[linux-l] Suse installieren

Rol roha101 at posteo.net
Sa Apr 13 13:48:12 CEST 2019


Hallo,

On Fr, 12.04.2019 at 23:32, Boris Kirkorowicz wrote:
> Hallo,
> 
> Am 12.04.2019 um 10:41 schrieb Rol:
> > Wenn Du das Passwort nicht zweimal eingeben willst, leg zuerst ein
> > verschlüssltes LVM Volume an und darin dann die Partitionen. Dann
> > wird
> > nur das Passwort für das LVM Volumen abgefragt.
> 
> das habe ich jetzt mal gemacht (ganz schön aufwendig, nix
> automatisch) 
> und gefunden, dass ich immer noch zweimal das Passwort eingeben
> muss. 
> Das erste mal wie gehabt bei grub2:
> 
> > Welcome to GRUB!
> > 
> > Attempting to decrypt master key...
> > Enter passphrase for hd0,gpt6 (bd726265fdbd[...]):
> Dabei habe ich nur das LVM beim anlegen verschlüsselt, nicht die
> darin 
> enthaltenen Logischen Volumes. Angelegt hatte ich neben
> sda1 (FAT, EFI-System-Partition SYSTEM_DRV)
> sda2 (Microsoft Reservierte Partition, was immer das ist...)
wenn ich mich recht erinnere, legt Windows darauf Startdateien ab und
braucht die Installation für Updates. Bei der Windows-Installation
konnte sie entfernt werden, lohnt aber den Aufwand nicht.
> sda3 (NTFS, Windows7_OS)
> sda4 (NTFS, Lenovo Recovery, braucht man das?
>        Ein Recovery würde doch eh alles kaputt machen, oder?)
Ich würde auch kein automatisiertes Restore duch die Lenovo Software
machen lassen. Kopier den Inhalt auf eine externe Platte (da sind
wahrscheinlich auch Treiber für eine erneute Windows-Installation
abgelegt) und lösch die Partition.
> sda5 (FAT, EFI-System-Partition, /boot/efi)
Bei der Suse-Installation stattdessen sda1 als /boot/efi einhängen
(aber auf gar keinen Fall formatieren, sonst ist Windows traurig...)
> sda6 (RAW, darin das verschlüsselte LVM, darin dann
> /dev/linux/home (XFS, /home)
> /dev/linux/swap (swap)
> /dev/linux/root (btrfs, /)
> jeweils nicht verschlüsselt.
> 
Ok, damit liegt das /boot Verzeichnis von Suse innerhalb des
verschlüsselten LVM Volumen. Deshalb fragt beim Booten zuerst einmal
grub das Passwort ab.

> Warum da immer noch zweimal dasselbe Passwort abgefragt wird,
> verstehe 
> ich nicht. 
Wegen dem verschlüsslten /boot.
> Und dann auch noch direkt vor dem Booten, wo man das fast 
> nicht lesen kann in dem winzigen Textmodus (selbst meine Handy-
> Kamera 
> hat sich da schwergetan, aber ohne hätte ich es gar nicht lesen
> können). 
> Gibt es noch eine Idee, wie man das loswird?
> 
Nur durch Verzicht auf das verschlüsselte Bootverzeichnis. Während der
Suse Installation eine unverschlüsselte Partition anlegen (~600 MB
sollten reichen) und als /boot einhängen.

Also sda1 bis sda3 nicht ändern. 
Für die Suse Installation brauchst du dann:
- die bereits vorhandene sda1, die als /boot/efi eingehängt wird
- eine weitere unverschlüsselte Partition (~600MB) die als /boot
eingehängt wird. 
- Das verschlüsselte LVM Volumen mit swap, /home und /root. 
Ich kenne den Suse Installer nicht gut, vielleicht kannst du während
der Neuinstalltion das vorhanden LVM Volumen öffnen und wieder
verwenden (die Daten auf /dev/linux/root dann löschen/neuformatieren). 
Für die Linux-Bootpartition könntest du auch deine jetzigen sda4 und
sda5 löschen und den freiwerdenden Platz verwenden.

Die unverschlüsselte Bootpartition liefert einem (guten) Hacker
natürlich Angriffspunkte. In dem von Dir beschriebenem Szenario sollte
ein Einbrecher der das Notebook klaut, aber damit überfordert sein, an
die Daten zu kommen.
Es gibt auch (nicht trivale) Tricks, die dir eine zweite
Passworteingabe bei verschlüsselter Boot-Partition ersparen. Aber auch
dann müßtetst Du das Passwort unter Grub eingeben und die
Entschlüsselung ist langsamer. Habe ich alles mal ausprobiert und bin
wieder bei einer unverschlüsselten Bootpartitioon gelandet. Ist m. E.
ein guter Kompromiss zwischen Bequemlichkeit, Sicherheit und (auf
meinem älteren Lenovo) Zeit zum Booten.

Schöne Grüße, Roland


> 




Mehr Informationen über die Mailingliste linux-l