Triple boot FDE Manjaro, Ubuntu + Windows 10 op 2 disks - Linux en overige clients

woensdag 24 juli 2019 16:30

Acties:

0 Henk 'm!

Topicstarter

Hi mede-tweakers!

Ik wil van een unencrypted static partitie setup naar een dynamische LVM on disk encryption oplossing. Ik heb daar alleen nog geen ervaring mee, dus ik ben benieuwd of mijn plannen te realiseren zijn.

Huidige situatie unencrypted:

- NVME SSD 256 GB: EFI, windows, ubuntu, manjaro, swap
- HDD 1TB: DATA

Nieuwe situatie encrypted:

- NVME SSD 256 GB: EFI (unencrypted GRUB/systemdboot), partitie LVM volume group met ubuntu en manjaro en swap
- SSD 1TB : EFI (unencrypted veracrypt bootloader), Windows, DATA

Dubbele EFI met het idee dat ik altijd van een van de twee schijven kan booten als er eentje crasht.

Hoe krijg ik dit voor elkaar?

Ik zat te denken aan LUKS met systemd-boot of GRUB. (LUKS2 wordt alleen gesuppport door systemd-boot) En op die NTFS windows partitie veracrypt met de veracrypt bootloader. Die kan dan op de grote ssd. Vervolgens als main bootloader de NVME met GRUB/systemdboot. Daarvan kan je of ubuntu/manjaro booten, of door naar de veracrypt bootloader op de andere SSD.

Is dit mogelijk, hebben jullie hier ervaring mee, of zien jullie verbeteringen?

[ Voor 0% gewijzigd door rubentjuuuhh op 28-07-2019 14:25 . Reden: Typop ]

woensdag 24 juli 2019 16:34

Acties:

+1 Henk 'm!

Room42

Als ik je vraag goed begrepen heb; Het makkelijkst is gewoon met je UEFI Boot menu de juiste disk kiezen om vanaf te booten. Zo heb ik jaren Windows en Linux naast elkaar gehad. Via het bootmenu koos ik dan de disk waar ik vanaf wilde starten; Disk 1 voor Windows en disk 2 voor Linux.

Zo was het ook makkelijker om van Windows af te komen; disk 1 is nu leeg

Uhm; volgens mij moet jouw voorstel dus werken

[ Voor 6% gewijzigd door Room42 op 24-07-2019 16:35 ]

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

woensdag 24 juli 2019 20:52

Acties:

+2 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Het zal prima werken, maar hetgeen waar je eerder 'problemen' mee kan hebben is het maken van het grub menu. Je kan namelijk met beide distro's elkaar starten. In je /boot zal je je kernels e.d. hebben. Je zou dan Ubuntu kunnen starten met de initrd van Manjaro of andersom.

Maar wat wel een ding kan zijn, is het bijhouden van het menu. Ik heb dat eens met Fedora en Debian dual boot geprobeerd, zonder encryptie, en dat was best even puzzelen. Ik raad je daarom aan om het in een virtuele omgeving te testen qua opzet. LVM is niet direct nodig, maar je krijgt er dan wel gelijk een 'feel' voor. Het gaat voornamelijk om hoe je het bootmenu gaat krijgen met de twee distro's. Probeer het met zowel unencrypted en encrypted qua opzet om te zien en een beetje te begrijpen wat er gebeurt en hoe het in elkaar steekt.

Het zal dus wel gaan werken, maar een vlakke weg ga je niet berijden. Het Windows stukje om te kunnen starten moet je je geen zorgen om maken.

Commandline FTW | Tweakt met mate

zondag 28 juli 2019 14:24

Acties:

0 Henk 'm!

rubentjuuuhh

Topicstarter

Hero of Time schreef op woensdag 24 juli 2019 @ 20:52:
Het zal prima werken, maar hetgeen waar je eerder 'problemen' mee kan hebben is het maken van het grub menu. Je kan namelijk met beide distro's elkaar starten. In je /boot zal je je kernels e.d. hebben. Je zou dan Ubuntu kunnen starten met de initrd van Manjaro of andersom.

Maar wat wel een ding kan zijn, is het bijhouden van het menu.

Met mijn huidige setup gebruik ik de GRUB generated door Manjaro. Het update-grub commando herkent zowel Ubuntu als de Windows bootloader. Dus dat gaat goed (unencrypted). De vraag is of dat ook nog zo makkelijk gaat als alles encrypt is. Wellicht moet dat grotendeels handmatig.

Windows heb ik net encrypt op mijn m2 SSD, dat gaat goed, als ik die maar start vanaf de Veracrypt bootloader. Zo meteen ga ik een fresh Win install doen op mijn tweede SSD, dat komt wel goed. Het is voornamelijk het GRUB en Linux gedeelte dat voor uitdagingen kan/zal zorgen.

zondag 28 juli 2019 17:32

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Daarom ook even testen in een virtuele omgeving.

Als je nu van Manjaro naar grub van Ubuntu chainload, zal je dat met encryptie ook doen.

Commandline FTW | Tweakt met mate

maandag 29 juli 2019 20:45

Acties:

+1 Henk 'm!

delphium

Bedenk je ook dat als je partities decrypt pas nadat je inlogt (home dir encryption), je problemen kan krijgen met services die tijdens boot al gestart worden. Bijvoorbeeld MySQL. Wil je de databases ook encrypten, zal je ze in je home dir moeten plaatsen. Alleen is die nog encrypted tijdens boot en kan MySQL dus niet opstarten.

Je kunt natuurlijk full disk encryption gebruiken, maar dit heeft als nadeel dat je altijd een wachtwoord moet opgeven tijdens de boot. Hiermee kan je dus nooit je systeem remote opstarten (WOL).

Je kunt natuurlijk een scriptje schrijven om je services te starten nadat je bent ingelogd. Het is maar dat je er rekening mee houdt.

maandag 29 juli 2019 20:49

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Ik verwacht dat 'ie een "full disk" encryptie doet op z'n LVM volumes. Maar dat is wel een dingetje waar ik niet echt op had gelet. Swap staat blijkbaar los. Wordt die ook encrypt? En hoe wil je die gebruiken? Een enkele swap voor beide? Want dat kan niet zo leuk zijn als je bijvoorbeeld hybernate gaat gebruiken, of data nog in swap staat voor het afsluiten van de een.
Beter geen swap, of aparte, dan een gedeelde swap.

Commandline FTW | Tweakt met mate

zondag 17 november 2019 03:47

Acties:

0 Henk 'm!

rubentjuuuhh

Topicstarter

*Off-topic*
Allereerst excuus voor mijn zeer late reactie. Inmiddels een nieuwe studie begonnen en geëmigreerd.

*On-topic*
Huidige situatie:
NVME SSD: EFI (unencrypt), LVM manjaro(/boot, root, home, swap)
SSD 1TB: data(vm's, backups etc)

Dus van het originele triple boot idee heb ik er voor gekozen om terug te gaan naar single boot FDE en vm's. Manjaro's /boot is encrypt. Elke boot inderdaad wel een wachtwoord om GRUB cryptodisk te unlocken. Daarna wordt de andere SSD automatisch unlocked door de keyfile in crypttab. Beide disks encrypt met LUKS. Manjaro's Architect is erg gebruikersvriendelijk wat dit betreft. Ik heb zelf relatief weinig hoeven doen. $_/-\o_$

Waarom geen toch geen triple boot? -> om 3 redenen:
- Triple boot is overkill voor mijn use case. Windows heb ik uiteindelijk alleen nog gebruikt om documenten te scannen en printen. Tijd voor gamen zit er al tijden niet meer in. Ubuntu heb ik niet meer nodig. In plaats daarvan draai ik nu Kali in Virtualbox, wat verbazingwekkend goed werkt. Dubbele EFI partities zijn overigens ook overbodig, mocht er iets crashen dan is er altijd nog de manjaro live-USB.

- De setup is complexer in combinatie met FDE. Vooral met de kernels in de LVM root volume achter een laag encryptie. De Ubuntu installer is daar niet geavanceerd genoeg voor. Ik heb momenteel niet genoeg tijd en motivatie om dit uit te zoeken. In plaats daarvan zou ik eerder naar Arch kijken

- Vanuit een beveiligings perspectief is het verstandiger om Kali in een VM te draaien. De enige redelijke use case zou Manjaro + Kali zijn. In een dualboot omgeving heeft Kali te veel rechten en mogelijkheden om data te vergaren danwel te vernietigen.