Difference between revisions of "Festplattenverschlüsselung während der UCS-Installation"

From Univention Wiki

Jump to: navigation, search
m (UCS-Version hinzugefügt)
(Replaced content with "{{Version|UCS=4.1}} Documentation about hard drive encryption domain can be found in the [https://docs.software-univention.de/manual-4.1.html#installation:Partitionieren_...")
 
Line 1: Line 1:
{{Version|UCS=2.4}}
+
{{Version|UCS=4.1}}
  
Um während der Installation bereits die Festplatte zu verschlüsseln, sind ein paar manuelle Schritte notwendig. Hierfür muss der "expert mode" von der Installations-DVD gestartet werden.
+
Documentation about hard drive encryption domain can be found in the [https://docs.software-univention.de/manual-4.1.html#installation:Partitionieren_der_Festplatten UCS documentation]
 
 
Die Installation bis zum Modul der Partitionierung wie gewohnt vornehmen. Sobald dazu aufgefordert wird mit ALT+F2 auf die Konsole wechseln.
 
 
 
''Hinweis:'' Für diese Anleitung wird folgende Festplattenpartitionierung gewählt:
 
 
 
/dev/sda1 /boot 500MB Linux (83)
 
/dev/sda2 LVM Rest LVM (8e)
 
 
 
Die Partitionierung kann mit cfdisk, fdisk oder parted vorgenommen werden.
 
 
 
Im nächsten Schritt muss mit cryptsetup die sda2 verschlüsselt werden:
 
 
 
cryptsetup luksFormat /dev/sda2
 
 
 
Es muss zweimal das Passwort eingegeben werden, anschließend muss die Partition entschlüsselt werden:
 
 
 
cryptsetup luksOpen /dev/sda2 sda2_crypt
 
 
 
Im nächsten Schritt wird das LVM eingerichtet:
 
 
 
pvcreate /dev/mapper/sda2_crypt
 
vgcreate vg_ucs /dev/mapper/sda2_crypt
 
lvcreate -L5G -n swap vg_ucs
 
 
 
Der restliche Speicherplatz wie folgt bereitgestellt werden:
 
 
 
lvcreate -l 100%FREE -n rootfs vg_ucs
 
 
 
Jetzt müssen die Dateisysteme auf die Partitionen geschrieben werden:
 
 
 
mkswap /dev/mapper/vg_ucs-swap
 
mkfs.ext4 /dev/mapper/vg_ucs-rootfs
 
mkfs.ext3 /dev/sda1
 
 
 
Damit der Installer auch richtig installieren kann müssen folgende UCR-Variablen gesetzt werden:
 
 
 
ucr set grub/root="/dev/sda" \
 
installer/device/0/fs="ext4" \
 
installer/device/0/mp="/" \
 
installer/device/0/name="/dev/mapper/vg_ucs-rootfs" \
 
installer/device/1/fs="linux-swap" \
 
installer/device/1/mp="None" \
 
installer/device/1/name="/dev/mapper/vg_ucs-swap" \
 
installer/device/2/fs="ext3" \
 
installer/device/2/mp="/boot" \
 
installer/device/2/name="/dev/sda1" \
 
 
 
Mit ALT+F1 in den Installer zurückwechseln und die restlichen Einstellungen wie gewohnt durchführen. Nach Abschluss der Installation '''NICHT''' neustarten, es müssen weitere Einstellungen vorgenommen werden. Erneut auf die Konsole wechseln mit ALT+F2 und eine DHCP-Adresse beziehen:
 
 
 
dhclient eth0
 
 
 
Nun muss das frisch installierte Systeme gemountet und anschließend per chroot hineingewechselt werden:
 
 
 
mount /dev/mapper/vg_ucs-rootfs /instmnt
 
mount /dev/sda1 /instmnt/boot
 
chroot /instmnt /bin/bash
 
 
 
Damit beim Booten die verschlüsselte Festplatte geöffnet werden kann muss cryptsetup installiert werden:
 
 
 
apt-get update && apt-get install cryptsetup
 
 
 
Nun muss die /etc/crypttab angepasst werden:
 
 
 
<target name> <source device>        <key file>      <options>
 
sda2_crypt      /dev/sda2            none            luks
 
 
 
''Hinweis:'' zwischen den Einträgen sind Tabs zu setzen<br>
 
''Ausnahme:'' zwischen &lt;source device&gt; und &lt;key file&gt; müss zwei Tabs gesetzt werden
 
 
 
Anschließend müssen erweiterte Kernel-Optionen für Grub hinzugefügt werden, damit während des Bootvorgangs die Festplatte entschlüsselt werden kann:
 
 
 
ucr set grub/append="root2fstype=ext4 root=/dev/mapper/vg_ucs-rootfs \
 
resume=/dev/mapper/vg_ucs-swap splash=silent rootdelay=5 \
 
cryptopts=target=sda2_crypt,source=/dev/sda2,lvm=vg_ucs-rootfs"
 
 
 
Jetzt muss noch die Keymap installiert und initrd aktualisieren:
 
 
 
install-keymap "/usr/share/keymaps/i386/qwertz/de-latin1-nodeadkeys.kmap.gz"
 
update-initramfs -kall -u
 
 
 
Abschließend muss das chroot mit exit verlassen und die eingehangenen Verzeichnisse müssen ausgehangen werden.
 
 
 
Jetzt kann das System neugestartet werden.
 

Latest revision as of 09:26, 6 October 2016

Produktlogo UCS Version 4.1

Documentation about hard drive encryption domain can be found in the UCS documentation

Personal tools