[linux-l] Suse installieren

[Rol]

On Fr, 12.04.2019 at 01:52, Boris Kirkorowicz wrote:
> Hallo,
> 
> Am 11.04.2019 um 21:58 schrieb et:
> > Nein, aus ist gut. Aber offensichtlich installiert sich der
> > Bootloader nicht.
> 
> ich habe es trotzdem probiert und dabei (zumindest für mich) 
> überraschendes herausgefunden: mit aktiviertem Secure Boot wurde ich 
> beim ersten Mal gefragt, ob ich den SuSE-Key installieren wolle
> (nein, 
> das war noch nicht überraschend), und danach lief die Installation
> von 
> Tumbleweed. Leider fehlt jedoch beim grub-Menü der Installation die
> Wahl 
> der Sprache (kann man bei der späteren Installation noch nachholen) 
> sowie die Möglichkeit der Einstellung der Konsolenauflösung. Das ist 
> bitter, denn bei 2880x1620 auf 15" muss ich selbst mit der sonst
> eher 
> selten benötigten Brille schon ziemlich kneistern, um etwas lesen zu 
> können. Na gut, soo überraschend nun auch nicht, aber das, was nach
> der 
> Installation kommt. Gut ist immerhin, dass SuSE dann auch ohne Stick 
> bootet, dafür tut es Windows 7 nicht. Also habe ich im BIOS die
> Option 
> Secure Boot abgeschaltet und die Option BIOS/UEFI auf [Both]
> gestellt. 
> Damit bootet nun sowohl SuSE als auch Windows 7. So ganz wohl ist
> mir 
> mit UEFI nicht, birgt es doch die Möglichkeit, vor dem
> Betriebssystem 
> Code zu laden und auszuführen, ohne dass ich die geringste Chance
> hätte, 
> das mitzubekommen, geschweige denn es zu verhindern. Mag sein, dass
> das 
> eine eher akademische Betrachtung ist, aber mein nun nicht mehr ganz
> so 
> junges Leben hat mich gelehrt, dass was missbraucht werden kann, 
> irgendwann auch mal missbraucht werden wird, gerade wenn es um Daten 
> geht. Aber hier scheint es nicht anders zu gehen (→?).
> 
> Das bringt mich zum nächsten Thema: Verschlüsselung. Bei der 
> Installation habe ich sogleich gewählt, dass die Daten verschlüsselt 
> werden sollen. Offenbar bezieht sich das nicht nur auf die 
> /home-Partition, sondern auf alles (außer Windows, das wird nicht 
> angefasst). Das Dumme daran ist: bereits bevor grub2 fertig lädt und 
> sein Menü vollständig anzeigt, will die swap-Partition (wenn ich
> richtig 
> aufgepasst habe) entschlüsselt werden. Das ist (s.o.) dermaßen klein 
> geschrieben, dass ich es nicht lesen konnte und mich zunächst
> wunderte, 
> warum es mit dem Booten nicht weiterging...

Oder liegt dein /boot Verzeichnis ebenfalls auf einer verschlüsselten
Partition? Dann fragt grub deren Passwort ab und entschlüsselt die
Partiton - je nach Hardware manchmal sehr langsam.

>  Nachdem ich das aber erraten 
> hatte, ging es nach der Eingabe es Kennwortes weiter, und ich wurde 
> später -schön grafisch, groß genug und gut lesbar- erneut nach
> demselben 
> Passwort für die übrigen Partitionen gefragt, doppelt also.
> 
> Vermutlich ist es für military grade encryption schon sinnvoll, auch 
> swap zu verschlüsseln, aber ich frage mich, inwieweit es für mich 
> sinnvoll ist. Der Staatsgewalt in Form von Geheimdiensten oder auch 
> professionellen Crackern werde ich mich im Zweifel kaum erwehren
> können, 
> aber ein Einbrecher, ein dreister Detektiv oder ein Dieb unterwegs
> soll 
> keinen Zugang zu meinen Daten bekommen und mich erpressen oder 
> kompromittieren können. Da ich auch annehme, dass Verschlüsselung je 
> nach Umfang spürbar Leistung fressen könnte, frage ich mich, ob und
> wie 
> weit es wirklich sinnvoll ist, tatsächlich alles zu verschlüsseln.
> Das 
> auch im Hinblick auf mein liebes Weib, das ein exakt baugleiches
> Gerät 
> mit übereinstimmender Installation nutzt und auch künftig nutzen
> will 
> und soll: sie hasst jeden Aufwand, und den vor allem in
> überflüssiger 
> Form wie mehrfacher Eingabe desselben Kennwortes... ;-)
> 
> Wie lautet Eure Empfehlung dazu?

Wenn Linux Daten auf die Swap Partiton auslagert, sind sie von dort
ohne Verschlüsselung auslesbar. Ich habe mich daher immer an die
weitgehend akzeptierte Empfehlung gehalten, auch swap zu verschlüsseln.

Wenn Du das Passwort nicht zweimal eingeben willst, leg zuerst ein
verschlüssltes LVM Volume an und darin dann die Partitionen. Dann wird
nur das Passwort für das LVM Volumen abgefragt.

Falls Du auf Hibernation verzichten kannst, gibt es zwei weitere
Möglichkeiten: 
1. Du verschlüsselst die Swap Partition nicht mit einer Passphrase
sondern mit einem Zufallsschlüssel ("random encryption key" Was ist
eigentlich die deutsche Übersetzung dafür?). Unter Debian kann das
während der Installation bei der manuellen Partionierung ausgewählt
werden, aber wenn ich mich recht erinnere nur im Expert Modus. Bei
OpenSuse kenn ich mich nicht aus.
2. Du legst gar keine Swap Partition an. Stattdessen nach der
Installation ein Swapfile auf der verschlüsselten Systempartition.
Mache ich hier seit einigen Monaten unter Debian und Fedora ohne
Probleme (aber wie gesagt ohne Hibernation). 

Schöne Grüße, Roland