(K)Ubuntu aufsetzen und verschlüsseln - wie vorgehen?

[cyberjonny]

Hi miteinander,

ich möchte sobald es die Zeit zulässt ein frisches Linux-System aufsetzen (vermutl. Kubuntu, evtl. Ubuntu) und habe dazu ein paar grundlegende Fragen:

1. Welche Partitionen sollte ich anlegen, warum sollte ich das tun und wie groß sollten sie sein?
Üblich sind ja - wenn ich das richtig sehe - root, home und swap sowie ggf. noch boot (bei vollständig verschlüsselten Systemen). Root ist klar, ohne geht ja nicht. Aber macht es wirklich zwingend Sinn, eine home-Partition einzurichten? Der grundsätzliche Gedanke dahinter, die persönlichen Daten vom restlichen System zu trennen (und so beim Neuaufsetzen weniger Aufwand zu haben), ist mir schon klar. Allerdings erscheint mir bei einem ohnehin vorhandenen Backup das nicht allzu wichtig, davon abgesehen wüsste ich nicht, welche Größe ich der home-Partition geben sollte, zumal sich die Menge der persönlichen Daten über die Zeit ja drastisch ändern kann. Wird eine swap-Partition automatisch angelegt bzw. ist diese zwingend notwendig/sinnvoll? Wie groß sollte sie bei 8GB RAM sein? Muss ich eine boot-Partition für ein vollständig verschlüsseltes System bereits von Anfang an anlegen? Welche Größe sollte diese haben?

2. Welches Dateisystem sollte ich wählen und warum?
Ext4? Ext3? Btrfs? Ein ganz anderes? Welche Vor- und Nachteile haben die jeweiligen Dateisysteme, gerade auch im Hinblick auf eine Komplettverschlüsselung des Systems?

3. Wie richte ich eine Verschlüsselung für das komplette System ein?
Welche Lösung sollte ich dafür nutzen und wie konkret dabei vorgehen? Muss ich das vor, während oder nach der Installation des OS tun? Welche Lösung bringt am wenigsten Leistungseinbußen in der Alltagsnutzung mit sich?

4. Welche Sprache sollte ich wählen?
Anders formuliert: Hat es praktische Vorteile, Englisch statt Deutsch als Sprache zu wählen, oder ist das im Grunde egal? Kann man die Sprache für das komplette System auch nachträglich einfach wechseln oder muss man sich da bei der Installation festlegen?


Es handelt sich um ein normales Desktop-System ohne Dualboot o.ä.

Danke euch!
Gruß, Jonny

 

[moronoxyd]

1. Welche Partitionen sollte ich anlegen, warum sollte ich das tun und wie groß sollten sie sein?
Üblich sind ja - wenn ich das richtig sehe - root, home und swap sowie ggf. noch boot (bei vollständig verschlüsselten Systemen). Root ist klar, ohne geht ja nicht. Aber macht es wirklich zwingend Sinn, eine home-Partition einzurichten? Der grundsätzliche Gedanke dahinter, die persönlichen Daten vom restlichen System zu trennen (und so beim Neuaufsetzen weniger Aufwand zu haben), ist mir schon klar. Allerdings erscheint mir bei einem ohnehin vorhandenen Backup das nicht allzu wichtig, davon abgesehen wüsste ich nicht, welche Größe ich der home-Partition geben sollte, zumal sich die Menge der persönlichen Daten über die Zeit ja drastisch ändern kann. Wird eine swap-Partition automatisch angelegt bzw. ist diese zwingend notwendig/sinnvoll? Wie groß sollte sie bei 8GB RAM sein? Muss ich eine boot-Partition für ein vollständig verschlüsseltes System bereits von Anfang an anlegen? Welche Größe sollte diese haben?

Ich würde empfehlen, eine separate /home-Partition anzulegen. Man ist einfach flexibler.
Was die Größe angeht, so ist das einfach: Alles, was man nicht für die Systempartition (und ggfls. Swap) braucht.
Und um hier der Frage vorzubeugen: Ich peile für Ubuntu-Systeme immer so 16 GB als /root an. Da hat man m.E. genug Reserven.

Wenn dein Gerät ausreichend RAM hat, ist eine Swap-Partition nicht notwendig.
Schadet aber auch nicht.
Ib diese automatisch angelegt wird, hängt vom Installer ab.

2. Welches Dateisystem sollte ich wählen und warum?
Ext4? Ext3? Btrfs? Ein ganz anderes? Welche Vor- und Nachteile haben die jeweiligen Dateisysteme, gerade auch im Hinblick auf eine Komplettverschlüsselung des Systems?

Btrfs ist mächtiger als die ext-Familie, aber auch noch recht neu und eher etwas problematisch. Auch dürfte die zusätzlichen Funktionen für den Heimgebrauch eher weniger wichtig sein.
Bei der ext-Familie sollte man zum neuesten greifen, also ext4.

3. Wie richtige ich eine Verschlüsselung für das komplette System ein?
Welche Lösung sollte ich dafür nutzen und wie konkret dabei vorgehen? Muss ich das vor, während oder nach der Installation des OS tun? Welche Lösung bringt am wenigsten Leistungseinbußen in der Alltagsnutzung mit sich?

Es gibt zwei Optionen:
Willst du eine vollverschlüsselung aller Partitionen, oder reicht eine Verschlüsselung der persönlichen Daten im /home-Ordner?
Letzteres bietet der normale Ubuntu-Installer automatisch an.
Für ersteres muss man m.W. den alternativen Installer verwenden. Mehr dazu können dir sicher andere sagen. (Oder das Wiki von ubuntuusers.de)

4. Welche Sprache sollte ich wählen?
Anders formuliert: Hat es praktische Vorteile, Englisch statt Deutsch als Sprache zu wählen, oder ist das im Grunde egal? Kann man die Sprache für das komplette System auch nachträglich einfach wechseln oder muss man sich da bei der Installation festlegen?

Man kann die Sprache natürlich nachträglich noch ändern.
Ich wüßte nicht, daß man Vorteile von der Auswahl von Englisch hat. Abgesehen davon, daß es hier und da mal ein Programm geben kann, das nicht übersetzt ist, und der Wahl von Englisch einen Sprachmischmasch vermeidet.

 

[Gummiente]

Denke man macht nichts falsch wenn man die Vorschläge vom Installer folgt. Diese basieren auf Erfahrungen von unzähligen Nutzern/Entwicklern und wenn jemand davon abweicht dann hat er schon recht genaue Vorstellung davon wie sein System genutzt werden wird.

Auch denke ich die Trennung von System- und Home-Partitionen stammen noch aus Multiuser Zeiten wo man je nach Plattenpreisentwicklung weitere Platten für die datenhortenden Nutzer reinschrauben konnte statt sie zur Ordnung zu ermahnen und/oder mit dem eisernen Besen durchzukehren. In Zeiten von Journaling FS muss man nicht tagelangen FSCK Sessions fürchten wenn die FS nicht strikt voneinander getrennt sind.

Langfristig werden alle Distributionen wohl auf BTRFS migrieren obwohl nur wenige Otto-Normaluser mit seinem PC oder Notebook je einen Unterschied zu Ext4 bemerken werden.

Was die Sprache betrifft, installiert wird Englisch + Sprachpakete deiner Wahl. Zwischen diesen kannst du hin- und herschalten. Es ist nachträglich möglich weitere Sprachpakete zu installieren oder installierte zu löschen. Allerdings schwankt die Qualität der (deutschen) Lokalisierung stark. Oft genug erwische ich mich dabei zu sagen statt dieser unvollständigen Lokalisierung doch lieber Englisch.

 

[linrunner]

http://thinkwiki.de/Ubuntu_Schnelleinstieg

Als Filesystem nimmst Du ext4.

Nicht so viel fragen, sondern einfach mal machen – sonst wird das nie was .

 

[Avathar]

Eine getrennte Home partition macht finde ich IMMER sinn. Schon alleine wenn man sich (aus welchem Grund auch immer) das System zerschießt, kann man root einfach platt machen und drüber installieren, ohne groß Angst um seine Daten haben zu müssen. Ein Backup ist natürlich trotzdem angeraten.

Weiters bietet der xUbuntu installer (glaube ich) mittlerweile die Option das System voll mit LUKS zu verschlüsseln, was ich auch empfehlen würde. Eine Neuinstallation wird dadurch zwar um einen Tick komplizierter, es läuft laut Tests aber schneller und ist auch sicherer.

 

[SammysHP]

Jain. Auf meinem Laptop mit SSD (oder kleiner Platte) würde ich mich mit einer Partition begnügen. Damit kann man die Platte viel besser ausnutzen.

 

[Avathar]

Im Vergleich zu Windows gibt es bei Linux ja relativ wenig Wildwuchs für den man vorplanen müsste
Ich hab auf meiner 120GB SSD einfach 20GB als Rootpartition genommen und hatte bis jetzt nie Platzprobleme. Je nach Alter der Installation bzw. installierten Programmen sind so zwischen 10 und 15GB belegt.

 

[cyberjonny]

http://thinkwiki.de/Ubuntu_Schnelleinstieg

Als Filesystem nimmst Du ext4.

Nicht so viel fragen, sondern einfach mal machen – sonst wird das nie was .

Du hast ja völlig Recht - allerdings würde ich dann ungern zig mal das System neu aufsetzen, weil irgendwas nicht passt, sondern hätte dann gerne möglichst ein stabiles System, das eine Weile hält! Deshalb meine peniblen Vorab-Fragen...


Ich tendiere ja stark dazu, keine separate home-Partition anzulegen.

Werden Programme denn in root oder in home installiert? Was, wenn die empfohlenerweise 15-20GB große root-Partition mal zu klein wird? Dann muss man da wieder frickeln. Unter Windows habe ich seit Jahren auch nur noch eine Partition und keinerlei Probleme damit. Es ist ja auch kein wirklich großer Aufwand, nach einem Neuaufsetzen des Systems noch kurz das Datenbackup zurückzuspielen.

Sollte ich bei 8GB RAM eine swap-Partition anlegen? Was, wenn ich keine anlege? Wird diese automatisch angelegt? Wird (analog zu Windows) eine swap-File in root geschrieben? Wozu wird für swap überhaupt eine extra Partition benötigt?


Und was die Verschlüsselung betrifft: Ich würde das System gerne vollverschlüsseln, also nicht nur home (was ja sowieso rausfällt, wenn das keine separate Partition ist). Sollte ich da einen Teil der SSD unpartitioniert lassen (Stichwort "Over Provisioning") oder ist das mittlerweile egal? Leidet die SSD da drunter? Was ist mit TRIM?

Danke euch!

 

[SammysHP]

Wie gesagt, ich lebe ganz gut ohne separate Home-Partition. Programme werden auf deiner Root-Partition installiert (natürlich kannst du die jeweiligen Verzeichnisse auch auf separate Partitionen auslagern). Partitionen können relativ problemlos in der Größe geändert werden, wobei man natürlich sicherheitshalber eine Sicherung machen sollte.

Eine Swap-Partition brauchst du eigentlich nicht (außer, du möchtest den Ruhemodus / Suspend-to-disk nutzen). Wenn nötig, kannst du später immer noch eine Swap-Datei erstellen. Automatisch wird die aber nicht erstellt. Wenn dein RAM voll ist, werden einfach Programme zwangsweise beendet.

Vollverschlüsselung: Keine Ahnung, wie gut das inzwischen im Installer von Ubuntu integriert ist. Es wird auf jeden Fall eine unverschlüsselte Boot-Partition benötigt, der Rest ist egal. Unpartitionierter Bereich auf SSD macht keinen Sinn. TRIM funktioniert, muss aber ggf. manuell aktiviert werden (keine Ahnung, was der Ubuntu-Installer da macht). Unter der Verschlüsselung leidet die SSD nicht.

 

[cyberjonny]

Bzgl. swap:
Macht es einen Unterschied, ob ich eine swap-Partition oder eine swap-Datei nutze (von der Performance her sollte es ja eigentlich keine Rolle spielen, es werden ja beidesmal einfach Daten auf der SSD gepuffert)? Dem zwangsweisen Beenden von Programmen würde ich gerne entgegenwirken. Wird da denn ggf. vorher nachgefragt, sodass man noch speichern kann etc. oder werden die einfach so beendet? Wie kann ich eine swap-Datei anlegen?

Bzgl. SSD:
Macht der unpartitionierte Bereich auf der SSD wirklich keinen Sinn? Warum nicht? Ich lese bisher eigentlich eher, dass der Sinn macht (nämlich für das Wear Levelling). Aber natürlich würde ich meinen Speicherplatz auch gerne so effizient wie möglich nutzen, also wenn es für Leistung und/oder Langlebigkeit bzw. Stabilität nicht benötigt wird, würde ich natürlich gerne auf einen unpartitionierten Bereich verzichten.

Bzgl. TRIM:
Stellt das nach wie vor eine theoretische Schwachstelle der Verschlüsselung dar oder ist das mittlerweile nicht mehr so? Sollte man TRIM bei einem vollverschlüsselten System auf einer SSD verwenden oder lieber nicht und warum?

Danke! :thumbup:

 

[Gummiente]

Ich bin auch dafür es einfach mal zu machen.

In der Zeit in der man hier theoretisiert hätte man Kubuntu dreimal aufsetzen können. Ist nicht wie Windows wo je nach Tempo des Rechners schon allein für das Aufspielen und Abtippern irgendwelcher Lizenznummern etliche Stunden versenkt werden.

Noch vor einigen Jahren hätte ich gesagt, wer seine erste Linux Installation nicht innerhalb von einigen Wochen zersägt, der hat zu wenig experimentiert, um etwas zu lernen.

 

[moronoxyd]

Und was die Verschlüsselung betrifft: Ich würde das System gerne vollverschlüsseln, also nicht nur home (was ja sowieso rausfällt, wenn das keine separate Partition ist).

Falsch. Die optionale Verschlüsselung der Benutzerdaten passiert dateibasiert und ist unabhängig davon, ob /home eine eigene Partition ist oder nicht. (Es wird auch nicht ganz /home verschlüsselt, sondern für jeden Benutzer separat die Dateien in seinem Unterverzeichnis. Wenn mehrere Benutzer angelegt werden, kann für jeden separat festgelegt werden, ob verschlüsselt werden soll oder nicht, und die Keys zur Verschlüsselung sind ja für jeden Benutzer andere.)

Ist nicht wie Windows wo je nach Tempo des Rechners schon allein für das Aufspielen und Abtippern irgendwelcher Lizenznummern etliche Stunden versenkt werden.

*seufz* Müssen solche Spitzen sein?
Nicht nur, daß du offensichtlich etwas falsch machst, wenn du zum Eintippen einer Lizenznummer "etliche Stunden" brauchst, auch die Installation eines aktuellen Windows ist nicht komplizierter oder langsamer als eine Ubuntu-Installation. Maximal die Installation der Updates danach dauert etwas länger. Aber auch das nicht "etliche Stunden".

 

[cyberjonny]

Ich bin auch dafür es einfach mal zu machen.

In der Zeit in der man hier theoretisiert hätte man Kubuntu dreimal aufsetzen können. Ist nicht wie Windows wo je nach Tempo des Rechners schon allein für das Aufspielen und Abtippern irgendwelcher Lizenznummern etliche Stunden versenkt werden.

Noch vor einigen Jahren hätte ich gesagt, wer seine erste Linux Installation nicht innerhalb von einigen Wochen zersägt, der hat zu wenig experimentiert, um etwas zu lernen.

Du hast völlig Recht und das werde ich auch tun - allerdings werden einige Fragen auch durch "einfach mal machen" ja nicht wirklich geklärt.

Gerade die Fragen zu Over-Provisioning/Wear-Levelling/unpartitionierten SSD-Bereichen/TRIM... Im Zweifelsfall merke ich erst, wenn die SSD (zu) früh den Geist aufgibt, ob meine Wahl gut war...

 

[Gummiente]

*seufz* Müssen solche Spitzen sein?
Nicht nur, daß du offensichtlich etwas falsch machst, wenn du zum Eintippen einer Lizenznummer "etliche Stunden" brauchst, auch die Installation eines aktuellen Windows ist nicht komplizierter oder langsamer als eine Ubuntu-Installation. Maximal die Installation der Updates danach dauert etwas länger. Aber auch das nicht "etliche Stunden".

Staune, dass Fakten als Spitzen empfunden wird.

Bei Kubuntu kann man auch mangels Möglichkeiten höchstens ein paar PPAs einbinden und wenn es hoch kommt das eine oder andere Softwarepaket aus anderen Quellen nachinstallieren. Mehr gibt es nicht.

Ich neige zu der Behauptung, dass mit Installation von Windows die eigentliche Arbeit erst beginnt wenn es darum geht einen Rechner vor sich zu haben mit dem man arbeiten kann.

 

[moronoxyd]

Staune, dass Fakten als Spitzen empfunden wird.

Mach mir mal vor, wie du mit Installation eines (halbwegs aktuellen) Windows und "Abtippern irgendwelcher Lizenznummern" etliche Stunden brauchst.
Und dann vergleichen wir mal, wie lange Ubuntu auf demselben Gerät braucht.
Der Unterschied ist nicht so groß, wie du unterstellst.

Deine "Fakten" sind Vorurteile.


Aber gut, wir müssen das jetzt nicht vertiefen, das geht ja auch eher off-topic.

 

[Gummiente]

In einer RDP Sitzung habe ich gerade ein MS Update das seit etwa vier Stunden läuft. Dabei ist es nicht einmal eine Neuinstallation. Der Rechner war nur etwa ein halbes Jahr nicht in Nutzung.

 

[moronoxyd]

Sorry, aber sich so einen Einzelfall herauszupicken, als ob das der Normalfall ist, ist lächerlich.
Da könnte ich genauso (und wahrheitsgemäß) sagen, daß ich auch schon Ubuntu-Updates hatte, die ewig lange liefen, und sogar welche, die mein System irgendwie zerschossen haben. Werde ich aber nicht tun, weil ich eben weiß, daß das Einzelfälle sind.

 

[cyberjonny]

Wäre toll, wenn wir wieder back to topic kommen könnten (auch wenn es dazu womöglich nicht mehr allzu viel zu sagen gibt... ).

Die Sache mit TRIM hätte mich noch interessiert...

 

[moronoxyd]

Bzgl. SSD:
Macht der unpartitionierte Bereich auf der SSD wirklich keinen Sinn? Warum nicht? Ich lese bisher eigentlich eher, dass der Sinn macht (nämlich für das Wear Levelling). Aber natürlich würde ich meinen Speicherplatz auch gerne so effizient wie möglich nutzen, also wenn es für Leistung und/oder Langlebigkeit bzw. Stabilität nicht benötigt wird, würde ich natürlich gerne auf einen unpartitionierten Bereich verzichten.

Wichtig ist, daß man die SSD möglichst nicht randvoll schreibt, sondern daß es freie Blöcke gibt. Diese müssen aber nicht im unpartitionierten Bereich liegen, sondern können auch gerne ein Teil einer Partition sein.
Letztlich hat man darüber ja eh keine Kontrolle, weil der Controller der SSD die physischen Datenblöcke den logischen Adressen nach Lust und Laune zuordnet.

Bzgl. TRIM:
Stellt das nach wie vor eine theoretische Schwachstelle der Verschlüsselung dar oder ist das mittlerweile nicht mehr so? Sollte man TRIM bei einem vollverschlüsselten System auf einer SSD verwenden oder lieber nicht und warum?

Ubuntuusers sagt, daß Trim auch bei Vollverschlüsselung funktioniert, solange man die richtigen Einstellungen vornimmt: http://wiki.ubuntuusers.de/SSD/TRIM#TRIM-mit-Festplattenverschluesselung

Persönlich habe ich da aber keine Erfahrungen.

 

[Arminius]

Mit
hdparm -I /dev/sda | grep -i TRIM

zum Testen des TRIM-Befehls der SSD mit einem Live-OS
Im Positivfall enthält die Ausgabe eine der folgenden Zeilen:
* Data Set Management TRIM supported
* Data Set Management TRIM supported (limit N blocks)
* Data Set Management TRIM supported (limit unknown)
Der Stern (*) zeigt an, dass die Option verfügbar ist.
Zu beachten ist außerdem, dass es mehrere Typen von SSDs gibt, die sich darin unterscheiden,
welche Daten für per TRIM freigebene Datenblöcke zurückgeliefert werden.
Zu erkennen ist der Typ an einer zusätzlichen Ausgabezeile:
Typ 1 – liefert beliebige Daten zurück, nicht jedoch die Ausgangsdaten vor TRIM:
Deterministic read data after TRIM
Typ 2 – liefert Nullen zurück:
Deterministic read ZEROs after TRIM
Typ 3 – keine zusätzliche Ausgabezeile, das Verhalten für freigegebene Datenblöcke ist undefiniert.

Im Dauerbetrieb eines vollverschlüsselten Debian ohne /home läuft das OS schnell und stabil.
Der OS-Installer ist derzeit derart ausgeklügelt, dass er dir alles anbietet: vollverschlüsseltes System mit und ohne /home durch Verschlüselung mit Luks, selbst die Schlüssellänge/Qualität der Verschlüsselung kannst du "einstellen", solltest aber in der Standart-einstellung bleiben.
Die Vollverschlüsselung im Betrieb ist nicht zu bemerken - soll heißen, dass es keine Geschwindigkeitseinbußen gibt.
SWAP und extra /home halte ich für überflüssig.

TU ES !