Welche Linux-Distributionen unterstützen die vollständige Festplattenverschlüsselung (einschließlich / boot)?

8

Kürzlich bin ich auf viele Linux-Distributionen gestoßen. Vorher habe ich immer OpenSUSE verwendet, daher waren mir einige Dinge anscheinend ziemlich offensichtlich - zum Beispiel, dass es möglich und recht einfach ist, eine vollständige Festplattenverschlüsselung oder beliebige benutzerdefinierte Mount-Optionen auf Installer-Ebene einzurichten. Es scheint jedoch, dass eine solche Option wirklich exotisch ist und abgesehen von Arch Linux (wo es schwer ist, sie als "vom Installationsprogramm unterstützt" zu bezeichnen), wahrscheinlich Gentoo und OpenSUSE, konnte ich keine Distribution finden, mit der Sie die gesamte Festplatte (einschließlich /) verschlüsseln können Stiefel).

Nur um Verwirrung zu vermeiden - ich spreche von einem Setup, bei dem in der ersten Phase von GRUB nach dem Kennwort gefragt wird, bevor das GRUB-Menü zum Entsperren von initrd angezeigt wird, und initrd dann erneut nach demselben Kennwort fragt, um den Kernel und andere Dinge zu laden. Im OpenSUSE-Installationsprogramm wird es automatisch ausgeführt, falls / boot auf verschlüsseltem LVM platziert wird. Debian, RedHat, CentOS, Ubuntu, Mint und wahrscheinlich alle Distributionen, die ähnliche Installationsprogramme verwenden, behaupten jedoch, dass die Konfiguration falsch ist, und lehnen die Installation des Betriebssystems ab.

Gibt es außer den genannten 3 andere nicht spezialisierte Distributionen (dh diese streng datenschutzorientierten Distributionen wie Tails oder Whonix zählen nicht wirklich), die ein solches Installationsschema unterstützen?

BEARBEITEN: Als Antwort auf @henriquehbr, um 100% klar zu sein, was ich unter vollständiger Festplattenverschlüsselung verstehe :

Geben Sie hier die Bildbeschreibung ein

Es gibt keine separate / Boot-Partition. Das System fragt zweimal nach dem Passwort: In GRUB: Geben Sie hier die Bildbeschreibung ein

Und nach GRUB: Geben Sie hier die Bildbeschreibung ein Geben Sie hier die Bildbeschreibung ein

Am Ende gibt es nur 1 Partition, die LVM verschlüsselt ist: Geben Sie hier die Bildbeschreibung ein

jedoch

Was in allen anderen mir bekannten Installationsprogrammen als "verschlüsseltes LVM" bezeichnet wird: Geben Sie hier die Bildbeschreibung ein

Ist Konfiguration mit separater / Boot-Partition. Geben Sie hier die Bildbeschreibung ein

Der Versuch, die Partition zu entfernen / zu booten, führt unter Debian und Ubuntu zu folgenden Fehlern: Geben Sie hier die Bildbeschreibung ein Geben Sie hier die Bildbeschreibung ein

Entschuldigung für viele Bilder, aber ich wollte es 100% klar machen.

Lapsio
quelle
Ich habe es auch nicht benutzt. Ich habe verschlüsseltes LVM erstellt und dann eine btrfs-Partition auf diesem LV erstellt, unter /und beim Klicken auf [ok] intaller gesagt, dass /bootdies unverschlüsselt sein muss: C
Lapsio
Und lol Mount Optionen Auswahl wird aus vordefinierten Positionen gegeben, so gibt es keine space_cacheoder autodefragoder compressOptionen spezifisch für btrfs ...
Lapsio
/bootVerschlüsselung ist ungewöhnlich und meist sinnlos. Wenn Sie es wirklich haben müssen, können Sie es nach der Installation tun. Es sollte Ihre Distribution-Auswahl nicht einschränken.
Frostschutz
@frostschutz Du meinst das /bootsoll auf externem schreibgeschütztem Medium gespeichert werden? Nun ja. Aber es ist auch deutlich weniger bequem. Diesmal wurde Debian jedoch nicht disqualifiziert - es fehlten benutzerdefinierte Mount-Flags. Ohne compress=zlibFlag konnte es nicht auf einer 2-GB-Festplatte installiert werden.
Lapsio
@ Lapsio Ich versuche das gleiche Problem herauszufinden. Haben Sie jemals festgestellt, ob es möglich ist, zusammen mit allem anderen zu verschlüsseln / zu booten?
Robert Dodier

Antworten:

1

Ich denke, dass alle großen Distributionen dies tun. Debian, Fedora, Ubuntu, openSUSE und so weiter. Sie machen möglicherweise nicht so viel Werbung wie Ubuntu und Mint, aber die Option ist fast immer im Abschnitt zur Festplattenpartitionierung des Installationsprogramms verfügbar.


BEARBEITEN: Als Antwort auf @Lapsio habe ich darüber gegoogelt und festgestellt, dass Ubuntu und Mint während der Installation immer noch die vollständige Festplattenverschlüsselung unterstützen

Ubuntu 16.04

Geben Sie hier die Bildbeschreibung ein

Mint 17.X.

Geben Sie hier die Bildbeschreibung ein

henriquehbr
quelle
Das Problem ist, dass Ubu und Mint es auch nicht unterstützen. Ich kann es nur im OpenSUSE-Installationsprogramm sehen. (und Arch und Gentoo ermöglichen es Ihnen auch, so etwas zu tun, aber sie haben nicht wirklich ein herkömmliches Installationsprogramm, daher bin ich mir nicht sicher, ob es zählt). Mit Ubu und Mint können Sie das Betriebssystem nicht einmal installieren, wenn die Festplatte kleiner als 8 GB lmao ist.
Lapsio
Antwort mit Proof of Concept aktualisiert!
Henriquehbr
4
Es wird nicht verschlüsselt /boot. Daher ist es keine vollständige Festplattenverschlüsselung . Es verschlüsselt die Root-Partition, lässt sie jedoch /bootunverschlüsselt. Initrd ist also nicht verschlüsselt. Das Verschlüsseln /booterfordert zusätzliche Schritte und Änderungen am Bootloader-Setup, sodass es weniger trivial ist.
Lapsio
aktualisierte Frage
Lapsio
@Lapsio Es ist wahr, dass / boot auf diese Weise nicht verschlüsselt ist, aber es ist wirklich wichtig. Alles, worüber Sie sich Sorgen machen, sind Ihre Daten, insbesondere in Ihrem Home-Ordner. Ich nehme an, wenn Sie auch Ihren Boot verschlüsseln würden, würden Sie sich zweimal mit Ihren geheimen Schlüsseln anmelden. Einmal für den Start und einmal für den Rest der Festplatte.
Do