webentwicklung-frage-antwort-db.com.de

Duale Ubuntu-Installationen mit vollständiger Festplattenverschlüsselung

Mein Ziel ist es, einen Xubuntu/Ubuntu-Dual-Boot mit einem Haken zu haben - ich möchte, dass die Festplatte vollständig mit der dm-crypt-Verschlüsselung (nativ mitgeliefert) für die gesamte Festplatte verschlüsselt wird. Jetzt weiß ich, dass der Ubuntu-Installer dies für mich nicht einfach machen wird, und vielleicht ist dies nicht machbar, weil ich nicht sicher bin, ob ich die Tools letztendlich dazu verleiten kann, die zwei verschiedenen initrd-Konfigurationen für jedes Root-Dateisystem zu erstellen .

Also Fragen:

  1. Hat das schon mal jemand gemacht und gibt es einen einfachen Weg, den ich vermisse, um das zu tun?

  2. Gegeben (1) ist negativ ... a. Soll ich für jede Installation separate verschlüsselte Basisvolumes erstellen (xubuntu/ubuntu) oder soll ich nur 1 verschlüsseltes Volume erstellen und darin separate Installationspartitionen installieren? Ich neige zu Letzterem, um den Prozess zu vereinfachen. Ich bin mir jedoch nicht sicher, wie der Bootloader damit umgehen wird.

b. Wie entschlüssele ich nach dem ersten Einlegen eines verschlüsselten Volumes dieses und installiere die zweite Distribution (und aktualisiere den Bootloader, die initrd usw. ordnungsgemäß)?

Ich habe nach den Sicherheitsaspekten von Security Stack Exchange gefragt.

2
Tek Tengu

Hier ist der vollständige Account.

Ich habe die Schritte in Phasen zwischen Neustarts gruppiert:

  1. Vorbereitungen
  2. Sichern Sie Ihre Daten
  3. Starten Sie das Gerät für die Hauptaufgaben auf Live-USB neu. A. vor der installation: platz auf der festplatte schaffen b. Installation: Manuelle Partitionierung durchführen c. nach der installation: initramfs ergänzen
  4. Starten Sie das primäre Ubuntu neu, um grub zu aktualisieren
  5. Starten Sie das sekundäre Ubuntu neu, um die Schlüsseldatei hinzuzufügen
  6. Starten Sie das sekundäre Ubuntu neu, um den letzten Schliff zu erhalten
  7. Erinnerungen für zukünftige Installationen
  8. Über unverschlüsselt/booten

0. Vorbereitungen

Ich habe dies auf einem Laptop mit BIOS gemacht (für UEFI-Details siehe buntu Full Disk Encryption mit Encrypted/Boot ) und Ubuntu 15.10 bereits installiert (es könnte aber auch 14.04 LTS sein). Ich habe den Vorgang wiederholt, um Ubuntu 16.10 über 16.04 und dann 18.04 über 16.10 zu installieren. Ich musste jedoch den Inhalt des logischen Volumes löschen, das ich für root (/) für die Bionic-Installation verwendet habe. Wann immer ich es unerforscht ließ, versagten Ubiquity oder update-initramfs auf verschiedene Arten.

Ich werde auf Partitionen und LVM-Volumes mit den Namen verweisen, die von der Ubuntu-Standardinstallation auf der Festplatte/dev/sda erstellt wurden:

$ lsblk -o NAME,TYPE,FSTYPE,MOUNTPOINT
NAME                    TYPE  FSTYPE      MOUNTPOINT
sda                     disk              
├─sda1                  part  ext2        /boot
├─sda2                  part              
└─sda5                  part  crypto_LUKS 
  └─sda5_crypt          crypt LVM2_member 
    ├─ubuntu--vg-root   lvm   ext4        /
    └─ubuntu--vg-swap_1 lvm   swap        [SWAP]

Der LUKS-Container "sda5_crypt" belegt den gesamten Speicherplatz auf der logischen Partition. Das Schrumpfen eines LUKS-Containers ist für mich viel zu schwierig; Ich möchte die bestehende Ubuntu-Installation nicht zerstören, indem ich es versuche. Deshalb habe ich mich stattdessen entschieden, das logische Volume "root" zu verkleinern , um Platz für neue Installationen zu schaffen.

Der einzige unverschlüsselte Speicherplatz auf der Festplatte ist daher die 255M/Boot-Partition. Es wäre möglich, diese Partition zu teilen, aber zwei gleiche Hälften würden jeweils nur zwei Kernelversionen enthalten, und für mich ist das nicht genug. Also entschied ich mich stattdessen, das neue/boot-Verzeichnis unter dem neuen/root-Verzeichnis abzulegen (indem ich es nicht auf einen anderen Ort zeigte). Dies schafft einige zusätzliche Komplikationen, lässt aber auch Platz für mehrere Installationen neben dem primären Ubuntu.

Alle Befehle im Folgenden sollen mit Sudo-Rechten ausgeführt werden , daher habe ich den Sudo-Teil von allen Befehlszeilen übersprungen.

Außerdem werde ich über "sekundäres Ubuntu" sprechen, da ich nicht weiß, welches Linux Sie installieren möchten. Ersetzen Sie "sekundäres Ubuntu" (und alle Details, die für Ubiquity spezifisch sind) durch Ihre Geschmacksrichtung.

1. Sichern Sie Ihre Daten

Zusätzlich zu Ihren normalen Sicherungen möchten Sie möglicherweise auch eine separate Kopie der wichtigsten Einstellungen (z. B./etc/crypttab) an einem Ort erstellen, an dem sie leicht zugänglich sind. Das wird nicht benötigt, wenn alles nach Plan läuft, kann Ihnen aber dabei helfen, die Ruhe zu bewahren.

2. Starten Sie das Gerät für die Hauptaufgaben neu, um auf Live-USB zu wechseln

2.a. vor der installation: platz auf der festplatte schaffen

Öffnen Sie den LUKS-Container und aktivieren Sie LVM.

cryptsetup luksOpen /dev/sda5 sda5_crypt
vgscan
vgchange -ay

Verkleinern Sie das vorhandene Root-Volume.

e2fsck -f /dev/mapper/ubuntu--vg-root
#resize2fs -p /dev/mapper/ubuntu--vg-root 16G
lvreduce -L 16G --resizefs /dev/ubuntu-vg/root
  • Die auskommentierte Zeile ist nur für den Fall vorhanden, dass Sie nicht darauf vertrauen, dass "lvreduce --resizefs" das Größenänderungsbit zuverlässig ausführt. Führen Sie "resize2fs" aus, wenn Sie sich besser fühlen.

Fügen Sie ein neues Root-Volume hinzu. Die Größe liegt bei Ihnen zu wählen; 16G ist nur ein Beispiel.

lvcreate -L 16G -n root2 ubuntu-vg

Erstellen Sie einen neuen Swap nur, wenn Sie glauben, dass Sie den Ruhezustand für die Arbeit mit LUKS aktivieren können. Andernfalls teilen sich die beiden Installationen den vorhandenen Auslagerungsbereich.

lvcreate -L 4G -n swap2 ubuntu-vg

Das Erstellen eines neuen Datenvolumens scheint eine naheliegende Aufgabe zu sein, ist jedoch für die hier beschriebene Installation nicht unbedingt erforderlich.

lvcreate -l 100%FREE -n data ubuntu-vg

Zu diesem Zeitpunkt möchte ein Neuling möglicherweise ohne das Live-USB neu starten und sich beim primären Ubuntu anmelden, um zu sehen, dass es immer noch funktioniert. Denken Sie in diesem Fall daran, den LUKS-Container erneut zu öffnen, wenn Sie den Live-USB-Stick erneut starten.

Achten Sie außerdem darauf, den LUKS-Container mit dem richtigen Befehl zu öffnen . Wenn Sie beispielsweise auf das Symbol in der Launcher-Seitenleiste klicken, wird der Container mit dem falschen Namen geöffnet, und update-initramfs schlägt später fehl.

cryptsetup luksOpen /dev/sda5 sda5_crypt

2.b. Installation: Führen Sie eine manuelle Partitionierung durch

Starten Sie das Installationsprogramm und wählen Sie "Etwas anderes" als Installationstyp.

  • Zeigen Sie mit/auf Ihr neues Root-Volume (/ dev/ubuntu-vg/root2).
  • Nirgendwo hinzeigen/booten.
  • Zeigen Sie Swap auf Ihr neues Swap-Volume, wenn Sie eines erstellt haben, und andernfalls auf das alte.
  • Stellen Sie sicher, dass keine andere Partition oder kein anderes LVM-Volume an der Installation beteiligt ist.
  • Platzieren Sie grub auf einem logischen Volume. Es ist unerheblich, auf welchem ​​Volume sichergestellt werden soll, dass die Installation von gub fehlschlägt . Beim ersten Mal ist dies die sicherste Option. Später, wenn Sie dies oft getan haben, werden Sie genau wissen, wann Sie/dev/sda auswählen müssen.

Fahren Sie mit dem Rest der Installation fort.

  • Wenn Sie vom Installationsprogramm gefragt werden, ob die Bereitstellung aufgehoben werden soll, haben Sie etwas getan, das hier nicht erwähnt wurde. Hängen Sie Ihre zusätzlichen Reittiere aus.

Wählen Sie am Ende der Installation, ob Sie den Test fortsetzen möchten.

  • Wenn das Installationsprogramm meldet, dass die Installation von grub fehlgeschlagen ist, fahren Sie ohne grub fort.
  • Wenn das Popup-Fenster hängen bleibt, minimieren Sie einfach das Installationsfenster.

2.c. nach der installation: initramfs ergänzen

Stellen Sie die beiden Root-Volumes bereit.

mkdir /mnt/newroot && mount /dev/mapper/ubuntu--vg-root2 /mnt/newroot
mkdir /mnt/oldroot && mount /dev/mapper/ubuntu--vg-root /mnt/oldroot

Kopieren Sie die Datei/etc/crypttab vom alten Root-Volume auf das neue.

cp -p /mnt/oldroot/etc/crypttab /mnt/newroot/etc/
cat /mnt/newroot/etc/crypttab

Wenn die von Ihnen kopierte Datei bereits auf eine Schlüsseldatei verweist, kopieren Sie auch die Schlüsseldatei und das Skript, die Sie zum Laden des Schlüssels in die Datei initrd.img benötigen.

cp -p /mnt/oldroot/crypto_keyfile.bin /mnt/newroot/
cp -p /mnt/oldroot/etc/initramfs-tools/hooks/crypto_keyfile /mnt/newroot/etc/initramfs-tools/hooks/
  • Beim ersten Mal ist der Schlüssel noch nicht vorhanden, und es ist besser, ihn in einem späteren Schritt zu erstellen, da die Fehlersuche einfacher ist, wenn nicht alle Änderungen gleichzeitig vorgenommen werden.

Der entscheidende letzte Schritt ist das Laden der Änderungen an initrd.img im chroot-Gefängnis.

for DEV in dev dev/pts sys proc; do mount --bind /$DEV /mnt/newroot/$DEV; done

chroot /mnt/newroot update-initramfs -u

# Note reverse order.
for DEV in proc sys dev/pts dev; do umount /mnt/newroot/$DEV; done
  • Wenn Sie die Fehlermeldung "cryptsetup: WARNING: ungültige Zeile in/etc/crypttab" erhalten, haben Sie den LUKS-Container nicht mit dem richtigen Namen geöffnet.

Aufräumen (nicht zu 100% notwendig, besonders wenn Sie bei der Erstellung Ihres Live-USBs keine Persistenz gewählt haben).

umount /mnt/oldroot && rmdir /mnt/oldroot
umount /mnt/newroot && rmdir /mnt/newroot

Sie können auch versuchen aufzuräumen, indem Sie den LUKS-Container schließen. Wenn Sie jedoch das Installationsfenster minimieren müssen, wird die Fehlermeldung "Gerät oder Ressource belegt" angezeigt. Keine Sorge, es wird trotzdem geschlossen.

cryptsetup luksClose sda5_crypt
  • Der schwierigste Teil ist jetzt vorbei.

3. Starten Sie das primäre Ubuntu neu, um grub zu aktualisieren

Bearbeiten Sie die Datei/etc/default/grub, um Folgendes in das verschlüsselte/boot aufzunehmen:

GRUB_ENABLE_CRYPTODISK=y
GRUB_CMDLINE_LINUX="cryptdevice=/dev/sda5:sda5_crypt"
  • Wenn Sie den Wert von GRUB_ENABLE_CRYPTODISK auf "true" oder "1" setzen, beschwert sich update-grub, dass der Wert "1" sein sollte, aber er muss wirklich "y" sein. Dies ist ein bekannter Fehler.
  • Achten Sie wie üblich darauf, am Ende der Datei keine neue Zeile einzufügen.

Als nächstes aktualisiere grub - hauptsächlich, um das neu installierte Ubuntu zum Menü hinzuzufügen, aber auch für die geänderten Einstellungen.

update-grub

4. Starten Sie das sekundäre Ubuntu neu, um die Schlüsseldatei hinzuzufügen

Wenn Sie das sekundäre Ubuntu aus dem Grub-Menü auswählen, werden Sie nach einem Passwort gefragt, um den LUKS-Container zu öffnen. Und dann werden Sie erneut nach dem gleichen Passwort gefragt. Sobald Sie sich angemeldet haben, müssen wir das Problem beheben, dass Sie das Passwort zweimal eingeben müssen. Dazu fügen wir dem LUKS-Container eine Schlüsseldatei hinzu.

Zunächst möchten wir wissen, wie viele Schlüssel der LUKS-Container bereits hat. Ein LUKS-Container kann bis zu acht Schlüssel (nummeriert mit 0..7) enthalten. Daher möchten wir nur die Schlüssel erstellen, die wir wirklich benötigen.

cryptsetup luksDump /dev/sda5
  • In Wily Werewolf hat der Container bereits drei Schlüssel. Keine Ahnung warum.

Als nächstes erstellen wir die neue Schlüsseldatei.

dd bs=512 count=4 if=/dev/urandom of=/crypto_keyfile.bin
chmod a=,u+r /crypto_keyfile.bin

Dann fügen wir den neuen Schlüssel zum Container hinzu. Der Befehl wird wie bei einem vorhandenen Kennwort ausgeführt. Geben Sie daher das Ihnen bekannte Kennwort ein.

cryptsetup luksAddKey /dev/sda5 /crypto_keyfile.bin

Wir benötigen noch ein Skript, das update-initramfs ausführt, um den Schlüssel in die Datei initrd.img zu laden. Legen Sie die Datei in/etc/initramfs-tools/hooks/ab und legen Sie den Schutz fest.

chmod +x /etc/initramfs-tools/hooks/crypto_keyfile

Das Skript muss nur eine Zeile enthalten:

cp /crypto_keyfile.bin "${DESTDIR}"
  • Über den Namen des Skripts sowie den Namen der Schlüsseldatei entscheiden Sie.

Wir müssen auch einen Verweis auf den Schlüssel zu/etc/crypttab hinzufügen. Vor der Änderung sieht es so aus:

sda5_crypt UUID=sda5-uuid-here none luks,discard

Nach der Änderung sollte es so aussehen:

sda5_crypt UUID=sda5-uuid-here /crypto_keyfile.bin luks,discard,keyscript=/bin/cat

Jetzt können wir endlich die initramfs aktualisieren:

update-initramfs -u

5. Starten Sie das sekundäre Ubuntu neu, um den Touch zu beenden

Wenn Sie dieses Mal das sekundäre Ubuntu aus dem Grub-Menü auswählen, müssen Sie das LUKS-Passwort nur einmal eingeben.

Kopieren Sie die Schlüsseldatei zum Sichern auf das alte Root-Volume.

mkdir /mnt/oldroot
mount /dev/mapper/ububtu--vg-root /mnt/oldroot
cp /crypto_file /mnt/oldroot/

Kopieren Sie auch die Grub-Einstellungen für die Sicherung (vom alten Root-Volume auf das neue). Da das Grub-Menü von beiden Installationen gemeinsam genutzt wird, sind seine Einstellungen für beide identisch, und das Menü kann über eine der beiden Installationen installiert werden. Selbst wenn Sie es vorziehen, das primäre Ubuntu vorerst im Menü zu behalten, benötigen Sie möglicherweise später eine Sicherungskopie der Einstellungen.

cp /mnt/oldroot/etc/default/grub /etc/default/
umount /mnt/oldroot
rmdir /mnt/oldroot

Möglicherweise möchten Sie auch die Mount-Optionen der logischen Volumes (hauptsächlich Root-Volumes) ändern, damit die beiden Installationen die privaten Teile des jeweils anderen in den GUIs nicht offen legen. Ich könnte Ihnen ein Muster für/etc/fstab geben, aber zum Glück macht Disks einen so anständigen Job, dass ich ihn nicht brauche.

Schließlich können Sie mit der normalen Bereitstellung des sekundären Ubuntu beginnen und das neue Datenvolumen auch in beiden Installationen bereitstellen.

6. Erinnerungen für zukünftige Installationen

  • Wenn Sie eine der Ubuntu-Installationen überschreiben, müssen Sie immer dieselben Schritte nach der Installation wiederholen, mit Ausnahme der Erstellung einer neuen Schlüsseldatei für LUKS.
  • Die Notwendigkeit für die Schlüsseldatei kann in zukünftigen Versionen verschwinden. Eigentlich habe ich keine richtige Dokumentation für den Cryptsetup-Teil der Installation gefunden, daher fürchte ich, dass sich daran etwas ändern könnte. In acht nehmen!

7. Über unverschlüsselt/booten

Wenn Sie die unverschlüsselte primäre Partition aufteilen, um Platz für das neue/boot zu schaffen, können Sie einige der vorgestellten Schritte streichen:

  • Sie benötigen keine Schlüsseldatei, daher benötigen Sie auch nicht das Skript, um den Schlüssel in initrd.img zu laden, und Sie müssen keinen Verweis auf die Schlüsseldatei in/etc/crypttab hinzufügen. Trotzdem müssen Sie die Datei/etc/crypttab hinzufügen und update-initramfs in der Post-Installationsphase im chroot-Gefängnis ausführen.
  • Wenn new/boot nicht verschlüsselt ist, benötigen Sie GRUB_ENABLE_CRYPTODISK in Ihren Einstellungen für grub nicht und müssen die Startparameter nicht auf GRUB_CMDLINE_LINUX setzen. Trotzdem müssen Sie update-grub ausführen, um die sekundäre Installation zum grub-Menü hinzuzufügen.
3
AimoE

Hinweis: Ich habe die Frage wie gestellt beantwortet, aber was Sie wahrscheinlich wollen, ist mein letzter Absatz.

Manuelle Partitionierung und Dual-Boot-Konfigurationen

Sie müssen von der alternativen CD für dmcrypt installieren. Wählen Sie im Installationsprogramm die manuelle Partitionierung aus. Wenn Sie zwei separate verschlüsselte Volumes benötigen, legen Sie diese als primäre oder erweiterte Partition oder als EFI-Partition fest und lassen Sie beim Installieren des ersten Betriebssystems genügend Platz für das andere Volume. Wenn Sie zwei Linux-Distributionen verwenden möchten, die ein verschlüsseltes Volume gemeinsam nutzen (dies ist jedoch wahrscheinlich nicht der Fall, wie unten erläutert), erstellen Sie ein großes verschlüsseltes Volume und erstellen Sie die Dateisysteme für jedes Betriebssystem, wenn Sie dieses Betriebssystem installieren.

Machen Sie das verschlüsselte Volume zu einem physischen LVM-Volume und erstellen Sie eine Volume-Gruppe, die nur dieses physische Volume umfasst. Wenn zwei Betriebssysteme das verschlüsselte Volume gemeinsam nutzen, nutzen sie auch die Volume-Gruppe gemeinsam: Volume-Gruppen sind eine Möglichkeit, mehrere Volumes zu verwalten, und in dieser Konfiguration gibt es nur das eine. Erstellen Sie mindestens ein logisches Volume für jedes Root-Dateisystem. Wenn die beiden Betriebssysteme das verschlüsselte Volume gemeinsam nutzen und Sie den Ruhezustand nicht verwenden möchten, können sie den Auslagerungsbereich gemeinsam nutzen.

Lassen Sie einen ausreichend großen Boot-Bereich frei, der unverschlüsselt sein muss. Ich empfehle mindestens 1 GB (zum Speichern einer Rettungs-CD im Notfall), es sei denn, der Speicherplatz ist stark eingeschränkt, aber 200 MB reichen für nur einen Kernel und einen alternativen Kernel.

Die Installation von zwei separaten Startpartitionen ist am einfachsten. Lassen Sie eine Distribution den Bootsektor steuern und installieren Sie den Bootloader der sekundären Distribution auf dem ersten Sektor ihrer Bootpartition. Laden Sie den Bootloader der sekundären Distribution über den primären Bootloader.

Wenn Sie eine einzelne Boot-Partition möchten, installieren Sie Grub nur auf einem Betriebssystem und teilen Sie /boot Zwischen den beiden Betriebssystemen.

Installation von zwei Linux-Distributionen

Die Verwendung von Dual Boot ist schmerzhaft und wird in den meisten Situationen nicht benötigt. Wenn Sie zwei Betriebssysteme ausführen möchten, verwenden Sie eine Form der Virtualisierung. Der einzige Anwendungsfall, den ich mir für den Dual-Boot vorstellen kann, ist, wenn Sie mehrere Betriebssysteme auf derselben teuren Hardware testen müssen (selbst dann, wenn Sie es sich leisten können, ist es bequemer, separate Computer pro Betriebssystem zu haben).

Sie benötigen Dual Boot, wenn Sie zwei separate Linux-Installationen mit unterschiedlichen Kennwörtern wünschen. Selbst dann können Sie möglicherweise die gewünschte Sicherheitsrichtlinie implementieren, indem Sie separate Konten ausstellen oder separate virtualisierte Container mit jeweils eigenen Root-Benutzern erstellen.

Um Linux unter Linux auszuführen, benötigen Sie möglicherweise nicht einmal eine Virtualisierung: Sie können Programme von einer anderen Installation mit chroot ausführen. Mit Ubuntu oder einer anderen Debian-basierten Distribution als Master-Betriebssystem macht schroot dies sehr einfach. Wenn Sie schroot mit einer anderen sekundären Distribution verwenden, müssen Sie es wahrscheinlich separat installieren, also auf einem separaten Volume. Wenn die sekundäre Distribution auf Debian basiert und Sie sie niemals booten müssen, können Sie sie mit debootstrap in einem Unterverzeichnis installieren. Siehe mein schroot guide .

Ubuntu/Xubuntu Dual-Installation

Wenn Sie sowohl Ubuntu als auch Xubuntu ausprobieren möchten, brauchen Sie dieses Rigmarole nicht. Xubuntu und Ubuntu sind die gleiche Distribution mit unterschiedlichen Standardpaketen. Installieren Sie Ubuntu von einer beliebigen Variante und stellen Sie sicher, dass die Pakete buntu-desktop und xubuntu-desktop installiert sind. Wählen Sie Ihre bevorzugte Umgebung, wenn Sie sich anmelden, und Sie werden entweder Ubuntu/Unity aka Ubuntu oder Ubuntu/XFCE aka Xubuntu verwenden.

0
Gilles

Ich habe kürzlich ein anderes Ubuntu neben dem verschlüsselten Ubuntu installiert, das ich bereits auf meinem Computer hatte. Für das meiste folgte ich den Anweisungen von Mehrere Linux Distro-Installationen auf einer LUKS-verschlüsselten Festplatte Blogeintrag.

Ich wollte jedoch die vorhandene Installation beibehalten, da mir die Größenänderung eines vorhandenen LUKS-Containers jedoch viel zu schwierig ist und ich nicht die gesamte Festplatte neu partitionieren wollte, wurden stattdessen die darin enthaltenen LVM-Volumes neu organisiert den vorhandenen LUKS-Container über einen Live-USB. Diese Entscheidung hat mich ein wenig von den Anweisungen abweichen lassen, da ich den Ordner new/boot irgendwie in den LUKS-Container legen musste. Es stellte sich jedoch als einfacher als erwartet heraus.

Als ich noch am Live-USB angemeldet war, startete ich das Installationsprogramm und entschied mich für die manuelle Partitionierung. Ich habe "/" auf ein neues logisches Volume gezeigt und das Installationsprogramm das neue/boot im LUKS-Container ablegen lassen, indem es nicht auf eine andere Stelle verweist. Ich habe auch darauf hingewiesen, auf ein neues logisches Volume zu wechseln, obwohl ich nicht sicher bin, ob der Ruhezustand mit LUKS funktioniert. Für die Grub-Installation habe ich ein Ziel ausgewählt, bei dem die Installation sicher fehlschlägt. Am Ende entschied ich mich für "Continue Testing" und gleich danach, um ohne Grub-Installation fortzufahren.

Vor dem Neustart nach der Installation habe ich/etc/crypttab vom ersten Ubuntu-Root-Volume auf das neue Root-Volume kopiert und update-initramfs -u mit chroot ausgeführt . Dies ist der entscheidende Schritt.

Nach dem Neustart loggte ich mich in das erste Ubuntu ein, editierte/etc/default/grub, fügte GRUB_ENABLE_CRYPTODISK = y hinzu und modifizierte GRUB_CMDLINE_LINUX so, dass es "cryptdevice =/dev/sda5: sda5_crypt" enthielt, ließ update-grub laufen und startete neu.

Nach dem Neustart habe ich nach dem Start der neuen Installation eine Schlüsseldatei hinzugefügt, um zu vermeiden, dass ich das LUKS-Kennwort beim Start zweimal eingeben muss (da/boot jetzt verschlüsselt ist). Um die Schlüsseldatei hinzuzufügen, befolgte ich fast identische Anweisungen aus verschiedenen Quellen. Ich glaube Pavel Kogans "Linux Mint Encryption" Blog-Eintrag muss die Originalquelle sein.

Es stellte sich heraus, dass alles viel einfacher war, als ich erwartet hatte, obwohl ich einige idiotische Hindernisse überwinden musste (wie den Fehlerwert von GRUB_ENABLE_CRYPTODISK: util/grub-install.c weist '1' an, aber util/config.c erwartet 'y' ").

0
AimoE