# [solved] Ein Hallo in die Runde und ein paar offene Fragen

## Kutus

Hallo liebes Forum.

Ich möchte in Zukunft Gentoo als Hauptsystem verwenden. Ein Kumpel von mir benutzt es schon seit Jahren und schwärmt davon, aber leider kann er mir beim Thema Verschlüsselung nicht weiterhelfen, da er selbst keine benutzt. Mich reizt der Gedanke, mein System bis ins kleinste Detail optimieren zu können, motiviert bin ich also. Ich habe auch schon ein wenig Erfahrung mit Linux, vorallem Arch, welches ich seit ca. 5 Jahren verwende.

Da sich Gentoo allerdings stark von Arch unterscheidet und auch nach gründlicher Lektüre des offiziellen Gentoo-Wikis noch ein paar Fragen meinerseits offen sind, dachte ich mir, ich frage hier einfach mal nach.

Ich sollte vielleicht noch erwähnen, dass ich Gentoo bereits mehrmals installiert habe, sowohl mit Bios als auch UEFI, beides mit Verschlüsselung. Ich bin also kein totaler Anfänger.

Muss ich im Falle eines verschlüsselten LVM irgendwelche USE-Flags zwingend in die make.conf schreiben? Mein Kumpel meint, für die Erstinstallation braucht man keine USE-Flags, die könne man später noch setzen, wenn das System fertig installiert ist. Da er aber keine Verschlüsselung, UEFI oder LVM nutzt, weiß ich nicht, ob das in meinem Fall so richtig ist. Brauche ich bestimmte USE-Flags, damit das System später bootet?

Obwohl ich auch schon einen Kernel selber kompiliert habe und das System gebootet ist, würde ich trotzdem erst einmal Genkernel verwenden, allerdings bin ich etwas irritiert, weil in diesem Guide

https://wiki.gentoo.org/wiki/Full_Disk_Encryption_From_Scratch_Simplified

bei 

```
genkernel --luks --lvm --no-zfs all
```

kein --menuconfig angegeben ist. Bei den Kernel-Configs, die ich manuell erstellt habe, habe ich mich an Youtube-Videos orientiert, wo dann z. B. bestimmte Ciphers wie AES-XTS usw angehakt wurden. Kann man --menuconfig bei Genkernel weglassen und das System bootet trotzdem nach Abschluss der Installation? Genkernel wäre mir am Anfang lieber, da ich befürchte, irgendwelche wichtigen Einstellungen bei der manuellen Konfiguration des Kernels zu vergessen und dann das System evtl. meine Hardware nicht komplett unterstützt. Klar kann man das hinterher immer noch ändern, allerdings hätte ich am Anfang lieber eine solide Basis, bevor ich mich an die manuelle Konfiguration mache und vielleicht mein System zerschieße.

Benutzt evtl. hier noch jemand ein Acer Aspire E15 und könnte mir seine Config zur Verfügung stellen? Habe schon im Netz nach fertigen Configs gesucht, aber leider für meinen Laptop keine gefunden.

Das wären erst einmal meine Fragen. Bin noch etwas unsicher bezüglich der USE-Flags und des Kernels, weil das noch neu für mich ist.

Liebe GrüßeLast edited by Kutus on Thu Jul 04, 2019 1:57 pm; edited 1 time in total

----------

## LuxJux

Howdi. Mein gentoo läuft ohne Verschlüsselung. Zumindest das BasisSystem.

Ledilglich das /home auf /dev/sdb4 ist verschlüsselt.

Aktueller Tip: 2. Festplatte installieren

----------

## Marlo

 *Kutus wrote:*   

> ... und auch nach gründlicher Lektüre des offiziellen Gentoo-Wikis...

 

Dann kennst du doch Sakaki

 *Kutus wrote:*   

> Obwohl ich auch schon einen Kernel selber kompiliert habe und das System gebootet ist, würde ich trotzdem erst einmal Genkernel verwenden,...

 

 *https://wiki.gentoo.org/wiki/Genkernel wrote:*   

>  Note
> 
> It is a common misconception that genkernel will "automatically" generate a custom kernel configuration. genkernel automates the kernel build process and assembles the initramfs, but does not generate a custom kernel configuration file. It uses a generic kernel configuration file that provides support for commonly used subsystems on an architecture-specific basis. Details on the architecture defaults can be seen in the upstream repository. Select the architecture and then choose the kernel config file.

 

Aber auch dafür hat Sakaki eine Lösung.

Grüße

Ma

----------

## ChrisJumper

Hi Kutus,

zuerst ist ein verschlüsseltes System nützlich, wenn du verhindern möchtest das jemand dein System manipuliert oder deine persönlichen Daten auslesen kann. Gegen letzteres reicht eine verschlüsselte Home-Partition.

Generell nutze ich keine verschlüsselten Systeme, sondern auch nur die Home-Variante und auch da sind nur sensible Daten verschlüsselt, aber ich kann den Wunsch nachvollziehen.

Dennoch die Vorteile eines unverschlüsselten Systems sind ein etwas einfacher Zugriff bei der Fehlerbehebung und Pflege. Kannst du zudem ausschließen das jemand Physischen Zugriff auf die Systeme hat, ist Verschlüsselung ohnehin kaum nötig.

Ein Angreifer der deine Systeme über das Netzwerk kompromittiert, findet ebenso die Daten unverschlüsselt vor, da sie per Luks dem Nutzer und Kernel ja schon unverschlüsselt bereit stehen.

Verschlüsseln kostet halt Zeit und Energie, ist aber zum Beispiel bei Notebooks angebracht weil diese ja auch gestohlen werden können. Mein nächstes ziel ist auch eine zwei Faktor Authentifizierung zu nutzen.

Die verlinkten Wikis geben eigentlich schon einige Hinweise.

Bei fragen zu Genkernel schau einfach in die Man-Page, was genau --luks macht. Ich tippe eher auf einen einfachen Support von Luks. Das dm-crypt/Luks wiki schreibt zu der Zeile:

"For a more complete set of explanations refer to the comments in /etc/genkernel.conf itself or to the output of man genkernel." Auf Deutsch, schaue dir die Kommentare in /etc/genkernel.conf an oder lese die Manual Pages zu genkernel.".

Also Alternativ überflige mal das Wiki zu: DM-Crypt full disk encryption

Nimm dir einfach immer mehr Zeit und nutze zum Lernen einfinden keine Systeme auf die du angewiesen bist, das sie funktionieren. Alternativ halt per Dual Boot und anderem Betriebssystem auf einer zweiten Partition/Festplatte.

Gentoo frisst anfangs Zeit weil das Kompilieren dauert, aber mit ein wenig Vorbereitung weiß man später auch die Transparenz und ausführlichen Fehlermeldungen zu schätzen.

Es könnte sein das genkernel --menueconfig unterstützt damit man zusätzlich noch bestimmte parameter im Kernel anpassen kann, ich habe das nie getestet weil ich meinen Kernel immer mit  "make menuconfig" gefolgt von einem "make modules_install" per Hand baue.

Beobachte was das Programm macht und probiere es einfach mal aus. Wird schon nichts kaputt gehen! :)

Bei den Kernel ist es halt immer praktisch wenn man mehrere zur Auswahl hat, geht bei dem neuen etwas schief kann man das System zumindest mit dem vorherigen booten.

----------

## aleck

Hi Kutus, 

ja, das ist mir vor einem Jahr auch aufgefallen als ich umgestiegen bin, dass es hier noch wenig fertige Rezepte gibt.

Ich hatte mir dann selbst was gebaut.

- Initrd System auf USB-Stick

- Loopdevice auf Festplatte verschlüsselt mit DMCrypt

Das Initrd-Image erzeuge ich mit einem selbst erstellt mkinitramfs bash script. Ich hatte damals eine veraltete Vorlage

gefunden und die ausgebaut.

Installiert habe ich das ganze, in dem ich 

- von einem Rettungssystem die verschlüsselten Partitionen erstellt habe

- dort das Base-System hin entpackt habe

- mit chroot in das die verschlüsselte Partition gegangen bin

- die Installation fortgesetzt habe bis auf den Grub-Teil

- mein Init-System gebaut habe und Kernel und Init-System auf den USB-Stick gezogen habe

Das ganze kann man natürlich auch ohne USB-Stick betreiben, allerdings benötigst du dann eine unverschlüsselte Boot-Partition auf dem Rechner.

Wenn du hier genauere Hilfe haben willst, gib mir Bescheid, dann dokumentiere ich das mal soweit ich mich noch erinnere und stelle die Skripte online.

viele Grüße

----------

## Kutus

Okay, das hilft mir weiter. So wie ich es jetzt verstehe, nimmt genkernel einem lediglich ein paar Arbeitsschritte ab, also was man sonst mit make && make_modules install und dem erstellen der Ramdisk manuell erledigt. Oder wahlweise mit genkernel install --initramfs. Dass man mit --menuconfig auch bei genkernel noch selber Hand anlegen kann, wusste ich schon, aber ich dachte immer, dass der Befehl "genkernel all" sowieso alles mitnimmt. Auch die ganzen Ciphers und Verschlüsselungsoptionen.

Verschlüsseln mache ich immer, da ich fast ausschließlich mit Notebooks arbeite. Klar, kostet etwas Performance, aber dafür hab ich die Gewissheit, dass bei einem Diebstahl niemand so einfach an die Daten kommt. Hab bisher immer mit LUKS-Passphrase verschlüsselt, das reicht für meine Zwecke auch vollkommen aus. Keyfiles auf USB-Sticks sind zwar auch fein, aber ich neige dazu, die zu verbummeln.   :Laughing: 

Bringt es einem eigentlich irgendwelche Vorteile, wenn man über EFI-STUB bootet? Ich probiere gerade diesen Guide aus:

https://willeponken.me/post/gentoo_with_dm-crypt_luks/

Aber bis auf den Punkt, dass man sich die Installation von Grub spart, seh ich jetzt direkt keinen Vorteil. Habe gelesen, dass sich EFI-STUB bei embedded Devices anbietet, das sind doch solche Geräte, wie der Raspberry, oder?

Grüße

----------

## Tyrus

@Kutus:

Also ich selber hab eine offene /boot-Partition wo das UEFI-Zeug und die Kernels und grub  dann hinkommen. Sonst liegt da nix. Ich sehe da auch keine Gefahr das offen zu lassen. Du kannst dann nur einen externen Träger für Boot benutzen und den seperat verwalten wenn du das anders willst.

Meine Bootfestplatte sieht genau so aus:

```

luthien ~ # parted

GNU Parted 3.2

/dev/sda wird verwendet

Willkommen zu GNU Parted! Rufen Sie »help« auf, um eine Liste der verfügbaren Befehle zu erhalten.

(parted) print

Modell: ATA Crucial_CT275MX3 (scsi)

Festplatte  /dev/sda:  275GB

Sektorgröße (logisch/physisch): 512B/512B

Partitionstabelle: gpt

Disk-Flags: 

Nummer  Anfang  Ende    Größe   Dateisystem  Name              Flags

 1      1049kB  3146kB  2097kB               grub              bios_grub

 2      3146kB  2003MB  2000MB  fat32        efi-boot          boot, esp

 3      2003MB  275GB   273GB                Crypted Gentoo /  msftdata

```

Partition 1 ist nicht nötig, hab ich aber damals einfach trotzdem angelegt, weil der manchmal bei Layouts ohne UEFI noch gebraucht wird. 

Root Partition ist verschlüsselt. Swap ist hier auf /dev/sda und damit auch automatisch verschlüsselt. Home und /usr/local hab ich auf ner zweiten Festplatte aber auch verschlüsselt:

```

luthien ~ # parted /dev/sdb

GNU Parted 3.2

/dev/sdb wird verwendet

Willkommen zu GNU Parted! Rufen Sie »help« auf, um eine Liste der verfügbaren Befehle zu erhalten.

(parted) print                                                            

Modell: ATA WDC WD20EFRX-68E (scsi)

Festplatte  /dev/sdb:  2000GB

Sektorgröße (logisch/physisch): 512B/4096B

Partitionstabelle: gpt

Disk-Flags: 

Nummer  Anfang  Ende    Größe   Dateisystem  Name                               Flags

 1      1049kB  135MB   134MB                Microsoft reserved partition       msftres

 2      135MB   545GB   545GB   ntfs         Basic data partition               msftdata

 3      545GB   2000GB  1455GB               Crypted Gentoo /home & /usr/local

```

Windows 7 ist mit seinem Bootloader auf /dev/sdb. Nutzt aber auch /dev/sda2. Also wegen dem UEFI-Eintrag. 

Die Frage die wichtig ist. Benutzt du openRC oder systemd?

Für systemd muss man eine /etc/crypttab anlegen Damit kenn ich mich aber nicht tiefer aus.

openRC nutzt /etc/conf.d/dmcrypt

Damit dein System bootet: Auch die Bootparameter sehen unterschiedlich aus bzgl openRC und systemd.

Du kannst das einstellen unter /etc/default/grub wenn du grub verwenden möchtest.

Ich benutze genkernel nur zum Bau der initramfs. Dafür ist es wirklich gut. Es nutzt das was du in /etc/default/grub eingestellt hast.

Achja noch eine Anmerkung zu cryptsetup. Also du kannst ein Passwort setzen als Backupsicherung. Hab ich auch so. Es ist mehr als ein Keyslot vorhanden. Ich hab für mein gentoo aber auch Keyfiles. Wobei nur der Key für meine Root-Partition auf nem externen USB-Stick liegt. Dann bootet das System und der Kernel stoppt wenn du den Stick net drin hast und fordert dann auf den Stick einzumounten.

----------

## Tyrus

@Kutus:

Zu deinem Guide. Dort wird kein LVM benutzt. Damit kannste dann eben nur ein Filesystem verschlüsseln. LVM erlaubt es virtuelle logische Laufwerke zu erzeugen. Ausserdem kann man mit LVM auch mehrere pyshische Devices benutzen und Teile von von jedem einzelnen zu einem virtuellen logischen Laufwerk zusammensetzen. Sprich: Es lässt sich leicht vergrössern. 

Mich hatte damals diese Übersicht inspiriert: https://wiki.siduction.de/index.php?title=Verschl%C3%BCsseltes_System_mit_LUKS/dm-crypt_und_LVM_aufsetzen

Das ist aber kein Guide für Gentoo.

Ein lvdisplay bei mir sieht so aus:

```

luthien ~ # lvdisplay

  --- Logical volume ---

  LV Path                /dev/INTENSO-EXTERN/BCC

  LV Name                BCC

  VG Name                INTENSO-EXTERN

  LV UUID                kv1NHc-bMEw-rUWz-Lg9K-ApLl-N9c1-GfP9w6

  LV Write Access        read/write

  LV Creation host, time luthien, 2018-06-08 16:33:35 +0200

  LV Status              available

  # open                 1

  LV Size                600,00 GiB

  Current LE             153600

  Segments               1

  Allocation             inherit

  Read ahead sectors     auto

  - currently set to     256

  Block device           253:5

   

  --- Logical volume ---

  LV Path                /dev/INTENSO-EXTERN/Spiele-Installer

  LV Name                Spiele-Installer

  VG Name                INTENSO-EXTERN

  LV UUID                KnNubb-y4IR-S8iK-bpuL-1wK2-kZZK-A9CNsc

  LV Write Access        read/write

  LV Creation host, time luthien, 2018-06-08 20:56:33 +0200

  LV Status              available

  # open                 1

  LV Size                1,00 TiB

  Current LE             262144

  Segments               1

  Allocation             inherit

  Read ahead sectors     auto

  - currently set to     256

  Block device           253:6

   

  --- Logical volume ---

  LV Path                /dev/INTENSO-EXTERN/Spielfilme

  LV Name                Spielfilme

  VG Name                INTENSO-EXTERN

  LV UUID                f6NkFc-10zB-0XZL-urYe-w1ul-NxQV-tiI03c

  LV Write Access        read/write

  LV Creation host, time luthien, 2018-06-08 22:37:06 +0200

  LV Status              available

  # open                 1

  LV Size                700,00 GiB

  Current LE             179200

  Segments               1

  Allocation             inherit

  Read ahead sectors     auto

  - currently set to     256

  Block device           253:7

   

  --- Logical volume ---

  LV Path                /dev/INTENSO-EXTERN/DATA

  LV Name                DATA

  VG Name                INTENSO-EXTERN

  LV UUID                GQyNHT-2zMS-rcus-qXwg-D3EP-TUKB-p1l54a

  LV Write Access        read/write

  LV Creation host, time luthien, 2018-06-08 22:57:01 +0200

  LV Status              available

  # open                 1

  LV Size                300,00 GiB

  Current LE             76800

  Segments               1

  Allocation             inherit

  Read ahead sectors     auto

  - currently set to     256

  Block device           253:8

   

  --- Logical volume ---

  LV Path                /dev/LOCAL/HOME

  LV Name                HOME

  VG Name                LOCAL

  LV UUID                JxQxi9-u7JQ-2SK2-LHFe-y21U-CMCz-0XJryM

  LV Write Access        read/write

  LV Creation host, time luthien, 2017-06-21 14:15:29 +0200

  LV Status              available

  # open                 1

  LV Size                1,00 TiB

  Current LE             262144

  Segments               1

  Allocation             inherit

  Read ahead sectors     auto

  - currently set to     256

  Block device           253:9

   

  --- Logical volume ---

  LV Path                /dev/LOCAL/USR-LOCAL

  LV Name                USR-LOCAL

  VG Name                LOCAL

  LV UUID                eao2hU-XNUD-2R2a-Zg9A-EHct-N5sN-MevPwP

  LV Write Access        read/write

  LV Creation host, time luthien, 2017-06-21 14:17:27 +0200

  LV Status              available

  # open                 1

  LV Size                331,20 GiB

  Current LE             84786

  Segments               1

  Allocation             inherit

  Read ahead sectors     auto

  - currently set to     256

  Block device           253:10

   

  --- Logical volume ---

  LV Path                /dev/GENTOO/SWAP

  LV Name                SWAP

  VG Name                GENTOO

  LV UUID                63GcY2-q3xU-2Ol8-0tfV-PV0X-xsDi-FC8W81

  LV Write Access        read/write

  LV Creation host, time linux-0wpy, 2017-06-16 18:23:35 +0200

  LV Status              available

  # open                 2

  LV Size                16,00 GiB

  Current LE             4096

  Segments               1

  Allocation             inherit

  Read ahead sectors     auto

  - currently set to     256

  Block device           253:1

   

  --- Logical volume ---

  LV Path                /dev/GENTOO/ROOT

  LV Name                ROOT

  VG Name                GENTOO

  LV UUID                4vuM10-k7Ji-6Q8T-95mA-MHaF-v5VU-ROy9JL

  LV Write Access        read/write

  LV Creation host, time linux-0wpy, 2017-06-16 18:24:45 +0200

  LV Status              available

  # open                 1

  LV Size                238,30 GiB

  Current LE             61005

  Segments               1

  Allocation             inherit

  Read ahead sectors     auto

  - currently set to     256

  Block device           253:2

```

Die virtuellen logischen Laufwerke liegen auf unterschiedlichen pyshischen Laufwerken.

----------

## Kutus

Alternativ ginge es auch, den Laptop über ein Bios-Passwort zu sichern. In diesem Fall würde es ausreichen, Gentoo ganz normal zu installieren und dann hinterher einfach im Bios das Passwort zu setzen, oder? Ein Vorteil davon wäre doch, dass man sich die Performanceeinbußen durch das Verschlüsseln mit LUKS und LVM spart. Da mein Laptop nur 2 CPUs hat und auch nur 4 GB Ram wäre das vielleicht gar nicht mal so verkehrt. Bei einem Diebstahl wär der Laptop immernoch geschützt, solange der Dieb nicht die Festplatte ausbaut, denn ich glaub, in dem Fall setzt die Firmware auf dem Motherboard das Passwort und die Festplatte selber wird nicht verschlüsselt. Was haltet ihr davon? Einfach nen Boot-Passwort vergeben, oder doch ganz klassisch mit LUKS verschlüsseln?

Grüße

edit: Okay, hab gerade gesehen, dass man Bios-PWs ziemlich leicht mit Software entfernen kann, ist wohl doch keine Alternative zu LUKS.

----------

## mv

 *Kutus wrote:*   

> dass man Bios-PWs ziemlich leicht mit Software entfernen kann

 

Vor allem kann man einfach die Festplatten ausbauen und woanders auslesen.

----------

## Yamakuzure

 *mv wrote:*   

>  *Kutus wrote:*   dass man Bios-PWs ziemlich leicht mit Software entfernen kann 
> 
> Vor allem kann man einfach die Festplatten ausbauen und woanders auslesen.

 Das hängt vom System ab. Wenn du meine Platten (Dell Precision M4800) ausbaust und woanders dran hängst, werden sie schlicht den Dienst verweigern. Du wirst Null-Komma-Garnichts lesen können.

Ich habe das spaßeshalber mal mit einem Klon-Gerät ausprobiert. Man packt zwei Platten rein, drückt auf einen Knopf, und das Gerät macht quasi ein dd von A nach B.

Mit meiner verschlüsselten Platte als "A" habe ich das übers Wochenende laufen lassen, und am Montag war das Gerät immer noch bei 0%. Ich habe mal auf die zweite Platte geschaut, da hatte sich genau nichts getan.

Dann habe ich die Platte wieder in meinen Laptop gesteckt, das HDD-Passwort entfernt, und den Klon nochmal versucht. War in knapp 4 Stunden fertig.  :Very Happy: 

----------

## LuxJux

.

Edit: Dumme Bemerkung entfernt.

----------

## Kutus

Schade, also dieser Guide 

https://willeponken.me/post/gentoo_with_dm-crypt_luks/

funktioniert bei mir schon mal nicht. Wenn ich reboote, bekomm ich die Nachricht, no bootable Device Found. Keine Ahnung, ob bei dieser installation efibootmgr relevant ist, jedenfalls verweist der Standardeintrag aufs CD-ROM, was dann kein Wunder ist. Allerdings kann ich auch keinen neuen Booteintrag erstellen, da bekomme ich dann die Meldung zurück, dass es sich um ein read-only filesystem handelt. Habe mir den Artikel im Wiki zu EFI Stub durchgelesen und im Kernel ist auch soweit alles aktiviert, die Ciphers hab ich sicherheitshalber direkt in den Kernel gepackt, nicht als Modul, allerdings komm ich gar nicht dazu, irgend ein PW einzugeben. Die Kernels liegen bei mir sowohl in /boot/EFI/boot/bootx64.efi als auch in /boot/EFI/Gentoo/bzimage.efi, wobei das relevante Verzeichnis bei meinem Gerät /boot/EFI/boot/bootx64.efi sein dürfte. Die Initramfs ist bei dem Guide selber geschrieben und liegt in /usr/src/initramfs/init. Muss ich da evtl. noch irgendwelche Rechte setzen oder mit openrc irgend ein Service starten? Kenne mich noch nicht so sehr mit OpenRc aus. Achso und die einzige USE-Flag ist "Device-Mapper", vielleicht fehlt da auch noch was wichtiges in der Make.conf. Installiert hab ich das ganze mit nem SystemRescueCd-ISO, welches auf Gentoo basiert und mit der normalen Installation via LUKS+LVM+GRUB funktionierte die Installation auch.

Habt ihr irgendeine Idee, wo das Problem liegen könnte? Würde gerne mit EFI Stub booten. Ich könnte die Installation mal ohne Verschlüsselung testen, aber eigentlich wär es Zeitverschwendung, da ich ja weiß, dass ich Verschlüsselung brauche. Bin mit meinem Latein am Ende, werde wohl die normale Installation mit LUKS+LVM+GRUB machen.

Liebe Grüße

edit: Ich bin noch unentschlossen, welches Init-System ich benutzen soll. Unter Arch ist ja Systemd der Standard, wie verträgt sich das mit Gentoo? Unter Arch hatte ich damit nie Probleme und kenne es auch besser als OpenRC. Gibts - abgesehen von philosophisch-ideologischen Einwänden - Gründe, OpenRC Systemd vorzuziehen? Auf Lange Sicht probiere ich sowieso OpenRC aus, es geht mir bei der Entscheidung im Moment eher darum, mir den Umstieg anfangs etwas zu erleichtern, da die Distribution an sich schon eine Umstellung ist.   :Smile: 

----------

## Max Steel

Es funktioniert beides gut unter Gentoo. "Standard" und damit die präferierte INstallationsvariante unter Gentoo ist eigentlich openrc. Aber die Umstellung auf systemd ist im gentoo Wiki beschrieben.

----------

## mv

Ich habe sowohl systemd als auch openrc installiert: So kann ich im Fall von Problemen ggf. das jeweils andere System booten.

Um das zu erreichen, kompiliere alles mit USE="systemd", systemd selbst aber unbedingt mit USE="-sysv-utils -resolvconv".

Dann entscheidet einfach die Kernel-Startzeile (/lib/systemd/systemd bzw. /sbin/init) über das benutzte Init-System. Wenn Du grub2 bernutzt, kannst Du bei geeigneter Konfiguration so leicht beim Booten umschalten.

Zu EFI kann ich nichts sagen; ich hatte das auch nie geschafft, zu installieren...

----------

## Kutus

Guten Morgen,

wie verhält es sich denn mit der Performance bei einem verschlüsselten System? Ich hab nur 4 GB RAM und möchte eine SWAP-Partition für Hibernation erstellen und generell wenn mal der RAM voll sein sollte, man weiß ja nie.   :Smile:   Swap ist ja generell schon langsamer als der RAM, wenn das ganze dann noch verschlüsselt ist, wirds noch langsamer. Macht sich die bessere Performance spürbar bemerkbar, wenn man auf die Verschlüsselung des gesamten Systems verzichtet und z. B. nur /home verschlüsselt oder Container nutzt?

Liebe Grüße

----------

## Marlo

 *Kutus wrote:*   

> wie verhält es sich denn mit der Performance bei einem verschlüsselten System? 

 

Die Frage kannst du dir doch selbst beantworten.

 *Kutus wrote:*   

> 
> 
> Ich sollte vielleicht noch erwähnen, dass ich Gentoo bereits mehrmals installiert habe, sowohl mit Bios als auch UEFI, beides mit Verschlüsselung. Ich bin also kein totaler Anfänger.
> 
> 

 

----------

## Max Steel

 *Kutus wrote:*   

> Guten Morgen,
> 
> wie verhält es sich denn mit der Performance bei einem verschlüsselten System? Ich hab nur 4 GB RAM und möchte eine SWAP-Partition für Hibernation erstellen und generell wenn mal der RAM voll sein sollte, man weiß ja nie.    Swap ist ja generell schon langsamer als der RAM, wenn das ganze dann noch verschlüsselt ist, wirds noch langsamer. Macht sich die bessere Performance spürbar bemerkbar, wenn man auf die Verschlüsselung des gesamten Systems verzichtet und z. B. nur /home verschlüsselt oder Container nutzt?
> 
> Liebe Grüße

 

Genau solch ein Setup habe ich auf meinem Laptop (siehe unter anderem: https://forums.gentoo.org/viewtopic-t-1082118.html)... ich habe jetzt keine Benchmarks durchgeführt, kann aber zu meinem Arbeitsrechner, der (relativ) vergleichbare Specs hat (ohne Verschlüsselung... ja ich weiß), keinen entscheidenden Nachteil feststellen.

----------

## Kutus

 *Marlo wrote:*   

> Die Frage kannst du dir doch selbst beantworten.

 

Bisher habe ich auf all meinen Linux-Systemen immer komplett verschlüsselt, also noch nie ohne. Auch Gentoo hab ich noch nie "normal" installiert, daher die Frage.

----------

## doedel

 *Kutus wrote:*   

>  *Marlo wrote:*   Die Frage kannst du dir doch selbst beantworten. 
> 
> Bisher habe ich auf all meinen Linux-Systemen immer komplett verschlüsselt, also noch nie ohne. Auch Gentoo hab ich noch nie "normal" installiert, daher die Frage.

 

Die Verschlüsselung ist normalerweise schneller als die Platten, von daher merkt man da keinen Unterschied. Vielleicht, wenn man danach sucht (z.b. mit mc kopieren und datenrate vergleichen.).

----------

