziemlich schnell Bescheid, wo es hakt - bei anderen, wo alles mit Skripten und Abhängigkeiten miteinander "verklebt" ist,

muss man häufig super-lang recherchieren, 

bei Gentoo kannst du Hand anlegen, wenn z.B. der X-server nicht mehr geht und es ziemlich schnell wieder zum Laufen bekommen - wohingegen bei *buntu der einfachere Weg häufig die Neuinstallation ist (vom Gefühl & Erfahrung her - also mehr Windows-"like")

spezielle Paketversionen und Programme gibt es bei den anderen Distros nicht - und wenn man den *.deb- *.rpm-Weg beschreitet sucht man sich einen Wolf

sorry, bin gerade erst von der Vorlesung heimgekommen (ganz anderer Bereich) - hoffe die Beispiele sind nicht zu oberflächlich

edit:

genau: was mv geschrieben hat

----------

## ex-LFSler

wow jetzt bin ich doch überrascht.   :Idea: 

Dachte jetzt wird mit "gefühltem Geschwindigkeitsvorteil" argumentiert   :Smile: 

Werde meine Entscheidung nochmal überdenken.

Aber erstmal muss der neue Rechner kommen   :Wink: 

----------

## frank9999

IMHO gehört die Verschlüsselung des Systems bei Gentoo, ganz ans Ende wenn alles andere so halbwegs läuft wie erwartet.

Wenn ich überlege wie lange alleine eine passende gemeinsame Kernel .config gedauert hat für alle meine Rechner...

Oder bis KDE so lief wie ich es wollte....

Wolltest du wirklich bis es soweit ist, bei jedem Boot zusätzlich noch die Befehle und Kennwort für das mounten des Root Filesystem eingeben?

Deshalb finde ich das "Stückwerk" an dieser Stelle einfach wesentlich sinnvoller...

Letzten Endes läuft das dann einfach nur auf das vorherige sichern des Systems mit tar und anschließend rück sichern auf eine verschlüsselte Platte/Partition und dann dem anpassen des Bootmanagers hinaus.

----------

## ex-LFSler

@frank9999:

Oh, auf die Idee bin ich auch nicht gekommen.

Man kann ja hinterher auch verschlüsseln. 

Wichtige Dokumente etc waren vorher ja noch nicht drauf.

Ok, ich geb gentoo definitv eine chance  :Smile: 

----------

## frank9999

 *ex-LFSler wrote:*   

> @frank9999:
> 
> Oh, auf die Idee bin ich auch nicht gekommen.
> 
> Man kann ja hinterher auch verschlüsseln. 
> ...

 

Willst du deine Daten etwa in die Root Partition mit reinpacken?

----------

## ex-LFSler

Kommt drauf an.

wenn / verschlüsselt ist spielt es doch eh keine rolle oder?

Wollte halt auch unbedingt / verschlüsseln wegen log-files usw. 

Ich könnte ja bloß Container verwenden, aber will mir keine Gedanken machen wo evtl. dann doch noch sensible Daten rumliegen (log-files, swap..)

Bin nicht so ein Freund vom unterteilen /home /var /usw auf verschiedene partitionen.

hinterher merkt man dann das man zu groß/klein dimensioniert hat   :Confused: 

Was spricht dagegen für /boot 100MB zu reservieren und rest für / ?

und / ist verschlüsselt, /home /var usw liegt alles auf root partition.

So weiß man alles was man tut ist verschlüsselt und fertig.

Kennwort gibt man einmal ein beim booten und gut ist.

----------

## frank9999

 *ex-LFSler wrote:*   

> Kommt drauf an.
> 
> wenn / verschlüsselt ist spielt es doch eh keine rolle oder?
> 
> Wollte halt auch unbedingt / verschlüsseln wegen log-files usw. 
> ...

 

Naja ich würde zumindest die Eigenen Daten, Mails etc. vom System trennen und auf eine separate ebenfalls verschlüsselte Partition verbannen. Klar wann du nur 100 MB dafür benötigen wirst, lohnt es sich nicht.

Spart in meinen Augen Zeit und Nerven wenn man mal das System z.B. zerschossen hat, was ja niiiiiiie vorkommt  :Wink: 

Ich mag auch nicht zu viele Partitionen für ein System, bei mir sieht es so aus:

1. /boot ; unverschlüsselt; ext3 mit 4 GB, dort liegen auch diverse ISO Files wie SystemRescueCD, Tails, clonezilla, OpenElec, etc.. die ich direkt vom grub2 aus booten kann. Sehr praktisch, erspart nervige USB Sticks oder Optische Medien!

2. portage ; unverschlüsselt; reiserfs mit 700MB 

3. root ; verschlüsselt ; btrfs 20 GB

4. home ; verschlüsselt ; btrfs etwa 30 GB

Das Problem mit der Größe der Partitionen kann man auch mit lvm lösen -> http://wiki.gentoo.org/wiki/LVM

Dann lässt es sich jederzeit auf die Bedürfnisse anpassen. I

----------

## kernelOfTruth

Vorschlag:

mach /boot, /boot/efi, system (LVM: portage, root, home)

dann hast du ein Passwort für alle drei - und die Sicherheit, dass, wenn die System-Partition mal "abkackt" (kam bei mir mit Btrfs, Ext4 ab und zu mal vor) die normalen Daten noch intakt sind

Argument für Gentoo:

http://www.computerbase.de/forum/showthread.php?t=1355655

<-- da hast du ein typisches Beispiel, was die Flexibilität bringt   :Smile: 

----------

## ex-LFSler

> mach /boot, /boot/efi, system (LVM: portage, root, home) 

> dann hast du ein Passwort für alle drei - und die Sicherheit, dass, wenn die System-Partition mal "abkackt" (kam bei mir mit Btrfs, Ext4 ab und zu mal vor) die normalen Daten noch intakt sind 

Jetzt komm ich nicht mehr ganz mit.

Verstehe es folgendermaßen: 

3 Partition /boot /boot/efi, rest für root /

Innerhalb der root partition mit lvm aufteilen auf portage, root, home 

Passwort für alle drei bezieht sich auf die 3 LVM volumes?

Alles Richtig?

----------

## kernelOfTruth

/dev/sda1 /boot/efi (vfat) [boot-flag]

/dev/sda2 /boot (reiserfs, ext2, ext3, ext4, etc.)

/dev/sda3 [cryptsetup == 1 Passwort] --> LVM {root, swap, portage, home}

 *Quote:*   

> ls -l /dev/mapper/
> 
> total 0
> 
> crw------- 1 root root  10, 236 Jun  3 14:36 control
> ...

 

sorry, das wären dann 4 Partitionen, nicht 3 - wie vorher geschrieben   :Laughing: 

swap sollte man immer haben - auch wenn es nur 2-3 GB sind

hoffe dadurch ist es klarer

----------

## l3u

 *ex-LFSler wrote:*   

> Dachte jetzt wird mit "gefühltem Geschwindigkeitsvorteil" argumentiert  :)

 

Ach Quatsch – bloß, weil man sein System selber baut, und es genau auf die Hardware abstimmt, läuft es gefühlt nicht schneller als ein generisches. War vielleich früher mal so (vermutlich nichtmal da), aber bei der Rechenleistung heutzutage wird man da nichts merken. Aber darum geht es ja bei Gentoo auch gar nicht.

Vielmehr darum, was meine Vorredner schon geschrieben haben: der Einstieg ist recht schwer, aber dafür weiß man hinterher Bescheid und hat Verfahren und Hintergrundwissen gelernt – und all das kann man dann auf andere Situationen übertragen.

Ähnlich wie das z. B. ist, wenn man eine wissenschaftliche Arbeit schreibt. In Word geht es scheinbar einfacher, aber wenn man sich mal mit LaTeX auseinandergesetzt hat, dann will man für sowas nichts anderes mehr nehmen – und stellt hinterher fest, dass das sehr hohe Einstiegslevel und die ganze Arbeit, die man am Anfang hatte, sich auszahlen :-)

----------

