Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- verschlüsselte_installation [2026/01/06 22:00] – ktt73
+++ verschlüsselte_installation [2026/02/01 15:29] (aktuell) – [Partitionsübersicht] ktt73
@@ Zeile 1: / Zeile 1: @@
-======  ======
+====== Verschlüsselte Installation ======
 ===== Einleitung =====
-[{{ lsblk.png?400|<code>lsblk -o NAME,LABEL,UUID</code>}}]
+Diese Anleitung beschreibt die Installation von GuideOS als vollständig verschlüsseltes System. Die hier beschriebene Vorgehensweise ist getestet und funktioniert zuverlässig.
-Diese Vorgehensweise beschreibt die Installation von GuideOS als verschlüsseltes System. Es gibt sicher auch andere Möglichkeiten. Die hier beschriebene Vorgehensweise ist getestet und funktioniert.
->Die angegeben Partitionsgrößen sind Vorschläge. Das verwenden von Namen (Label -L) der Partitionen ist wichtig, da man sie später besser Identifizieren kann. UUID ist auch eindeutig, allerdings schlecht handelbar. Die krummen Zahlen bei den Größen ergeben sich aus der Umrechnung 1 Byte = 8 bit (1 GB sind 1024 MB).
-Für die Verschlüsselung jeder einzelnen Partition empfiehlt sich das selbe Passwort zu verwenden, da beim booten sonnst alle nacheinander abgefragt werden. Vergibt man überall das gleiche Passwort, wird die Abfrage nur einmal erscheinen.
+==== Wichtige Hinweise ====
+<block round info 70%>
+  * **Partitionsgrößen**: Die angegebenen Größen sind Empfehlungen und können angepasst werden
+  * **Partition-Labels**: Verwende aussagekräftige Namen (Label -L) für bessere Identifizierung
+  * **UUID vs. Label**: UUID ist eindeutig, aber Labels sind leichter zu handhaben
+  * **Einheitliches Passwort**: Verwende für alle verschlüsselten Partitionen das gleiche Passwort, sonst wird beim Booten jede Partition einzeln abgefragt
+  * **Krumme Zahlen**: Ergeben sich aus der Umrechnung 1 GB = 1024 MB
+</block>
 ----
-===== Installation =====
+===== Vorbereitung =====
-  * Iso erstellen wie in im Bereich [[Installation]] beschrieben
+  - ISO-Datei erstellen wie im Bereich [[Installation]] beschrieben
+  - Live-ISO starten
+  - Installation starten
+  - Sprache, Tastatur und Region auswählen
-  * Live ISO starten
+----
-  * Installation starten und Sprache, Tastatur, Region auswählen
+===== Partitionierung =====
-  * Partitionsauswahl ''manuell''
+==== Grundeinstellungen ====
-  * neue Partitionstabelle erstellen ''GPT'' wählen
+  - Bei Partitionsauswahl **"Manuell"** wählen
+  - Neue Partitionstabelle erstellen: **GPT** wählen
-  * EFI erstellen 1024 MB, ''fat32'', Name „EFI“, Mountpoint ''/boot/efi'', Flag „bootfähig“
+==== EFI-Partition ====
-  * BOOT erstellen 5120 MB, ''ext4'', Name „BOOT“, Mountpoint ''/boot'', kein Flag
+^ Parameter ^ Wert ^
+| Größe | 1024 MB |
+| Dateisystem | fat32 |
+| Label | EFI |
+| Mountpoint | /boot/efi |
+| Flag | bootfähig |
+| Verschlüsselung | Nein |
-  * SWAP erstellen, ''Linux-Swap'', Name „SWAP“, Hacken bei verschlüsseln (2x Passwort eingeben)
+==== BOOT-Partition ====
+^ Parameter ^ Wert ^
-    * wenn RAM  mehr wie 8 GB, wird nicht unbedingt SWAP benötigt
+| Größe | 5120 MB |
-    * wenn RAM  8 GB, SWAP 8192 MB
+| Dateisystem | ext4 |
-    * wenn RAM  4 GB, SWAP 4096 MB
+| Label | BOOT |
-    * wenn suspend genutzt werden soll, SWAP = RAM
+| Mountpoint | /boot |
+| Flag | Keins |
+| Verschlüsselung | Nein |
-{{ :partitionierung.png?300|}}
+<block round tip 70%>
-  * ROOT erstellen, Größe Rest, ''ext4'' (bei btrfs funktioniert die Verschlüsselung nicht!), Hacken bei verschlüsseln (2x Passwort eingeben), Name „ROOT“ (oder „GOS“), Mountpoint ''/'', Flag „root“
+''/boot'' wird nicht verschlüsselt, um Dualboot mit anderen Betriebssystemen
+zu ermöglichen. Dies ist ein Kompromiss zwischen Bedienbarkeit und Sicherheit
+mit relativ geringem Risiko.
+</block>
-  * HOME erstellen, (wenn separat gewollt) Größe muss dann vorher bei ROOT abgezogen werden (für ROOT sollten max 102400 MB reichen), HOME hat dann den Rest, ''ext4'' (bei btrfs funktioniert die Verschlüsselung nicht!), Hacken bei verschlüsseln (2x Passwort eingeben), Name „HOME“, Mountpoint ''/home'', Flag „home“.
->Den Hinweis das System ist verschlüsselt, ''/boot'' ist es nicht, dies ist ein Sicherheitsrisiko, ignorieren! Grundsätzlich stimmt dies. BOOT wird nicht verschlüsselt, da sonst ein Dualboot mit anderen Betriebssystemen nicht ohne weiteres möglich ist. Es ist ein Kompromiss zwischen Bedienbarkeit und Sicherheit, mit relativ geringem Potential.
-  * Username und Passwort für den User vergeben, da beim booten durch die Verschlüsselung eine Passwort-Abfrage erscheint, kann hier ruhig automatischer Login gewählt werden, es sei denn, es soll ein Multiuser System werden. Dann natürlich nicht.
+==== SWAP-Partition ====
-  * Installation starten und warten bis fertig gemeldet wird.
+^ Parameter ^ Wert ^
+| Größe | Siehe Tabelle unten |
+| Dateisystem | Linux-Swap |
+| Label | SWAP |
+| Mountpoint | - |
+| Flag | Keins |
+| Verschlüsselung | **Ja** (Passwort 2x eingeben) |
-  * Das System neu starten
+**SWAP-Größe bestimmen:**
+^ RAM-Größe ^ SWAP-Größe ^ Hinweis ^
+| Mehr als 8 GB | Optional | SWAP nicht unbedingt nötig |
+| 8 GB | 8192 MB | |
+| 4 GB | 4096 MB | |
+| Bei Suspend-Nutzung | = RAM-Größe | Für Ruhezustand erforderlich |
+==== ROOT-Partition ====
+[{{ :partitionierung.png?300|}}]
+^ Parameter ^ Wert ^
+| Größe | Rest (oder max. 102400 MB wenn separate HOME gewünscht) |
+| Dateisystem | **ext4** (btrfs nicht verwenden!) |
+| Label | ROOT oder GOS |
+| Mountpoint | / |
+| Flag | root |
+| Verschlüsselung | **Ja** (Passwort 2x eingeben) |
+<block round alert 50%>
+Wichtig: Bei btrfs funktioniert die Verschlüsselung nicht!
+Daher zwingend ext4 verwenden.
+</block>
+==== HOME-Partition (optional) ====
+Eine separate HOME-Partition ist optional, bietet aber Vorteile bei Neuinstallationen.
+^ Parameter ^ Wert ^
+| Größe | Rest (vorher bei ROOT berücksichtigen) |
+| Dateisystem | **ext4** (btrfs nicht verwenden!) |
+| Label | HOME |
+| Mountpoint | /home |
+| Flag | home |
+| Verschlüsselung | **Ja** (Passwort 2x eingeben) |
+**Empfehlung für ROOT-Größe:** Maximal 102400 MB (ca. 100 GB) für das System, Rest für HOME
 ----
-===== Neustart =====
+===== Benutzereinrichtung =====
+  * **Benutzername** und **Passwort** für den Benutzer vergeben
+  * **Automatischer Login** kann aktiviert werden, da beim Booten bereits ein Passwort für die Verschlüsselung abgefragt wird
+  * Bei einem **Multiuser-System** automatischen Login deaktivieren
+----
+===== Installation abschließen =====
+  - Installation starten
+  - Warten bis Installation abgeschlossen ist
+  - System neu starten
+----
+===== Erster Start =====
+Nach dem Neustart läuft der Bootvorgang wie folgt ab:
+  - **GRUB-Menü** erscheint
+  - **Passwort-Eingabemaske** für die Verschlüsselung wird angezeigt
+  - Verschlüsselungs-Passwort eingeben und **Enter** drücken
+  - System fährt normal hoch
+<block round tip 70%>
+Tipp: Da alle verschlüsselten Partitionen das gleiche Passwort verwenden,
+erfolgt die Abfrage nur einmal beim Boot.
+</block>
+----
+===== Partitionsübersicht =====
+Zur Kontrolle der erstellten Partitionen kann folgender Befehl verwendet werden:
+<block round box 60%>
+<code bash>lsblk -o NAME,LABEL,UUID</code>
+</block>
+{{:lsblk.png?600|}}
+\\
+Dies zeigt alle Partitionen mit ihren Labels und UUIDs an
+----
+===== Zusammenfassung =====
+^ Partition ^ Größe ^ Dateisystem ^ Verschlüsselt ^ Mountpoint ^
+| EFI | 1024 MB | fat32 | Nein | /boot/efi |
+| BOOT | 5120 MB | ext4 | Nein | /boot |
+| SWAP | Variabel | swap | **Ja** | - |
+| ROOT | ~100 GB | ext4 | **Ja** | / |
+| HOME | Rest | ext4 | **Ja** | /home |
-Nach dem Neustart und dem Grub Menü, erscheint dann eine Passwort Eingabemaske. Hier das vorher für die Verschlüsselung erstellte Passwort eingeben und Enter drücken. Das System fährt hoch.