Secure boot enubuntu 18.04 installeren

Je kan prima W10 draaien zonder secure boot. Gewoon lekker vergeten

Ga eerst even inlezen met documentatie en wiki pagina's, want een hoop van je vragen staan daar uitgelegd. Wat heb je aan versleuteling/encryptie als er geen wachtwoord op staat. Dat is hetzelfde als een deur zonder slot.

Bij Linux is het verlicht om een wachtwoord voor je gebruiker te hebben. Toe je de nvidia driver wilde installeren werd er om dat wachtwoord gevraagd omdat je verhoogde rechten nodig hebt daarvoor.

In het principe is LVM niet nodig om gebruik te maken van schijfencryptie zonder LUKS. Op mijn Fedora machine heb ik het zo draaien. Het zou kunnen dat Ubuntu het om een of andere reden forceert, maar in principe is het geen vereiste.

jayjey schreef op donderdag 28 juni 2018 @ 17:49:
Ik vraag het omdat ik het antwoord niet kan vinden.....inlezen heb ik gedaan.

Welke bronnen heb je dan zoal gelezen? Want de Ubuntu wiki over LUKS verteld je al het een en ander. Maar ook Wikipedia pagina's kunnen je meer informatie verschaffen over de verschillende termen die je gebruikt, zoals Secure Boot en wat het precies doet.

"Als de gehele schijf wordt gebruikt ("wis schijf en installeer Ubuntu", dus geen "dual-boot") kan de installatie worden versleuteld met een 'beveiligingssleutel'. De installatie zal dan ook gebruik maken van de logisch volumebeheer (LVM)."

Vraag was waarom LVM nodig is voor LUKS? Misschien staat het ergens, ik kan het niet vinden.

Het is niet vereist, maar bied vele voordelen. Als je normale partities zou gebruiken en je deelt je schijf op in delen, zodat je / en /home apart hebt bijvoorbeeld, zou je met LUKS twee aparte volumes hebben met elk z'n eigen passphrase. Als je systeem opstart, moeten je partities ontgrendeld worden. Aangezien je meerdere LUKS volumes hebt, zal je meerdere passphrases in moeten geven. Als je LVM gebruikt, heb je 1 LUKS volume, daarbinnen zit LVM met z'n logische volumes. Je kan dan alsnog / en /home gescheiden houden, maar omdat ze dankzij LVM onderdeel zijn van hetzelfde LUKS volume, hoef je maar één passphrase in te geven bij het opstarten.

Je opmerking over versleuteling zonder wachtwoord kan ik niet plaatsen

Welk deel van 'versleuteling', of in het Engels 'encryption' snap je niet en kan je daarmee niet plaatsen met mijn vergelijking met een deur zonder slot? Je wilt iets afschermen zodat men er niet zomaar bij kan. Je hebt dan een 'sleutel' nodig om toegang te krijgen. Een deur zonder slot heeft geen sleutel nodig om te openen. Je bestanden zijn dan dus niet versleuteld, want je wilt geen 'sleutel' maken.

Hero of Time schreef op donderdag 28 juni 2018 @ 17:39:
Ga eerst even inlezen met documentatie en wiki pagina's, want een hoop van je vragen staan daar uitgelegd. Wat heb je aan versleuteling/encryptie als er geen wachtwoord op staat. Dat is hetzelfde als een deur zonder slot.

Bij Linux is het verlicht om een wachtwoord voor je gebruiker te hebben. Toe je de nvidia driver wilde installeren werd er om dat wachtwoord gevraagd omdat je verhoogde rechten nodig hebt daarvoor.

Dat is natuurlijk ook niet helemaal waar. Bij ons op de firma zijn alle Windows systemen versleuteld met bitlocker maar is er geen wachtwoord of pin vereist. De decryptiesleutel zit gewoon in TPM. Als je een systeem met TPM hebt zou men onder Linux in principe hetzelfde kunnen doen.

Blokker_1999 schreef op donderdag 28 juni 2018 @ 21:55:
[...]

Dat is natuurlijk ook niet helemaal waar. Bij ons op de firma zijn alle Windows systemen versleuteld met bitlocker maar is er geen wachtwoord of pin vereist. De decryptiesleutel zit gewoon in TPM. Als je een systeem met TPM hebt zou men onder Linux in principe hetzelfde kunnen doen.

Ja, dat klopt. Maar ik heb een lezing daarvan gezien bij de NLUUG laatst en het werkt niet ideaal en vereist veel handwerk. Het kan, maar echt gebruiksvriendelijk is het niet en zeker niet voor de 'faint-of-heart', oftewel, beginner.

En bij je firma staat het mooi in TPM, maar wat als je nou iets doet waardoor de key niet meer geldig is? Een instelling in je BIOS wijzigen (zoals mogelijke boot devices of volgorde) is al genoeg. Dan moet je met de recovery key aan de slag. Die staat zakelijk vaak in AD. Geen AD, dan moet je die apart maken of opschrijven. Ga je natuurlijk verliezen. tegen je data dan en begin maar opnieuw.

TPM is geen wonder middel.

Voor je secure boot vraag lijkt dit het te beantwoorden: https://askubuntu.com/que...le-secure-boot-on-initial. 1e hit bij Google btw.

Dan je vraag mbt LVM die standaard gebruikt wordt. Je vergeet even dat er altijd een swap partitie wordt aangemaakt. Dus al laat je alles in / staan, dus zonder aparte /home, is er altijd nog een extra partitie. Als je swap niet encrypt, heb je effectief nog niets aan encryptie omdat het een uitbreiding is op je geheugen. Encryptiesleutels worden in geheugen opgeslagen en kunnen theoretisch in virtueel geheugen worden geplaatst.

Van je indeling is sda1 de ESP (voor EFI idd) en is sda2 /boot (vaak apart icm encryptie, hoe wil je booten als je niet je bootconfig kan lezen?).

Zoals je ziet, je hebt een swap van 1 GB. De volume groep van LVM heet 'ubuntu-vg'. Met de commando's 'lvs' en 'lvdisplay' kan je zien welke logische volumes je hebt en de grootte ervan.

Je kan alleen /home encrypten, dat werd vroeger ook gedaan en had je een aparte 'container' waar je gebruikersdata in zat. Je noemt dm-crypt. Dat is onderdeel van LUKS.

Het is verstandig om even na te lezen wat je mogelijkheden/opties zijn met de voor- en nadelen ervan. Dan kan je daarmee zelf een beslissing maken of je je hele OS versleuteld of alleen je gebruikersdata.

jayjey schreef op donderdag 5 juli 2018 @ 19:22:
ESP? bootconfig?

ESP kan je Googlen maar staat voor EFI System Partition. Bootconfig, tja, zegt genoeg eigenlijk. Grub heeft z'n eigen configuratie. Daar kan je niet echt naar verwijzen als deze versleuteld is, zonder de tools te hebben om daar doorheen te komen.

Ik denk dat je bedoeld dat sda1 standaard iets is van het UEFI.
De volume groep bevat een 1GB Swap maar die zie ik dus niet in Disks als een aparte partitie, die zit daar gewoon in.

Ik wil gewoon zo simpel en standaard mogelijk met versleuteling.

Dat is wat Ubuntu biedt, alles in een LVM volume in LUKS. Als je LVM ergens mee moet vergelijken, al gaat de techniek dan aardig krom, dan is het meer als een extended partitie waar je vrij meerdere logische partities weer in kan aanmaken. Je zal die echter niet zomaar zien in je partitioneer programma. Je swap is een 1 GB 'partitie' binnenin LVM.

Ik moet trouwens de eerste distro nog tegenkomen die niet waarschuwt als je geen swap hebt aangemaakt.

Tenzij je de harde schijven in een RAID array kan zetten (en dat wil je eigenlijk helemaal niet) zal je per schijf een passphrase moeten opgeven als je alles encrypted wilt hebben. Is het alleen je OS en gebruikersdata zoals documenten die niet veel ruimte innemen (en dus op je SSD passen), dan zet je /home gewoon op je SSD als onderdeel of losstaand van /. Trek je /home van /, dan moet je in de installer van Ubuntu voor iets anders kiezen en zelf de boel opzetten. Dit kan in theorie ook later, maar vereist wat meer kennis van Linux en LVM.

Als het je niets uitmaakt dat het OS vrij uit te lezen is, dan maak je van je andere schijf /home met encryptie zodat je maar 1 passphrase hoeft in te vullen.

Ik vind trouwens wel dat we in herhaling treden en wat zijn afgeweken van de initiële vraag.

Het is een idee om eens met de text-based installer aan de slag te gaan die bij Ubuntu Server wordt gebruikt en Debian ook heeft (daar komt het immers vandaan). Daar kan je automatisch partities laten maken, maar ook helemaal los gaan met de hand. Doe het bij voorkeur in een VM, dan kan je veel sneller opnieuw beginnen. Dat is sowieso een goed idee in dit soort situaties, lekker los gaan en de boel slopen zonder veel consequenties.

Theorie lezen is leuk, maar hands-on ergens mee werken heeft in dit gebied veel meer zin. Leer je effectief sneller.