Debian mit verschlüsseltem LVM Laufwerk installieren

In der heutigen Zeit muss alles sicher sein – sobald ich mich mit dem Internet verbinde, gehe ich Gefahren ein. Trojaner, Viren, SPAM Bots, Hacker …, auch wenn ich mich in meinem eigenen Netzwerk eher noch sicher fühlen kann, in einem öffentlichen Netz dagegen ums weniger. Wir machen uns darüber Gedanken und installieren Firewalls, AntiVirus Programme und mehr … doch eines vergessen wir meistens: Was passiert, wenn mein Laptop gestohlen wird? Sind meine Daten sicher?

Diese Gedanken mache ich mir oft – mein altes MacBook Pro, auf dem Debian Buster läuft, hat deswegen die Festplatte verschlüsselt und meldet sich beim Aufstarten mit einem Passwort und das noch bevor ich das eigentliche Login Passwort eingebe. Doch halt – was passiert in diesem Fall mit der zweiten Festplatte, die ich auch darin verbaut habe? Richtig, im Normalfall ist diese unverschlüsselt oder, wenn ich Sie im Nachhinein verschlüssle, mit einer weiteren Passwortabfrage. Nun, ich kann auch ein LVM (Logical Volume Manager) erstellen und die Festplatte darin einbinden, auch dann funktioniert natürlich die Verschlüsselung.

Es gibt aber auch den Weg dies direkt bei der Debian Installation zu machen. Wie der funktioniert? Nun, das zeige ich Euch hier in diesem Blog Artikel. Doch zuerst erkläre ich Euch, wie ein LVM funktioniert. LVM umfasst Festplatten und Partitionen zu einem Pool, auch Volume Group (VG) genannt, zusammen und auf diesem werden Logical Volumes (LV) angelegt. Die VGs sind variabel, das heisst es kann jederzeit erweitert werden. Durch das Hinzufügen von weiteren Festplatten kann somit die Kapazität erweitert werden. Um jetzt unsere Daten vor unberechtigen Zugriff zu schützen, sollten die darauf enthaltenen Logical Volumes verschlüsselt werden.

Für unser Beispiel habe ich in einer virtuellen Maschine 2 Festplatten mit jeweils 40GB Speicher erstellt. Nachdem ich im Debian Installer die abgefragten Informationen wie Sprache, Tastaturlayout und Netzwerkadresse sowie Root und Benutzerinfromationen eingegeben habe, kommen wir zum integrierten Festplattenmanager.

Wir starten hier mit der manuellen Festplatteneinrichtung. Doch bevor wir unsere Festplatten verwenden können, müssen diese Partitioniert werden. Wir wählen jetzt die erste Festplatte aus bestätigen die Partitionierung im zweiten Hinweisfeld mit Ja. Dasselbe machen wir auch mit der zweiten Festplatte.

Bevor wir uns aber an das Einrichten von LVM machen, müssen wir zuerst noch einen BOOT Bereich einrichten. Diesen Bereich benötigt Linux um überhaupt Starten zu können. Dazu legen wir auf der ersten Festplatte eine neue Partition an.

Diese erstellen wir mit einer Grösse von 1G und bestätigen diese Eingabe, bei der nächsten Abfrage wählen wir Primär aus. Die Bootpartition muss zwingend am Anfang der Festplatte stehen. Damit diese aber auch aktiv und genutzt werden kann, müssen wir noch 3 Parameter anpassen.

Wir ändern den Wert «Benutzen als:» von EXT4 auf EXT2. Als «Einbindungspunkt» wählen wir «/boot» aus und das «Boot Flag» setzen wir auf «Ein». Nachdem wir dies alles wie in der Abbildung gesetzt haben, bestätigen wir dies mit «Anlegen der Partition beenden». Als nächstes verschlüsseln wir unsere Partition.

Dazu wählen wir «Verschlüsselten Datenträger konfigurieren» aus. Eine Abfrage, ob die Änderungen auf die Festplatten geschrieben werden dürfen, bestätigen wir mit «JA». Nun erstellen wir unseren verschlüsselten Bereich mit «Verschlüsselten Datenträger erzeugen». Jetzt ist es wichtig hier nur den ersten freien Speicher der ersten Festplatte auszuwählen. Mit Enter bestätigen wir die Auswahl.

Jetzt zeigt uns der Installer die Änderungen an, die wir mit «Anlegen der Partition beenden» bestätigen. Eine Abfrage, ob diese Änderungen geschrieben werden sollen, bestätigen wir wieder mit «JA». Nun sind wir wieder beim Anfangsbildschirm.

Jetzt beenden wir diesen Schritt mit «Fertigstellen». Bei der nächsten Abfrage bestätigen wir das alle Daten auf der angewählten Festplatte gelöscht werden können. So, nun ist es Zeit einen oder mehrere Kaffees zu trinken. Der nächste Schritt dauert nämlich je nach Grösse der Festplatte bis zu mehreren Stunden. Der Installer überschreibt nun sicherheitshalber den gewählten Bereich mit zufälligen Zeichen, um eine Wiederherstellung von alten Daten zu verhindern.

Sobald dieser Schritt erledigt ist, müssen wir eine Passphrase für den verschlüsselten Bereich eingeben. WICHTIG! Diese Passphrase sollte gut gewählt und sicher notiert werden – ohne diese ist ein Start und eine Wiederherstellung Eurer darauf gespeicherten Daten nicht mehr möglich! Zur Sicherheit muss dieses Passwort zweimal eingegeben werden.

Jetzt sind wir wieder am Anfangsbildschirm und sehen auch das wir ein neues «crypt» Laufwerk haben.

Nun können wir ein LVM einrichten. Dazu gehen wir auf «Logical Volume Manager konfigurieren». Nun erscheint ein Hinweis, dass die vorher getroffene Konfiguration auf die Festplatten geschrieben werden muss. Dies können wir mit JA bestätigen und kommen anschliessend in das LVM Partitionsprogramm.

Als allererstes müssen wir nun eine Volumen-Gruppe erstellen. Wir erinnern uns, mehrere Festplatten werden zu einer Volumen-Gruppe zusammengefasst und in dieser Volume Gruppe werden dann die Logischen Volumen erstellt. Da es auch mehrere Volumen-Gruppen geben kann, müssen wir uns nun einen eindeutigen Namen eingeben.

Nachdem wir diesen bestätigt haben, können wir auswählen welche Partitionen wir nutzen wollen. In unserem Fall wähle ich unsere CRYPT Partition aus und auch den gesamten freien Speicherplatz der zweiten Festplatte. Danach mit Weiter bestätigen und auch im darauffolgenden Hinweis die Änderungen mit JA auf die Festplatten schreiben.

Nun gelangen wir wieder auf die Startseite. Jetzt erstellen wir unsere logischen Volumen. Debian benötigt unterschiedliche Bereiche, um darin Daten zu speichern. Die wichtigsten sind: ROOT (das Hauptverzeichnis oder auch / geschrieben), HOME (Hier speichern unsere Benutzer ihre Daten), SWAP (Eine Auslagerungspartition wenn der eingebaute RAM voll läuft), TMP (Für temporäre Dateien) und VAR (für variable Dateien).

Da wir zusammen 85 GB zur Verfügung haben, teile ich die Grösse der Logischen Volumen folgendermassen auf:

  • 60GB für die HOME Partition
  • 2GB für den SWAP Bereich
  • 16G für den ROOT Bereich
  • 6G für den VAR Bereich
  • Rest für den TMP Bereich.

Wir erstellen diese Logischen Volumes im angezeigten Menü immer auf dieselbe Art. Zuerst «Logisches Volume erstellen» anwählen, dann unsere Volumen-Gruppe auswählen, dann einen Namen für das logische Volume eingeben, danach die Grösse eingeben (60G → 60 GB). Dies, solange wiederholen bis alle logischen Volumen wie in der Liste oben gezeigt angelegt wurden. Jetzt mit «Fertigstellen» den Vorgang abschliessen. In darauf erscheinenden Übersicht sehen wir nun die angelegten Volumens. Jetzt müssen wir diesen noch den richtigen Startpunkt und die richtige Formatierung zuweisen. Dazu wählen wir den ersten Eintrag aus und bestätigen mit Enter.

Bei «Benutzen als» wählen wir als Dateisystem «»EXT4» und beim Einbindungspunkt «/home». Danach schliessen wir mit «Anlegen der Partition beenden» ab. Wenn wir alles richtig gemacht haben, dann sieht der «HOME» Eintrag nun folgendermassen aus:

Dasselbe machen wir jetzt mit der Partition “ROOT”. “EXT4” als Dateisystem und «/» als Einbindungspunkt.

Die SWAP Partition ist ein wenig anders konfiguriert, nömlich verwenden wir hier als Dateisystem nicht «EXT4», sondern wählen hier der Format «Auslagerungsspeicher (swap)» aus. Mit «Anlegen der Partition können wir wieder abschliessen.

Weiter geht es mit TEMP, wo wir auch wieder EXT4 als Dateisystem und «/tmp» als Einbindungspunkt auswählen. Mit «Anlegen der Partition» wieder beenden.

Und zu guter Letzt binden wir noch unser VAR mit den Einstellungen EXT4 als Dateisystem und «/var» als Einbindungspunkt ein. Dies sollte dann im Endeffekt so aussehen:

Nach Abschluss mit «Anlegen der Partition» kommt der grosse Augenblick. Wir gehen in der Übersicht ganz nach unten und Beenden und Speichern unsere Änderung mit «Partitionierung beenden und Änderungen übernehmen». Nach der Abfrage, ob wir wirklich sicher sind, werden nun alle Änderungen auf die Partitionen und Festplatten geschrieben. Wenn hier jetzt keine Fehlermeldung kommt, können wir mit der Debian Installation fortfahren.

Nachdem wir nun Debian fertig eingerichtet und alle Komponenten installiert wurden, startet unser Rechner neu. Kurs nach dem blauen Startpunkt erscheint nun eine Abfrage, wo Ihr das gesetzte Verschlüsselungspasswort eingeben müsst, kurz darauf erscheint der Anmeldebildschirm von Debian.

Nun könnt’ Ihr sicher sein, dass alle von Euch gespeicherten Daten sicher sind, auch wenn Ihr das Notebook einmal verlieren solltet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.