Verschlüsselung durch LUKS ist die bevorzugte Methode Linux-Systeme ab Installation vor Fremdzugriffen zu schützen. Besonders für mobile Endgeräte ist eine Vollverschlüsselung unentbehrlich. Eine andere Empfehlung ist es, stets Root- und Homeverzeichnisse auf unterschiedlichen Partitionen der Festplatte unterzubringen, was wiederum den Schutz der persönlichen Daten bei späteren Systemwechseln oder Migrationen sehr vereinfacht.
Die herkömmliche Installationsroutine für Ubuntu- oder Debianderivate es aber gerade nicht, mehrere Partitionen in Verbindung mit LUKS-Verschlüsselung hinzuzufügen. Die Partition kann allerdings nachträglich hinzugefügt werden und mit dieser Anleitung klappt es.
Vorausgesetzt ist, daß das Betriebssystem bereits installiert und mit LUKS verschlüsselt wurde. Die Installation nutzt die gesamte Festplatte und weist keine weiteren Partitionen auf.
Wichtig: es empfiehlt sich immer, vor Systemeingriffen wie diesem, ein Backup der privaten Daten im Home-Verzeichnis anzulegen!
Für den ersten Schritt benötigen wir ein Linux live-USB. Dies kann dieselbe sein, was für die Installation genutzt wurde. Da wir den KDE Partition Manager nutzen, sind natürlich Systeme von Vorteil, welche von vornherein KDE als Desktopumgebung nutzen. Dies wären beispielsweise Kubuntu oder MX Linux KDE. Aber auch in anderen live-USBs lässt sich das Programm über die Paketverwaltung nachinstallieren.
Die Partitionierung der Festplatte muß von einem Livesystem geschehen. Wir starten also die live-USB Umgebung und installieren den KDE Partition Manager.
sudo apt install partitionmanager
Anschließend starten wir den KDE Partition Manager über das Startmenü. Innerhalb des Partitionenmanagers finden wir unsere verschlüsselte Partition. Durch einen Rechtsklick darauf wählen wir im Kontextmenü „entschlüsseln“ und geben das Passwort zum Öffnen der Partition ein. Einmal F5 drücken um das Verzeichnis zu aktualisieren, nun können wir diese aufklappen und finden darin unsere Root Partition.
Nun können wir die Rootpartition verkleinern und eine neue Größe auswählen. Empfehlenswert sind eine Größe zwischen 50-80GB. Im nun frei gewordenen Speicher können wir unsere Home-Partition namens vgkubuntu-home (oder wie ihr möchtet) anlegen, sowie eine Swap-Partition falls nicht vorhanden. Der größere Teil unserer Festplatte wird sicherlich mit unseren persönlichen Daten angefüllt, daher können wir ruhig den Rest der Festplatte mit unserer Home-Partition anfüllen. Als Dateisystem können wir ruhig den Standard „ext4“ beibehalten.
Als nächstes müssen wir beide Partitionen, unser Root sowie Home, einbinden. Nehmen wir an unsere Root-Partition ist vgkubuntu-root und unsere neu erstellte Home-Partition vgkubuntu-home, dann binden wir beides in das Dateisystem ein.
sudo mkdir /mnt/root
sudo mkdir /mnt/home
sudo mount /dev/mapper/vgkubuntu-root /mnt/root
sudo mount /dev/mapper/vgkubuntu-home /mnt/home
Nachdem beide Partitionen eingebunden sind muß unser Ziel sein, den Inhalt unseres bisherigen Home-Verzeichnisses auf unsere Home-Partition zu kopieren. Nur den Inhalt wohlgemerkt, nicht das Verzeichnis als solches. Auf unserer Home-Partitionen darf es kein Unterverzeichnis „home“ geben. Hierzu kann einfach der im Livesystem laufende Dateimanager verwendet werden.
Die neue Home-Partitionen muß abschließend noch in der fstab unseres Systems eingetragen werden. Die genaue Bezeichnung unserer Partitionen als eindeutige ID können wir mit folgenden Befehlen auslesen, nachdem unsere verschlüsselten Partitionen mittels Partition Manager eingebunden wurden:
lsblk
Dadurch werden alle vorhandenen Partitionen des Systems angezeigt, inklusive der erkannten LUKS-Partition. Wir erkennen das vorhin erstellte, logische Laufwerk vgkubuntu-home wieder.
sudo blkid /dev/mapper/vgkubuntu-home
Darauf wird uns unter „LABEL“ die eindeutige ID der Partition angezeigt, in einem Format etwa wie diesem: „UUID=f4824c-7bhi-27b5-dk65fde66f564“. Diese ID kopieren wir und bearbeiten damit die fstab Konfiguration direkt.
sudo nano /etc/fstab
In der fstab stellen wir zunächst sicher, daß nicht bereits ein Eintrag für /home besteht und fügen dann folgende Zeile hinzu.
UUID=f4824c-7bhi-27b5-dk65fde66f564 /home ext4 noatime 1 2
Nach einem Neustart ist euer System wie gewünscht eingerichtet und eure privaten Daten sauber von der Systempartition getrennt.
Ist es nicht so, dass da etwas fehlt? Ein chroot oder das Beenden des Live-Systems? Bin zwar völliger Noob, habe aber den Eindruck, dass die Änderungen ins falsche System geschrieben werden…
Ich denke du meinst das Update von Initramfs. Dies wird benötigt bei einer Installation in ein System mit bestehendem Luks-Header, etwa bei einem Upgrade mit Distributionen die nur eine Vollverschüsselung mit nur einer Partition unterstützen. Dies ist hier nicht notwendig. Die neue home-Partition wird in fstab eingetragen und die Sitzung im Live-System am Ende dieser Anleitung beendet.