Frage zu Systemverschlüsselung unter Manjaro

[polyphase]

Moin,

aktuell nutze ich hauptsächlich Linux Mint auf meinem PC und Notebook.

Auf dem PC würde ich gerne auf Manjaro umsteigen (aus Gründen), nur gefällt mir die Art der Systemverschlüsselung nicht.

Unter Mint sieht es folgendermaßen aus:
Nach dem auswählen des Betriebssystems im Grub bootet Mint zur Passwortabfrage, nach Eingabe durch auf den Desktop.

Unter Manjaro (getestet in einer VM) sieht es folgendermaßen aus:
Die Passwortabfrage kommt vor Grub, d.h. man muss das Passwort auch eingeben, wenn man nur das ebenfalls auf dem PC installierte Windows starten möchte.


Gibt es eine Möglichkeit das Verhalten unter Manjaro zu ändern? Bzw. warum wird die Abfrage vor dem Bootloader gemacht?

 

[Kenny [CH]]

Kommt darauf an wie du Manjaro installierst. Grundsätzlich gibt es nichts was nur mit Mint/Ubuntu oder nur mit Arch etc funktioniert. Alles kann "ergendwie" protiert werden * just let me recombile package/kernel * .

Ich weiss zwar nicht welche Library Mint verwendet, könnte mir aber vorstellen dass sie hier LUKS encryption einsetzten - das wäre zumindest das was Ubuntu bei einer "Full Disk encryption" verwenden würde, gemäss hier: https://help.ubuntu.com/community/Full_Disk_Encryption_Howto_2019 -> linux Mint fork von Ubuntu

Daher zu den letzten 2 Fragen: Ja und weil es so Konfiguriert wurde?

/e: Aber in der Regel kann man sagen: Wenn der Bootloader verschlüsselt wurde muss das Passwort vor Grub eingetragen werden. Wenn der Bootloader unverschlüsselt ist und nur das rootFS/userFS verschlüsselt wurde, sollte Grub starten und erst beim Starten des Linux nach dem PW fragen.

/e2: Hinweis! Bei Manjaro darfst du nicht die automatische Disk Layout auswählen, wenn du Anpassungen/wünsche hast. Standard wird EFI + EXT4 Partitions erstellt und ich musste für mein btrfs Setup eine komplette neue Partition Table erstellen -> 300MB Fat efi mount path, rootfs btrfs etc pp. < da gibt aus weitere Einstellungen für LUKS - aber das habe ich nicht getestet!

 

[kieleich]

Vermutlich wurde da /boot mit verschlüsselt. Was leider ziemlich sinnlos ist. Am Ende reicht ein Keylogger und das wars. Wer es bis nach /boot schafft der hat auch alles andere schon geschafft.

 

[NJay]

Installiere dir statt manjaro einfach direkt arch, da kannst du dann system-d boot und LUKS verwenden und es wird nur ein Passwort abgefragt, wenn du auchd as Linux bootest.

 

[polyphase]

Oha, dann muß ich mir das Mal genau anschauen.

Arch direkt installieren möchte ich nicht, das hab ich früher gemacht, als ich noch jung war.
Wenn man älter ist, wird man bequem 😅

 

[Kenny [CH]]

manjaro einfach direkt arch

Vorausgesetzt, er ist dem gewappnet. Manjaro macht es "wesentlich" einfacher als ARCH - für das, dass man "nur" die tty hat nach der Installation hat. Natürlich könnte es sein das der TE auf dem Level ist um alles was er benötigt zu installieren (DE/Loging Mangers etc pp). Aber wenn er von Linux Mint kommt, wäre Manjaro oder EndeavourOS (irgend eine ARCH Based Distro) evtl besser.

/e: Oh I see -> der TE könnte - aber auch mit diesem Grund: valider Grund für Manjaro oder irgendeine Arch Based Distro die mehr konform bietet

 

[NJay]

Oha, dann muß ich mir das Mal genau anschauen.

Arch direkt installieren möchte ich nicht, das hab ich früher gemacht, als ich noch jung war.
Wenn man älter ist, wird man bequem 😅

Gibt mittlerweile wieder ein offizielles install script, ist nicht schwieriger als ein grafischer installer.

 

[Kenny [CH]]

Gibt mittlerweile wieder ein offizielles install script, ist nicht schwieriger als ein grafischer installer.

Links? -> Und wie findet die DE Auswahl statt?

/e siehe unten - das ist natürlich game changer!

 

[NJay]

Links? -> Und wie findet die DE Auswahl statt?

Auch ueber das install script. Man startet das script und waehlt dann interaktiv aus, was man installieren moechte.

https://github.com/archlinux/archinstall#readme

Einfach im laufenden boot stick per pacman installieren und starten.

Natuerlich ist man nach dem script nicht auf dem Stand einer vollwertigen Distro, Kleinigkeiten wie Bluetooth, etc fehlen natuerlich Arch typisch erstmal.

 

[polyphase]

@NJay
Das wäre ja dann eine "halbautomatische" Installation, nee das ist nix für mich 😅

Ich habe jetzt Mal ne andere Arch basierte Distro ausprobiert. Dort das gleiche. Scheint wohl ein Sonderweg zu sein den Mint da geht, wahrscheinlich aus Komfortgründen.

 

[Garmor]

Hast du schon die manuelle Installation im Manjaro-Installer probiert? Da sollte man ja auch einzelne Partitionen oder ein LVM verschlüsseln können.

 

[polyphase]

Ja das geht👍

Hab ne extra /boot Partition erstellt und dann eine Luks Partition mit ext4 als / Filesystem.

Nachdem ich das grub Menü aktiviert hatte (war eine VM nur mit Manjaro), kommt nun die Passwortabfrage nach dem Bootmenü.
Funktioniert, ist aber optisch nicht so schön wie bei Mint 😅

Bei der Installation hat dann der Installer gemeckert, das die /boot Partition nicht verschlüsselt ist und es ein Sicherheitsrisiko wäre....

 

[_roman_]

Vermutlich wurde da /boot mit verschlüsselt. Was leider ziemlich sinnlos ist. Am Ende reicht ein Keylogger und das wars. Wer es bis nach /boot schafft der hat auch alles andere schon geschafft.

Nein, ich stimme dieser Aussage nicht zu. ...Vermutlich ... ...sinnlos ... ... nach /boot schafft ...

--

Wenn jemand Zugang zur Hardware hat ... Keylogger ... ist es sowieso zu spaet da aenderungen dann an der hardware möglich sind.

 

[Schneee]

Nein, ich stimme dieser Aussage nicht zu. ...Vermutlich ... ...sinnlos ... ... nach /boot schafft ...

--

Wenn jemand Zugang zur Hardware hat ... Keylogger ... ist es sowieso zu spaet da aenderungen dann an der hardware möglich sind.

Stimme dem zu. Würde daher wirklich alles verschlüsseln.

Außerdem wenn du irgendwann mal deine SSD verkaufst, bist du sorgenfrei.

 

[kieleich]

Außerdem wenn du irgendwann mal deine SSD verkaufst, bist du sorgenfrei.

Das bist du bei unverschlüsseltem /boot auch.

Persönliche Daten haben dort wirklich nichts zu suchen. Da liegt nur ein Linux Kernel und "deine" UUIDs, Zufallswerte die in jedem anderen System keine Bedeutung haben.

Wer privates Zeuch nach /boot legt hat die Kontrolle über sein Leben verloren.

Und dann hat man eben genau den Mist, daß der Bootloader schon das Passwort fragen muss, und der Kernel braucht es zum Entschlüsseln ja auch nochmal. Also muss man es zweimal eingeben. Oder das Sicherheitskonzept aufweichen indem das Passwort direkt im Initramfs steht. Wo es dann im laufenden System ausgelesen werden kann.

Und um das Hasenloch wieder zu stopfen kommt der ganze TPM Mist ins Spiel.

Nö danke, unverschlüsseltes /boot ist gut.

 

[Schneee]

Das man selber nicht Privates hinpackt, schon klar. Aber was der Kernel bzw die Distribution dahinkopiert beim Update, kann man auf die Schnelle nicht nachvollziehen. Aber schon klar, da ist in der wenig Information enthalten.

Was heißt aufweichen? Wenn man einmal auf das Passwort gekommen ist, kann man es unbegrenzt verwenden, daher ist eine geschütze Ablage des Passwortes (nur root darf zugreifen) OK.