[solved] Ein Hallo in die Runde und ein paar offene Fragen

[Kutus]

Hallo liebes Forum.

Ich möchte in Zukunft Gentoo als Hauptsystem verwenden. Ein Kumpel von mir benutzt es schon seit Jahren und schwärmt davon, aber leider kann er mir beim Thema Verschlüsselung nicht weiterhelfen, da er selbst keine benutzt. Mich reizt der Gedanke, mein System bis ins kleinste Detail optimieren zu können, motiviert bin ich also. Ich habe auch schon ein wenig Erfahrung mit Linux, vorallem Arch, welches ich seit ca. 5 Jahren verwende.
Da sich Gentoo allerdings stark von Arch unterscheidet und auch nach gründlicher Lektüre des offiziellen Gentoo-Wikis noch ein paar Fragen meinerseits offen sind, dachte ich mir, ich frage hier einfach mal nach.
Ich sollte vielleicht noch erwähnen, dass ich Gentoo bereits mehrmals installiert habe, sowohl mit Bios als auch UEFI, beides mit Verschlüsselung. Ich bin also kein totaler Anfänger.

Muss ich im Falle eines verschlüsselten LVM irgendwelche USE-Flags zwingend in die make.conf schreiben? Mein Kumpel meint, für die Erstinstallation braucht man keine USE-Flags, die könne man später noch setzen, wenn das System fertig installiert ist. Da er aber keine Verschlüsselung, UEFI oder LVM nutzt, weiß ich nicht, ob das in meinem Fall so richtig ist. Brauche ich bestimmte USE-Flags, damit das System später bootet?

Obwohl ich auch schon einen Kernel selber kompiliert habe und das System gebootet ist, würde ich trotzdem erst einmal Genkernel verwenden, allerdings bin ich etwas irritiert, weil in diesem Guide

https://wiki.gentoo.org/wiki/Full_Disk_Encryption_From_Scratch_Simplified

bei

[LuxJux]

Howdi. Mein gentoo läuft ohne Verschlüsselung. Zumindest das BasisSystem.
Ledilglich das /home auf /dev/sdb4 ist verschlüsselt.

Aktueller Tip: 2. Festplatte installieren

[Marlo]

[ChrisJumper]

Hi Kutus,

zuerst ist ein verschlüsseltes System nützlich, wenn du verhindern möchtest das jemand dein System manipuliert oder deine persönlichen Daten auslesen kann. Gegen letzteres reicht eine verschlüsselte Home-Partition.

Generell nutze ich keine verschlüsselten Systeme, sondern auch nur die Home-Variante und auch da sind nur sensible Daten verschlüsselt, aber ich kann den Wunsch nachvollziehen.

Dennoch die Vorteile eines unverschlüsselten Systems sind ein etwas einfacher Zugriff bei der Fehlerbehebung und Pflege. Kannst du zudem ausschließen das jemand Physischen Zugriff auf die Systeme hat, ist Verschlüsselung ohnehin kaum nötig.

Ein Angreifer der deine Systeme über das Netzwerk kompromittiert, findet ebenso die Daten unverschlüsselt vor, da sie per Luks dem Nutzer und Kernel ja schon unverschlüsselt bereit stehen.

Verschlüsseln kostet halt Zeit und Energie, ist aber zum Beispiel bei Notebooks angebracht weil diese ja auch gestohlen werden können. Mein nächstes ziel ist auch eine zwei Faktor Authentifizierung zu nutzen.

Die verlinkten Wikis geben eigentlich schon einige Hinweise.

Bei fragen zu Genkernel schau einfach in die Man-Page, was genau --luks macht. Ich tippe eher auf einen einfachen Support von Luks. Das dm-crypt/Luks wiki schreibt zu der Zeile:
"For a more complete set of explanations refer to the comments in /etc/genkernel.conf itself or to the output of man genkernel." Auf Deutsch, schaue dir die Kommentare in /etc/genkernel.conf an oder lese die Manual Pages zu genkernel.".

Also Alternativ überflige mal das Wiki zu: DM-Crypt full disk encryption

Nimm dir einfach immer mehr Zeit und nutze zum Lernen einfinden keine Systeme auf die du angewiesen bist, das sie funktionieren. Alternativ halt per Dual Boot und anderem Betriebssystem auf einer zweiten Partition/Festplatte.

Gentoo frisst anfangs Zeit weil das Kompilieren dauert, aber mit ein wenig Vorbereitung weiß man später auch die Transparenz und ausführlichen Fehlermeldungen zu schätzen.

Es könnte sein das genkernel --menueconfig unterstützt damit man zusätzlich noch bestimmte parameter im Kernel anpassen kann, ich habe das nie getestet weil ich meinen Kernel immer mit "make menuconfig" gefolgt von einem "make modules_install" per Hand baue.

Beobachte was das Programm macht und probiere es einfach mal aus. Wird schon nichts kaputt gehen! :)

Bei den Kernel ist es halt immer praktisch wenn man mehrere zur Auswahl hat, geht bei dem neuen etwas schief kann man das System zumindest mit dem vorherigen booten.

[aleck]

Hi Kutus,

ja, das ist mir vor einem Jahr auch aufgefallen als ich umgestiegen bin, dass es hier noch wenig fertige Rezepte gibt.
Ich hatte mir dann selbst was gebaut.

- Initrd System auf USB-Stick
- Loopdevice auf Festplatte verschlüsselt mit DMCrypt

Das Initrd-Image erzeuge ich mit einem selbst erstellt mkinitramfs bash script. Ich hatte damals eine veraltete Vorlage
gefunden und die ausgebaut.

Installiert habe ich das ganze, in dem ich
- von einem Rettungssystem die verschlüsselten Partitionen erstellt habe
- dort das Base-System hin entpackt habe
- mit chroot in das die verschlüsselte Partition gegangen bin
- die Installation fortgesetzt habe bis auf den Grub-Teil
- mein Init-System gebaut habe und Kernel und Init-System auf den USB-Stick gezogen habe

Das ganze kann man natürlich auch ohne USB-Stick betreiben, allerdings benötigst du dann eine unverschlüsselte Boot-Partition auf dem Rechner.

Wenn du hier genauere Hilfe haben willst, gib mir Bescheid, dann dokumentiere ich das mal soweit ich mich noch erinnere und stelle die Skripte online.

viele Grüße

[Kutus]

Okay, das hilft mir weiter. So wie ich es jetzt verstehe, nimmt genkernel einem lediglich ein paar Arbeitsschritte ab, also was man sonst mit make && make_modules install und dem erstellen der Ramdisk manuell erledigt. Oder wahlweise mit genkernel install --initramfs. Dass man mit --menuconfig auch bei genkernel noch selber Hand anlegen kann, wusste ich schon, aber ich dachte immer, dass der Befehl "genkernel all" sowieso alles mitnimmt. Auch die ganzen Ciphers und Verschlüsselungsoptionen.

Verschlüsseln mache ich immer, da ich fast ausschließlich mit Notebooks arbeite. Klar, kostet etwas Performance, aber dafür hab ich die Gewissheit, dass bei einem Diebstahl niemand so einfach an die Daten kommt. Hab bisher immer mit LUKS-Passphrase verschlüsselt, das reicht für meine Zwecke auch vollkommen aus. Keyfiles auf USB-Sticks sind zwar auch fein, aber ich neige dazu, die zu verbummeln.

Bringt es einem eigentlich irgendwelche Vorteile, wenn man über EFI-STUB bootet? Ich probiere gerade diesen Guide aus:

https://willeponken.me/post/gentoo_with_dm-crypt_luks/

Aber bis auf den Punkt, dass man sich die Installation von Grub spart, seh ich jetzt direkt keinen Vorteil. Habe gelesen, dass sich EFI-STUB bei embedded Devices anbietet, das sind doch solche Geräte, wie der Raspberry, oder?

Grüße

[Tyrus]

@Kutus:
Also ich selber hab eine offene /boot-Partition wo das UEFI-Zeug und die Kernels und grub dann hinkommen. Sonst liegt da nix. Ich sehe da auch keine Gefahr das offen zu lassen. Du kannst dann nur einen externen Träger für Boot benutzen und den seperat verwalten wenn du das anders willst.

Meine Bootfestplatte sieht genau so aus:

[Tyrus]

@Kutus:

Zu deinem Guide. Dort wird kein LVM benutzt. Damit kannste dann eben nur ein Filesystem verschlüsseln. LVM erlaubt es virtuelle logische Laufwerke zu erzeugen. Ausserdem kann man mit LVM auch mehrere pyshische Devices benutzen und Teile von von jedem einzelnen zu einem virtuellen logischen Laufwerk zusammensetzen. Sprich: Es lässt sich leicht vergrössern.

Mich hatte damals diese Übersicht inspiriert: https://wiki.siduction.de/index.php?title=Verschl%C3%BCsseltes_System_mit_LUKS/dm-crypt_und_LVM_aufsetzen
Das ist aber kein Guide für Gentoo.

Ein lvdisplay bei mir sieht so aus:

[Kutus]

Alternativ ginge es auch, den Laptop über ein Bios-Passwort zu sichern. In diesem Fall würde es ausreichen, Gentoo ganz normal zu installieren und dann hinterher einfach im Bios das Passwort zu setzen, oder? Ein Vorteil davon wäre doch, dass man sich die Performanceeinbußen durch das Verschlüsseln mit LUKS und LVM spart. Da mein Laptop nur 2 CPUs hat und auch nur 4 GB Ram wäre das vielleicht gar nicht mal so verkehrt. Bei einem Diebstahl wär der Laptop immernoch geschützt, solange der Dieb nicht die Festplatte ausbaut, denn ich glaub, in dem Fall setzt die Firmware auf dem Motherboard das Passwort und die Festplatte selber wird nicht verschlüsselt. Was haltet ihr davon? Einfach nen Boot-Passwort vergeben, oder doch ganz klassisch mit LUKS verschlüsseln?

Grüße

edit: Okay, hab gerade gesehen, dass man Bios-PWs ziemlich leicht mit Software entfernen kann, ist wohl doch keine Alternative zu LUKS.

[mv]

[Yamakuzure]

[LuxJux]

.

Edit: Dumme Bemerkung entfernt.

[Kutus]

Schade, also dieser Guide

https://willeponken.me/post/gentoo_with_dm-crypt_luks/

funktioniert bei mir schon mal nicht. Wenn ich reboote, bekomm ich die Nachricht, no bootable Device Found. Keine Ahnung, ob bei dieser installation efibootmgr relevant ist, jedenfalls verweist der Standardeintrag aufs CD-ROM, was dann kein Wunder ist. Allerdings kann ich auch keinen neuen Booteintrag erstellen, da bekomme ich dann die Meldung zurück, dass es sich um ein read-only filesystem handelt. Habe mir den Artikel im Wiki zu EFI Stub durchgelesen und im Kernel ist auch soweit alles aktiviert, die Ciphers hab ich sicherheitshalber direkt in den Kernel gepackt, nicht als Modul, allerdings komm ich gar nicht dazu, irgend ein PW einzugeben. Die Kernels liegen bei mir sowohl in /boot/EFI/boot/bootx64.efi als auch in /boot/EFI/Gentoo/bzimage.efi, wobei das relevante Verzeichnis bei meinem Gerät /boot/EFI/boot/bootx64.efi sein dürfte. Die Initramfs ist bei dem Guide selber geschrieben und liegt in /usr/src/initramfs/init. Muss ich da evtl. noch irgendwelche Rechte setzen oder mit openrc irgend ein Service starten? Kenne mich noch nicht so sehr mit OpenRc aus. Achso und die einzige USE-Flag ist "Device-Mapper", vielleicht fehlt da auch noch was wichtiges in der Make.conf. Installiert hab ich das ganze mit nem SystemRescueCd-ISO, welches auf Gentoo basiert und mit der normalen Installation via LUKS+LVM+GRUB funktionierte die Installation auch.
Habt ihr irgendeine Idee, wo das Problem liegen könnte? Würde gerne mit EFI Stub booten. Ich könnte die Installation mal ohne Verschlüsselung testen, aber eigentlich wär es Zeitverschwendung, da ich ja weiß, dass ich Verschlüsselung brauche. Bin mit meinem Latein am Ende, werde wohl die normale Installation mit LUKS+LVM+GRUB machen.

Liebe Grüße

edit: Ich bin noch unentschlossen, welches Init-System ich benutzen soll. Unter Arch ist ja Systemd der Standard, wie verträgt sich das mit Gentoo? Unter Arch hatte ich damit nie Probleme und kenne es auch besser als OpenRC. Gibts - abgesehen von philosophisch-ideologischen Einwänden - Gründe, OpenRC Systemd vorzuziehen? Auf Lange Sicht probiere ich sowieso OpenRC aus, es geht mir bei der Entscheidung im Moment eher darum, mir den Umstieg anfangs etwas zu erleichtern, da die Distribution an sich schon eine Umstellung ist.

[Max Steel]

Es funktioniert beides gut unter Gentoo. "Standard" und damit die präferierte INstallationsvariante unter Gentoo ist eigentlich openrc. Aber die Umstellung auf systemd ist im gentoo Wiki beschrieben.
_________________
mfg
Steel
___________________

Heim-PC: AMD Ryzen 5950X, 64GB RAM, GTX 1080
Laptop: Intel Core i5-4300U, 16GB RAM, Intel Graphic
Arbeit-PC: Intel i5-1145G7, 16GB RAM, Intel Iris Xe Graphic (leider WSL2)

[mv]

Ich habe sowohl systemd als auch openrc installiert: So kann ich im Fall von Problemen ggf. das jeweils andere System booten.
Um das zu erreichen, kompiliere alles mit USE="systemd", systemd selbst aber unbedingt mit USE="-sysv-utils -resolvconv".
Dann entscheidet einfach die Kernel-Startzeile (/lib/systemd/systemd bzw. /sbin/init) über das benutzte Init-System. Wenn Du grub2 bernutzt, kannst Du bei geeigneter Konfiguration so leicht beim Booten umschalten.

Zu EFI kann ich nichts sagen; ich hatte das auch nie geschafft, zu installieren...

[Kutus]

Guten Morgen,

wie verhält es sich denn mit der Performance bei einem verschlüsselten System? Ich hab nur 4 GB RAM und möchte eine SWAP-Partition für Hibernation erstellen und generell wenn mal der RAM voll sein sollte, man weiß ja nie. Swap ist ja generell schon langsamer als der RAM, wenn das ganze dann noch verschlüsselt ist, wirds noch langsamer. Macht sich die bessere Performance spürbar bemerkbar, wenn man auf die Verschlüsselung des gesamten Systems verzichtet und z. B. nur /home verschlüsselt oder Container nutzt?

Liebe Grüße

[Marlo]

[Max Steel]

[Kutus]

[doedel]