[linux-l] Einrichten eines crypted-/-Filesystems (war: Brauche Hilfe)

[Baerwaldt, Ralf]

Hallo Christian !

Sorry, dass ich erst jetzt antworte. Hatte ein paar
Tage Kurzurlaub und dann viel zu tun.

> > Trotzdem wird es so seine Zeit dauern. Du musst erstmal
> > eine Debiandistribution herunterladen, damit du dir einen
> > eigenen Kernel backen kannst.
> 
> Habe ich auf CD.

Dann leg los, zu erst die HDD formatieren, das kann (!!!)
so aussehen (bitte an eigene Beduerfnisse anpassen !):
Partitionen:
1. 32 MB /boot
2. 1 GB /swap
3. 256 MB dein neues c-/-FS
4. x GB dein neues c-LVM
5. 10-20 GB temporaeres Linux (kann reichlich sein, sollte
   aber die Groesse von 4. nicht ueberschreiten).

Als erstes installierst du ein Linux unter Verwendung von
1., 2. und 5. Dann richtest du dir in 4. deine LV's ein
und verschluesselst diese sowie 3. Danach baust du dir
eine initrd, die diese verwenden kann und legst das ganze
in 1. ab. Ein Aufruf von lilo und du kannst dein c-/-FS
verwenden.
Wenn dieses klappt machst du 5. wieder platt und verwendest
diese Partition als neues PV in deinem LVM.
Fertich

> > Dann musst du die Festplatte verschluesselt installieren.
> > Die boot-scripte anpassen, da die Debian-Scripte nicht
> > mit verschluesselten root-FS umgehen koennen.
> 
> Aha! Daran sind wir letztes Mal gescheitert. Hast Du dies 
> allein geschafft?

Ja, wo ist das Problem ?
Du bootest dein c-/-FS, dein boot bleibt bei einer der
rcS.d-Dateien stecken. Dann bootest du wieder dein normales
FS und schaust nach, warum er stecken blieb. (Meist weil
ein Programm oder Datei von /bin,/sbin oder /etc fehlt.)
Jetzt gibt es mehrere Moeglichkeiten:
1. Reihenfolge in rcS.d ist falsch
  -> Reihenfolge vertauschen
2. Zugriff auf das Dateisystem kann noch nicht funktionieren,
   weil noch verschluesselt.
  -> Entsprechende Stellen in der initrd aendern.
3. Programm/Datei nicht vorhanden
  -> Datei in der initrd ablegen von dort benutzen.

> > Noch was: Weder Kernel noch die Ramdisk koennen
> > verschluesselt werden.
> 
> Ist die Ramdisk wirklich notwendig?

Es hat Vorteile:
1. Ist sehr schnell
2. Manchmal ist man genoetigt Keys zwischen zu speichern.
   Auf der HDD kannst du nicht sicher sein, dass sie auch
   wieder geloescht werden. Bei einer Ramdisk ist spaetestens
   nach einem reboot die Info geloescht.

An einer initrd (initial Ramdisk) kommst du nicht vorbei,
da du ja ein Programm brauchst, dass deine HDD entschluesselt.
Grundsaetzlich koennte man das auf einer Karte oder einem
USB-Stick ablegen, dann muss aber das BIOS damit umgehen
koennen.

> Könnte man nicht eine Debian Installations-CD erstellen, die 
> mit einem 
> umgebauten Kernel startet, sodaß man Debian gleich verschlüsselt 
> installieren kann?

Koennte man, da du dann aber deinen eigenen Debian-Zweig hast,
muesstest du den dann auch pflegen. Besser du versuchst die
Debianer darauf einzuschwoeren, dass sie grundsaetzlich ein
verschluesseltes /-FS unterstuetzen. Dann haetten alle was
davon. :->

Gruss Ralf