ubuntuusers.de

Hinweis: Dies ist ein statischer Snapshot unseres Wikis vom 25. März 2013 und kann daher nicht bearbeitet werden. Der aktuelle Artikel ist unter wiki.ubuntuusers.de zu finden.

Alternate Installation

Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:

Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:

Hinweis:

Ohne ein sicheres Kennwort nutzt die stärkste Verschlüsselung nicht! Wie man Passwörter am besten wählt, steht hier: Sicherheits 1x1.

In dieser Anleitung wird erklärt, wie man das gesamte System bei der Alternate Installation von Ubuntu und Co. bis auf die Boot-Partition verschlüsselt. Im Gegensatz zu System verschlüsseln oder System verschlüsseln/Schlüsselableitung erfordert dies wenig bis gar kein Wissen über Verschlüsselung im Allgemeinen, LUKS oder LVM und ist auch von Einsteigern leicht nachzuvollziehen.

Wie immer gilt: Wenn sich auf dem Computer schon ein Betriebssystem (wie beispielsweise Windows, Mac OS oder ein anderes Linux-System) oder wichtige Daten befinden, sollte von den Daten unbedingt eine Sicherung erstellt werden. Wie bei jeder Veränderung am Computer kann immer auch etwas schiefgehen.

Vorbereitungen

Als Vorbereitung sollte man sich die Alternate-CD der jeweiligen Ubuntu-, Kubuntu- oder Xubuntu-Version heruntergeladen und gestartet haben und bis zum Punkt Partitionierung vorgedrungen sein.

Dort wählt man die Partitionierungsmethode "Manuell". Es ist auch möglich, über "Geführt - gesamte Platte mit verschlüsseltem LVM" das System zu verschlüsseln, nur wird dabei die gesamte Festplatte benutzt und nicht nur ein Teil, wie es bei Dualboot und Multi-Boot üblich ist.

Hinweis:

Die Bilder im Wiki-Artikel Alternate Installation sind veraltet und stellen nicht die aktuellen Auswahlmöglichkeiten und Optionen dar.

Folgende Aufteilung der Platte sei als Voraussetzung gegeben (dies variiert natürlich von System zu System und ist nur als Beispiel gedacht):

  • /dev/sda1 - primäre Partition mit einem installierten Windows

  • jede Menge unformatierter Speicherplatz

Das Ziel ist die folgende Aufteilung:

  • /dev/sda1 - primäre Partition mit einem installierten Windows (unverändert)

  • /dev/sda5 - unverschlüsselte Boot-Partition /boot

  • /dev/sda6 - verschlüsseltes LVM-Laufwerk mit den Partitionen

    • / - Root

    • swap - Auslagerungspartition

Man kann natürlich auch noch eine extra Homepartition /home in dem LVM-Laufwerk anlegen, wenn man möchte.

In dem Beispiel werden alle Partitionen in einer LVM-Gruppe angesiedelt, so dass man nur ein Passwort beim Systemstart eingeben muss. Es ist selbstverständlich möglich, den Abschnitt "Datenträger verschlüsseln" mehrfach durchzuführen, dafür aber "LVM-Gruppe einrichten" zu überspringen, um jede Partition einzeln zu verschlüsseln. Resultat davon ist aber, dass man nach mehreren Passwörtern beim Systemstart gefragt wird, was auf die Dauer nerven könnte.

Anlegen der Bootpartition

Da die Boot-Partition nicht verschlüsselt werden kann, da zum Zeitpunkt des Startes noch keine Entschlüsselungsprogramme geladen sind, muss diese herkömmlich angelegt werden.

Man selektiert den unformatierten Bereich mit den Cursortasten und drückt Enter . Dann wählt man "Eine neue Partition erstellen" aus und gibt als Größe einen Wert von ungefähr 250 MB ein. Als Typ der Partition wählt man "Logisch" und setzt sie an den "Anfang" des freien Bereichs.

./alternate2.png

Hinweis:

Auf der Boot-Partition werden die Kerneldaten zum Starten des Systems gespeichert. Eine Kernelversion belegt ca. 25 MB. Mit 250 MB kann man also um die 10 Kernelversionen speichern. Das sollte mehr als genug sein für ein normales System. Es empfiehlt sich aber natürlich von Zeit zu Zeit sehr alte Kernel zu deinstallieren.

In der folgenden Übersicht wählt man unter "Benutzen als:" das gewünschte Dateisystem (z.B. "Ext4 journaling file system") und bei "Einhängepunkt (mount point):" stellt man "/boot" ein.

./alternate7-boot.png

Wenn alle Daten stimmen, beendet man die Partitionierung über "Anlegen der Partition beenden".

Datenträger verschlüsseln

Als nächstes muss man den gesamten restlichen Speicherplatz als neuen Datenträger verschlüsseln. Dazu wählt man im Menü "Verschlüsselte Datenträger konfigurieren".

./alternate8.png

Wenn jetzt gefragt wird, ob man die vorhergehenden Änderungen übernehmen will, bestätigt man das natürlich mit "Ja". Auch alle weiteren Abfragen dieser Art während der Installation muss man mit "Ja" beantworten. Es schadet aber nicht, vor der Bestätigung noch einmal die Übersicht durchzusehen, ob alles so partitioniert und eingerichtet werden soll, wie man es wünscht.

Im Verschlüsselungsmenü wählt man zuerst "Create encrypted volumes", um den verschlüsselten Datenträger auszuwählen.

./alternate10.png

In der darauf folgenden Auswahl navigiert man mit den Cursortasten zum Eintrag des unpartitionierten Bereiches (erkennbar am "FREIER SPEICHER"in der Anzeige) und markiert diesen mit der Leertaste          .

./alternate11.png

Danach ist der Datenträger für die Verschlüsselung auch schon fertig konfiguriert, und man kann das "Anlegen der Partition beenden".

./alternate13.png

Hinweis:

Natürlich kann man nach Wunsch auch noch die "Verschlüsselung", die "Schlüssellänge" oder den "IV-Algorithmus" ändern, die Standardwerte sind aber normalerweise vollkommen ausreichend.

Zurück im Verschlüsselungsmenü wählt man "Finish", um den Vorgang abzuschließen.

./alternate14.png

Man wird danach nach einer Passphrase gefragt, die man am Anfang jedes Systemstarts eingeben muss, damit man auf die verschlüsselten Daten zugreifen kann. Da man das Passwort nur einmal pro Start eingeben muss, kann und sollte es ruhig etwas länger sein (siehe auch Sicherheits 1x1).

./alternate15.png

Die Passphrase muss man danach zur Sicherheit erneut bestätigen.

LVM-Gruppe einrichten

Nun muss man innerhalb der verschlüsselten Partition (im Beispiel sda6_crypt) noch die Systemfestplatte und die Auslagerungspartition einrichten. Hierzu greift man auf den Logical Volume Manager zurück und wählt im Hauptmenü "Logical Volume Manager konfigurieren".

./alternate16.png

Im LVM-Menü muss man zuerst eine "Volume-Gruppe erstellen", diese dient als Behälter für die anderen Partitionen. Als Name für die Volume-Gruppe gibt man der Einfachheit halber "lvm" an, bestätigt mit Enter und wählt im nächsten Schirm mit der Leertaste          die gerade eben verschlüsselte Partition als Gerät für die neue Volume-Gruppe (im Beispiel /dev/mapper/sda6_crypt).

Hinweis:

Es empfiehlt sich, einen etwas eindeutigeren Namen als "lvm" zu benutzen, damit es nicht zu Komplikationen kommt, wenn man beispielsweise eine externe HD mit gleich lautender Volumne-Gruppe einbindet.

./alternate19.png

Zurück im LVM-Menü muss man die Systempartition als "Logisches Volume erstellen".

./alternate20.png

Als Name gibt man "root" ein und wählt danach als Volume-Gruppe die eben eingerichtete "lvm". Als Speichergröße für das Volume sollte man soviel benutzen, dass am Ende noch ca. 1 GB für die Auslagerungspartition übrig bleibt.

Analog zu diesem Vorgehen richtet man die Auslagerungspartition mit dem Namen "swap" und dem restlichen Speicherplatz (also 1 GB wie zuvor erwähnt) ein.

./alternate26.png

Im LVM-Menü sollte man sich zum Abschluss noch einmal die "Konfigurationsdetails anzeigen", ob alle Angaben stimmen. Falls ja, kann man die Einrichtung mit der Auswahl von "Fertigstellen" beenden.

./alternate27.png

Systempartitionen erstellen

Der letzte Schritt umfasst das "herkömmliche" Partitionieren, wie es bei der Alternate-Installation beschrieben ist.

./alternate28.png

Das heißt, das logische Volume "root" benutzt man als "Ext4 journaling file system" und wählt als Einhängpunkt "/" (Root). Analog dazu verfährt man mit "swap", welches man als "Auslagerungsspeicher (Swap)" benutzt.

./alternate29.png

Installation fortsetzen

Im Hauptmenü sollte man nun noch einmal über alle Angaben schauen und bei Gefallen die "Partitionierung beenden und Änderungen übernehmen".

./alternate32.png

Zur Sicherheit wird danach noch einmal darauf hingewiesen, welche Partitionen erstellt/geändert und formatiert werden sollen. Dies bestätigt man mit "Ja".

./alternate34.png

Damit ist die Einrichtung abgeschlossen, und man kann das System wie gewohnt weiter installieren.

Ab sofort wird man vor jedem Systemstart einmal nach der oben vergebenen Passphrase befragt. Wenn diese korrekt eingegeben wird, startet das System ganz normal, ohne dass der Anwender sonst etwas von der Verschlüsselung bemerkt.

Hinweis:

Die spätere Frage während der Installation, ob man das Homeverzeichnis verschlüsseln will, kann man auf einem Einzelplatzsystem getrost verneinen. Es ist nicht notwendig, dass man sein System doppelt absichert. Handelt es sich um ein Mehrbenutzersystem, ist es zu überlegen, ob man sich zusätzlich gegen die Einsicht von anderen Benutzern auf dem Rechner schützt. Natürlich empfiehlt sich die Verschlüsselung auch, wenn man die Homepartition /home separat angelegt und nicht in das verschlüsselte LVM eingetragen hat.


ubuntuusers.local › WikiSystem verschlüsselnAlternate Installation