Kürzlich bin ich auf viele Linux-Distributionen gestoßen. Vorher habe ich immer OpenSUSE verwendet, daher waren mir einige Dinge anscheinend ziemlich offensichtlich - zum Beispiel, dass es möglich und recht einfach ist, eine vollständige Festplattenverschlüsselung oder beliebige benutzerdefinierte Mount-Optionen auf Installer-Ebene einzurichten. Es scheint jedoch, dass eine solche Option wirklich exotisch ist und abgesehen von Arch Linux (wo es schwer ist, sie als "vom Installationsprogramm unterstützt" zu bezeichnen), wahrscheinlich Gentoo und OpenSUSE, konnte ich keine Distribution finden, mit der Sie die gesamte Festplatte (einschließlich /) verschlüsseln können Stiefel).
Nur um Verwirrung zu vermeiden - ich spreche von einem Setup, bei dem in der ersten Phase von GRUB nach dem Kennwort gefragt wird, bevor das GRUB-Menü zum Entsperren von initrd angezeigt wird, und initrd dann erneut nach demselben Kennwort fragt, um den Kernel und andere Dinge zu laden. Im OpenSUSE-Installationsprogramm wird es automatisch ausgeführt, falls / boot auf verschlüsseltem LVM platziert wird. Debian, RedHat, CentOS, Ubuntu, Mint und wahrscheinlich alle Distributionen, die ähnliche Installationsprogramme verwenden, behaupten jedoch, dass die Konfiguration falsch ist, und lehnen die Installation des Betriebssystems ab.
Gibt es außer den genannten 3 andere nicht spezialisierte Distributionen (dh diese streng datenschutzorientierten Distributionen wie Tails oder Whonix zählen nicht wirklich), die ein solches Installationsschema unterstützen?
BEARBEITEN: Als Antwort auf @henriquehbr, um 100% klar zu sein, was ich unter vollständiger Festplattenverschlüsselung verstehe :
Es gibt keine separate / Boot-Partition. Das System fragt zweimal nach dem Passwort: In GRUB:
Am Ende gibt es nur 1 Partition, die LVM verschlüsselt ist:
jedoch
Was in allen anderen mir bekannten Installationsprogrammen als "verschlüsseltes LVM" bezeichnet wird:
Ist Konfiguration mit separater / Boot-Partition.
Der Versuch, die Partition zu entfernen / zu booten, führt unter Debian und Ubuntu zu folgenden Fehlern:
Entschuldigung für viele Bilder, aber ich wollte es 100% klar machen.
/
und beim Klicken auf [ok] intaller gesagt, dass/boot
dies unverschlüsselt sein muss: Cspace_cache
oderautodefrag
odercompress
Optionen spezifisch für btrfs .../boot
Verschlüsselung ist ungewöhnlich und meist sinnlos. Wenn Sie es wirklich haben müssen, können Sie es nach der Installation tun. Es sollte Ihre Distribution-Auswahl nicht einschränken./boot
soll auf externem schreibgeschütztem Medium gespeichert werden? Nun ja. Aber es ist auch deutlich weniger bequem. Diesmal wurde Debian jedoch nicht disqualifiziert - es fehlten benutzerdefinierte Mount-Flags. Ohnecompress=zlib
Flag konnte es nicht auf einer 2-GB-Festplatte installiert werden.Antworten:
Ich denke, dass alle großen Distributionen dies tun. Debian, Fedora, Ubuntu, openSUSE und so weiter. Sie machen möglicherweise nicht so viel Werbung wie Ubuntu und Mint, aber die Option ist fast immer im Abschnitt zur Festplattenpartitionierung des Installationsprogramms verfügbar.
quelle
/boot
. Daher ist es keine vollständige Festplattenverschlüsselung . Es verschlüsselt die Root-Partition, lässt sie jedoch/boot
unverschlüsselt. Initrd ist also nicht verschlüsselt. Das Verschlüsseln/boot
erfordert zusätzliche Schritte und Änderungen am Bootloader-Setup, sodass es weniger trivial ist.