guiornogui schrieb
Auf die Home-Partition kann man dann je nachdem welche Distri man nutzt zugreifen. Allerdings habe ich noch einen riesigen Respekt vor der Verschlüsselung der Festplatte. Habt ihr Erfahrung?
Nachdem auf das Thema "Verschlüsselung" noch keiner eingegangen ist, hier mal kurz meine Erfahrungen.
Die Einrichtung ist kein Hexenwerk und eigentlich ohne großen Mehraufwand zu bewerkstelligen. Ich habe mich seit dem letzten Sommer für eine Vollverschlüsselung entschieden, und zwar nicht nur HOME sondern die gesamte root-Partition und alle auf internen und externen Datenträgern befindlichen Partitionen. Die einzelnen Schritte sind hier
https://wiki.archlinux.de/title/Festplatte_verschl%C3%BCsseln eigentlich ganz gut erklärt, weswegen ich es an dieser Stelle nicht alles wiederholen möchte.
Nur soviel: ich habe mit cryptsetup und luks verschlüsselt. Dazu bereitet man die zu verschlüsselnde Partition mit cryptsetup vor, legt danach wie gewohnt das Dateisystem an und hängt sie dann ganz normal wie jede andere Partition auch ein. Ab da kann man die Installation genau so durchführen wie du es schon in der VM kennst. Wichtig ist, dass man zum Booten eine kleine unverschlüsselte Partition anlegt und als /boot einhängt, in der sich nur der Kernel und der Bootmanager (bei mir syslinux) befindet. Der APPEND-Parameter zum Einhängen der root-Partition muss etwas anders aussehen weil root jetzt über den /dev/mapper eingehängt werden muss, und nicht mehr direkt das device. Und in den HOOKS für die initramdisk muss vor den "filesystems" noch "encrypt" aufgenommen werden. Das ist aber auch im Wiki alles beschrieben.
Weitere Partitionen hänge ich automatisch über die crypttab ein, hier können die Kennwörter im Klartext oder die keyfiles für die Entschlüsselung abgelegt sein (aber nur für root lesbar), weil die root-Partiton verschlüsselt ist und ohne die Entsperrung der root-Partition auch nicht die Kennwörter oder keyfiles eingesehen werden können.
Beim Booten wirst Du dann einmalig nach dem Kennwort für die root-Partition gefragt, danach geht alles automatisch. Ein Backup der LUKS-Header und keyslots habe ich noch auf der unverschlüsselten Partition abgelegt, damit er im Falle einer Beschädigung wiederhergestellt werden kann. Das ist aber kein Sicherheitsrisiko weil man mit dem Backup selber nichts anfangen kann solange die Kennwörter nicht bekannt sind.