Festplattenverschlüsselung während der UCS-Installation

From Univention Wiki

Revision as of 13:34, 24 October 2011 by Denissen (talk | contribs) (Syntax korrigiert)
Jump to: navigation, search

Um während der Installation bereits die Festplatte zu verschlüsseln, sind ein paar manuelle Schritte notwendig. Hierfür muss der "expert mode" von der Installations-DVD gestartet werden.

Die Installation bis zum Modul der Partitionierung wie gewohnt vornehmen. Sobald dazu aufgefordert wird mit ALT+F2 auf die Konsole wechseln.

Hinweis: Für diese Anleitung wird folgende Festplattenpartitionierung gewählt:

/dev/sda1 /boot 500MB Linux (83)
/dev/sda2 LVM Rest LVM (8e)

Die Partitionierung kann mit cfdisk, fdisk oder parted vorgenommen werden.

Im nächsten Schritt muss mit cryptsetup die sda2 verschlüsselt werden:

cryptsetup luksFormat /dev/sda2

Es muss zweimal das Passwort eingegeben werden, anschließend muss die Partition entschlüsselt werden:

cryptsetup luksOpen /dev/sda2 sda2_crypt

Im nächsten Schritt wird das LVM eingerichtet:

pvcreate /dev/mapper/sda2_crypt
vgcreate vg_ucs /dev/mapper/sda2_crypt
lvcreate -L5G -n swap vg_ucs

Der restliche Speicherplatz wie folgt bereitgestellt werden:

lvcreate -l 100%FREE -n rootfs vg_ucs

Jetzt müssen die Dateisysteme auf die Partitionen geschrieben werden:

mkswap /dev/mapper/vg_ucs-swap
mkfs.ext4 /dev/mapper/vg_ucs-rootfs
mkfs.ext3 /dev/sda1

Damit der Installer auch richtig installieren kann müssen folgende UCR-Variablen gesetzt werden:

ucr set grub/root="/dev/sda" \
installer/device/0/fs="ext4" \
installer/device/0/mp="/" \
installer/device/0/name="/dev/mapper/vg_ucs-rootfs" \
installer/device/1/fs="linux-swap" \
installer/device/1/mp="None" \
installer/device/1/name="/dev/mapper/vg_ucs-swap" \
installer/device/2/fs="ext3" \
installer/device/2/mp="/boot" \
installer/device/2/name="/dev/sda1" \

Mit ALT+F1 in den Installer zurückwechseln und die restlichen Einstellungen wie gewohnt durchführen. Nach Abschluss der Installation NICHT neustarten, es müssen weitere Einstellungen vorgenommen werden. Erneut auf die Konsole wechseln mit ALT+F2 und eine DHCP-Adresse beziehen:

dhclient eth0

Nun muss das frisch installierte Systeme gemountet und anschließend per chroot hineingewechselt werden:

mount /dev/mapper/vg_ucs-rootfs /instmnt
mount /dev/sda1 /instmnt/boot
chroot /instmnt /bin/bash

Damit beim Booten die verschlüsselte Festplatte geöffnet werden kann muss cryptsetup installiert werden:

apt-get update && apt-get install cryptsetup

Nun muss die /etc/crypttab angepasst werden:

<target name> <source device>         <key file>      <options>
sda2_crypt      /dev/sda2             none            luks

Hinweis: zwischen den Einträgen sind Tabs zu setzen
Ausnahme: zwischen <source device> und <key file> müss zwei Tabs gesetzt werden

Anschließend müssen erweiterte Kernel-Optionen für Grub hinzugefügt werden, damit während des Bootvorgangs die Festplatte entschlüsselt werden kann:

ucr set grub/append="root2fstype=ext4 root=/dev/mapper/vg_ucs-rootfs \
resume=/dev/mapper/vg_ucs-swap splash=silent rootdelay=5 \
cryptopts=target=sda2_crypt,source=/dev/sda2,lvm=vg_ucs-rootfs"

Jetzt muss noch die Keymap installiert und initrd aktualisieren:

install-keymap "/usr/share/keymaps/i386/qwertz/de-latin1-nodeadkeys.kmap.gz"
update-initramfs -kall -u

Abschließend muss das chroot mit exit verlassen und die eingehangenen Verzeichnisse müssen ausgehangen werden.

Jetzt kann das System neugestartet werden.

Personal tools