Arch Linux

Frage zu LUKS

lnd-001

Hallo Zusammen

Ich habe mir ein Laptop gegönnt. Mit einer 4TB NVME SSD.

Meine Frage: ich möchte die SSD natürlich verschlüsseln. Nur bin ich mir da gerade nicht so sicher, wie es genau aussehen muss. Bsp eine lsblk Ausgabe.

Ist Zustand:

NAME        MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINTS
sda           8:0    1  497M  0 disk  
└─sda1        8:1    1  497M  0 part  /run/media/root/3382-0DEE
zram0       253:0    0    4G  0 disk  [SWAP]
nvme0n1     259:0    0  3,6T  0 disk  
├─nvme0n1p1 259:1    0    1G  0 part  /boot
├─nvme0n1p2 259:2    0   50G  0 part  
│ └─root    254:0    0   50G  0 crypt /
└─nvme0n1p3 259:3    0  3,6T  0 part /home


Version 1?


NAME        MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINTS
sda           8:0    1  497M  0 disk  
└─sda1        8:1    1  497M  0 part  /run/media/root/3382-0DEE
zram0       253:0    0    4G  0 disk  [SWAP]
nvme0n1     259:0    0  3,6T  0 disk  
├─nvme0n1p1 259:1    0    1G  0 part  /boot
└─nvme0n1p2 259:2    0   **?**  0 part  
   └─root    254:0    0   50G  0 crypt /
   └─home    254:0    0   3,6T  0 crypt /home


Version 2?


NAME        MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINTS
sda           8:0    1  497M  0 disk  
└─sda1        8:1    1  497M  0 part  /run/media/root/3382-0DEE
zram0       253:0    0    4G  0 disk  [SWAP]
nvme0n1     259:0    0  3,6T  0 disk  
├─nvme0n1p1 259:1    0    1G  0 part  /boot
├─nvme0n1p2 259:2    0   50G  0 part  
│ └─root    254:0    0   50G  0 crypt /
└─nvme0n1p3 259:3    0  3,6T  0 part
   └─home    254:0    0   3,6T  0 crypt /home

Wo gehört die verschlüsselte /home Partition / LUKS Container hin? Und wie läuft das mit der PW Abfrage? 1x für alles oder pro LUKS Container gesondert?

frostschutz

Mit LVM ist es ohne weiteres möglich, mehrere Dateisysteme (root, home) in einen LUKS Container zu stecken.

Oder du nimmst ein Dateisystem mit Volumenverwaltung (ZFS, btrfs).

Bei getrennten Partitionen und LUKS-Containern kannst du dein Glück mit systemd-basiertem Initramfs versuchen, solange beide die gleiche Passphrase haben, wird nur einmal gefragt (wenn das intern über systemd-ask-password --accept-cached läuft).

Oder du legst einen Key für die Home-Partition auf die Root-Partition (/etc/cryptsetup-keys.d oder wie auch immer).

segfault

Ich habe bei mir (wie von Frostschutz ja schon bemerkt) alles per LVM in einem LUKS-Container (LVM PV):

$ lsblk
NAME             MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINTS
nvme0n1          259:0    0  1,8T  0 disk  
├─nvme0n1p1      259:1    0  384M  0 part  /boot
└─nvme0n1p2      259:2    0  1,8T  0 part  
  └─cpv0         254:0    0  1,8T  0 crypt 
    ├─vg0-swap   254:1    0   32G  0 lvm   [SWAP]
    ├─vg0-root   254:2    0  256M  0 lvm   /
    ├─vg0-usr    254:3    0   12G  0 lvm   /usr
    ├─vg0-ulocal 254:4    0    2G  0 lvm   /usr/local
    ├─vg0-var    254:5    0   16G  0 lvm   /var
    ├─vg0-home   254:6    0  250G  0 lvm   /home
    ├─vg0-vms    254:7    0  512G  0 lvm   /var/lib/libvirt
    ├─vg0-bckp   254:8    0    1T  0 lvm   /srv/backup
    ├─vg0-opt    254:9    0    1G  0 lvm   /opt
    └─vg0-share  254:10   0    2G  0 lvm   /srv/share

/bootist die ESP und unverschlüsselt.

lnd-001

segfault Und was ist der Grund das du alles in verschiedene Volumes gepackt hast? Hat das Sicherheitstechnische Gründe?

Kann ich auch jetzt noch die LVM Volumes hinzufügen und root da reinpacken? Oder funktioniert das nur bei einer Neuinstallation?

lnd-001

Gerry_Ghetto

Ich ist ein Thinkpad T14s mit TPM 2.0 Modul.

Eigentlich möchte ich den Rechner nur absichern gegen unbefugte. Ich werde ihn am Wochenende nochmal neu aufsetzten mit LVM containern für / und /home. Vielleicht dann später mit 2FA.

segfault Was hast du benutzt nach https://wiki.archlinux.org/title/Dm-crypt/Encrypting_an_entire_system ? LVM on LUKS oder LUKS on LVM ?

segfault

lnd-001 Und was ist der Grund das du alles in verschiedene Volumes gepackt hast? Hat das Sicherheitstechnische Gründe?

Ich mache das, weil ich gerne extra FS für verschiedene Aufgaben habe. Früher hat man das bei UNIX immer gemacht.

Kann ich auch jetzt noch die LVM Volumes hinzufügen und root da reinpacken? Oder funktioniert das nur bei einer Neuinstallation?

Theoretisch ja. Ich würde Dir aber raten, das bei der Installation zu machen.

Gerry_Ghetto

Auf https://wiki.archlinux.org/title/Dm-crypt/Encrypting_an_entire_system gibt es einen relativ guten Überblick über die verschiedenen Varianten.

Ich persönlich verwende für Laptops mit ohne-von-Haus-aus-Secure-Boot-fähige-Linux-Distributionen sehr gerne vollverschlüsselte Systeme, bei denen auch /boot verschlüsselt ist.

Aber eigentlich müsstest du beschreiben, was du weswegen willst, um dann anschliessend Empfehlungen zu bekommen wie das umsetzen kannst.

segfault

lnd-001

LVM on LUKS. Ich arbeite aber mit crypttabs und spare mir so die Cryptoparameter für die initrd:

$ ls -l /etc/crypttab* -rw------- 1 root root 316 Jul 13 2023 /etc/crypttab -rw------- 1 root root 316 Jul 13 2023 /etc/crypttab.initramfs

Dirk

Ich habe / und /home in einem verschlüsselten LVM. Das heißt, ich gebe beim Booten einfach das Passwort ein, und habe dann / sowie /home direkt im Zugriff, ohne hierfür weitere Konfiguration oder weitere Passworteingaben zu benötigen.

-> https://wiki.archlinux.de/title/Installation_mit_UEFI_und_Verschl%C3%BCsselung

/boot zu verschlüsseln ist auf meinem System unnütz, da dort null schützenswerte Daten liegen. Für den Fall eines Diebstahls des Laptops würde der Dieb ein passwortgeschütztes BIOS haben- und ein Betriebbsystem das mittels UEFI bis zur Passworteingabe der Verschlüsselung booten kann.

Datenschutz
Impressum