[Arch] Suche Anleitung/Hilfe zu Grub auf USB-Stick; Festplatten ganz verschlüsselt

[MSX]

Hallo zusammen,

ich las immer wieder, dass es möglich sei, nur Grub in eine 1 MB-große Partition auf einen USB-Stick zu packen und alles andere zu verschlüsseln, *inklusive* Boot-Partition. Im Arch-Forum schreibt ein Mensch, bei ihm gebe es nicht einmal eine sichtbare Partitionstabelle auf den Festplatten. Das wäre natürlich der Idealfall und richtig cool. :-)
Nun suche ich eine solche Möglichkeit für meinen Rechner mit einem normalen BIOS (für UEFI scheint sich das Vorgehen leicht zu unterscheiden). Ich möchte also nur noch Grub auf einem Stick haben, von dort aus booten und auf den Festplatten jedes Bit verschlüsselt wissen. Das endgültige Ziel wäre dann, alles auf eine SanDisk Ultra microSDXC zu packen.

Die zwei Anleitungen, die ich dazu fand, wären diese hier:

http://www.pavelkogan.com/2014/05/23/luks-full-disk-encryption/
https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system#LVM_on_LUKS

Die erste Anleitung funktioniert so nicht bei mir und ich erhalte eine Fehlermeldung bei den ersten beiden Befehlen, die ich nun aber gerade leider nicht posten kann.
Bei der zweiten Anleitung scheint aber die Boot-Partition wieder nicht verschlüsselt zu sein, oder meint man dort nur Grub und ich verstehe das falsch?
Auch verstehe ich nicht ganz, wie das nun funkionieren soll. Sprich, ich hab einen Stick mit Arch drauf und genau dieser wird dann auch später für Grub benutzt? Oder brauche ich imho logischerweise einen zweiten Stick, auf dem das dann eingerichtet wird?

Bevor ich nun noch Jahre weiterlese und teste (in VirtualBox geht eine solche Simulation imho eh nicht): Hat jemand sowas schon einmal gemacht, bzw. kann und mag hier eine kurze Anleitung für die ersten paar Schritte zur Partitionierung und Einrichten von LUKS und LVM mit den gewünschten Eigenschaften schreiben? Das eigentliche Einrichten danach sollte dann ja kein Problem darstellen.

Wenn jemand Lust hätte, sich dazu auszutauschen, wäre das klasse.

 

[Asseon]

Re: [Arch] Suche Anleitung/Hilfe zu Grub auf USB-Stick; Festplatten ganz verschlüssel

Wenn du den Stick mit arch Komplett verschlüsselt haben möchtest musst du den Bootloader irgendwoanders speichern, ein 2. stick könnte dafür herhalten.
Die andere Variante, wie in dem Blockpost beschreiben, ist mit einer Partition zu arbeiten, dann kann der Bootloader auf den selben stick


Die Anleitung aus dem archwiki arbeitet, wie du richtig erkannt hast, mit unverschlüsselter /boot Partition.
Das entspricht btw. meinem Setup.


In dem blockpost den du verlinkt hast wird mit einer partition und MBR gearbeitet. Der Bootloader wird bei dieser Konfiguration im MBR und im freien Bereich zwischen MBR und der ersten Partition gespeichert.
Einige der Kommandos, darunter auch die ersten beiden, müssen ggf. an die vorhandenen Gegebenheiten angepasst werden, /dev/sda ist die die erste Festplatte, die der Kernel gefunden hat und /dev/sda1 die erste Partition auf der ersten platte.
Ich vermute mal dass es damit Probleme gab, die exakte Fehlermeldung würde mich trotzdem mal interessieren.

Welche platten, oder genauer welche blockdevices, dazu zählen Festplatten, optische Medien und auch USB Sticks, vorhanden sind kann man sich mit dem Befehl lsblk anzeigen lassen.
Dort kannst du ggf. anhand der Speicherkapazität den Zieldatenträger identifizieren und die Kommandos entsprechend anpassen.

 

[Metal_Warrior]

Re: [Arch] Suche Anleitung/Hilfe zu Grub auf USB-Stick; Festplatten ganz verschlüssel

Sollte eigentlich recht einfach gehen, hab ein ähnliches Setup mit Debian.

Grundsätzlich lässt dich cryptsetup alles verschlüsseln, was du ihm unter die Nase hältst, also natürlich auch vollständige Blockdevices, womit die Partitionstabelle auch verschlüsselt ist und der ganze Datenträger einen großen Haufen Datenmüll für den Laien darstellt. Natürlich ist aber der LUKS-Header immer lesbar, es sei denn, du überschreibst ihn nach jedem luksClose und stellst ihn vor jedem luksOpen aus einem Backup vom USB-Stick wieder her.

Jedenfalls muss irgendetwas unverschlüsselt sein, üblicherweise ist das /boot, was du ja als Partition auf dem USB-Stick mit dir rumtragen kannst. Dort wird der Kernel abgelegt, Grub und die dmcrypt-Module - damit kann man (also jeder andere) überhaupt nichts anfangen (und man kann das Zeug natürlich jederzeit wieder aus den Repos ziehen). Stöpselst du das an den Rechner ran und bootest davon, kann dir der Kernel direkt die Festplatten entschlüsseln, die dort gefundenen Partitionen (dafür musst du vielleicht nach dem decrypt nochmal partprobe ausführen) einbinden, in /boot deinen USB-Stick mounten und du kannst dein System verwenden. Im Prinzip sollte das sogar einwandfrei mit dem Expertenmodus des Installers funktionieren. Bei Arch weiß ich das nicht, aber Debian ist da echt komfortabel, auch wenn ich nur meine Datenplatten vollverschlüsselt habe (also erst RAID, dann LUKS und dann erst Partitionierung).

 

[Asseon]

Re: [Arch] Suche Anleitung/Hilfe zu Grub auf USB-Stick; Festplatten ganz verschlüssel

archlinux hat dem kiss Prinzip folgend keinen installer.
Die install cd ist nichts weiter als eine archlinux grundinstalation als live system mit den nötigen bootstrapping tools.

 

[MSX]

Re: [Arch] Suche Anleitung/Hilfe zu Grub auf USB-Stick; Festplatten ganz verschlüssel

@Asseon: Was die Fehlermeldung angeht, so hatte ich das gestern nacht nochmals probiert und diesmal keine solche erhalten, was mich sehr wundert, denn ich hatte das mehrfach versucht und extra sehr genau geschaut beim ersten Testen vor einer Weile. Soweit ich mich erinnern kann, war es entweder die Meldung, dass das Programm nicht gefunden werden könne oder ich die Parameter nicht richtig gesetzt hätte. Allerdings war da meine Testumgebung nicht anders als jetzt.

Demzufolge müsste ich nur die dort erzeugte Partition auf meinen zweiten USB-Stick legen, oder? Wobei ich mir nochmals ansehen muss, wie und wo nun der Bootloader installiert wird, damit er eben auch dort landet.

@Metal_Warrior: Das mit dem LUKS-Header ist ein interessanter Hinweis. Ich weiß gerade nicht, warum ich davon ausgegangen wäre, dass kein solcher entsteht, aber ja, gut zu wissen. Das mit dem Entfernen selbigens ist mir dann aber doch eine Nummer zu hart. Mir gehts bei der Sache mehr um den Spaß dran, sowie um das fiktive und wohl eh niemals eintretende Szenario, dass jemand hier einbricht und meinen Bootloader manipuliert.

Der Anleitung von diesem Blogger zufolge braucht es außer Grub mit dm-crypt-Modul nichts, was unverschlüsselt ist. Das wäre aus meiner Sicht auch logisch und eben das Ziel. Dieser Teil soll getrennt von den Festplatten mitführbar sein, damit ich ihn zum Booten nutzen kann.

 

[Metal_Warrior]

Re: [Arch] Suche Anleitung/Hilfe zu Grub auf USB-Stick; Festplatten ganz verschlüssel

Ich kann mir nur schwer vorstellen, dass dmcrypt ohne Kernel läuft (immerhin ist es nen Kernelmodul, das zur Verschlüsselung die Kernel-Crypto-API verwendet). Jedenfalls gibt es einen Grund, warum Debian bei ner Vollverschlüsselung explizit /boot auslässt.

An deiner Stelle würde ich jedenfalls so vorgehen:

- LiveCD booten
- Festplatte verschlüsseln
- Festplatte entschlüsseln und mit Müll vollschreiben (dd if=/dev/urandom of=/dev/mapper/$CRYPTODRIVE) - Vorsicht, dauert je nach Größe auch mal ein paar Tage
- Festplatte partitionieren
- Die Platte so einrichten, dass du als /boot deinen USB-Stick eingebunden hast (neben allen anderen Mounts, die du so haben willt, also /home und - falls gewünscht - den Rest)
- Darauf dann dein System installieren
- mit chroot auf die Platte wechseln
- Bootloader auf den Stick schreiben und update-initramfs ausführen (falls das geht, ich bin mir grad nicht sicher, irgendwo gabs bei den Schritten mal nen Problem mit chroot)
- Eventuelle sonstige Anpassungen vornehmen (falls nötig; normalerweise sollte dein System erkennen, dass es auf ner verschlüsselten Platte sitzt und sich selbst richtig konfigurieren, falls Arch da nicht etwas unselbstständig ist)
- vom USB-Stick booten und freuen

Jedenfalls läuft es bei nem Debian etwa so (wenngleich das eigentlich alles der Installer selbst macht bzw. man selbst beim Durchlaufen des Installers - ich nehm eh immer den Expert Mode). Arch sollte sich davon eigentlich nur mehr oder minder marginal unterscheiden, wobei ich ehrlich gesagt es nie ausprobiert habe - mir waren hochstabile Systeme immer wichtiger als Fummelei und Minimalismus.

 

[Asseon]

Re: [Arch] Suche Anleitung/Hilfe zu Grub auf USB-Stick; Festplatten ganz verschlüssel

natürlich funktioniert das dm-crypt modul des kernels nicht ohne weiteres außerhalb, aber, wie in dem von msx verlinkten blogpost dargelegt, verfügt grub über eigene module zum "öffnen" von verschlüsselten Partitionen.
Damit ist eine verschlüsselte /boot partition durchaus möglich.

Und genaus das wird in besagtem blogpost auch beschreiben, nur leider ist dieser nicht unbedingt für linux Anfänger geschrieben.

 

[sia]

Re: [Arch] Suche Anleitung/Hilfe zu Grub auf USB-Stick; Festplatten ganz verschlüssel

Man könnte das mit der Bootloaderverschlüsselung mit einem Hardware-Key umgehen.
BIOS-Passwort und intrusion detection sollte ausreichen.

Ist die Frage, wie sicher das sein muss.
Gegen Diebe und Leute, die dir den PC wegnehmen, um an deine Daten zu kommen, hilft LUKS sehr gut. Da würde aber auch ecryptfs ausreichen.

Gegen die NSA und Co. hilft das natürlich nicht.
Die tauschen dir den BIOS-Chip aus oder installieren einen HW-Keylogger. Oder setzen sich im Café hinter dich.
Da brauchst du einen PC mit Airgap und hast ganz andere Probleme. Und würdest diese Frage nicht hier stellen.

Der Blogpost ist doch eigentlich sehr präzise.
So funktionierts. Musst eben statt /boot auf die HDD zu packen den USB-Stick nutzen. Einfach noch mal versuchen