Diskussions- und Newsboard der Linux Interessen Gruppe Suletuxe
allgemeine Kategorie => Installation & Einrichtung => Thema von: Sebastian am 10. Juni 2022, 14:51:56

Titel: Endeavour OS Einstiegsprobleme
Beitrag von: Sebastian am 10. Juni 2022, 14:51:56

Hallo Suletuxe,

Ich möchte einmal von meiner gestrigen Erfahrung berichten als ich Endeavour OS ausprobieren wollte.

Da ich alle meine Daten "at rest" Verschlüsselt haben möchte, habe ich mir diesen Guide (https://discovery.endeavouros.com/encrypted-installation/lvmonluks/2021/03/) angeschaut. Da habe ich erst nicht verstanden warum man so umständlich das Betriebsystem in einer Temporären Verschlüsselten Partition installieren soll, um das Betriebssystem im Nachhinein in ein Logical Volume in einer Luks Partionen zu verschieben. Ich dachte zuerst (wie ich es von Linux Mint gewohnt war) das sich das auch einfach direkt in eine bzw. mehere Logical Volumes in eine Luks Partition installieren lässt.

Also habe ich mich erst nicht an den Guide gehalten und erst einmal das Versuchen wollen, Also:

1. ISO Heruntergeladen, verifiziert und davon gebootet,
2. Vom Endeavour Willkommen Bildschirm, den installer gestartet, und mich bis zur Manuellen Partitionierung durchgeklickt.
3. EFI Partition, Luks 1 Partition angelegt (Ich wurde für die Luks Partition nicht nach der Vergabe eines Kennwortes gefragt, da läuft also schon was schief) spielte dann aber auch keine Rolle da ich über den Installer keine LVs in der Luks Partition anlegen konnte.
3.1. Nach längeren herumprobieren dann festgestellt, das wenn man im Installer lvm2 auswählt und den Harken beim verschlüsseln setzt, das der Installer dann Automatisch luks darunter setzt. (Jetzt auch mit Passwort abfrage). Leider nach Bestätigung das so eine Partition Angelegt werden soll Vergisst der Installer die ganze Partitionstabelle, oder stürzt ganz ab.
3.2. Gut dachte ich, dann bereite ich die Partitionierung selbst vor. (Das bekommt der Installer von Mint bei der manuellen Partitionierung auch nicht hin)
4. Zurück im Installer dann alle Partitionen den Richtigen Mount Punkten zugewiesen, und Installation gestartet, kurz darauf brach die Installation mit einer Fehlermeldung ab.

Damit ist also geklärt warum der Guide den Umweg über eine Temp Partition geht.

Also dieses mal genau nach Guide. Leider brach auch jetzt wieder der Installer mit einer Fehlermeldung ab. Jetzt gab es ein Problem mit dem Paket Mirror der wohl geblockt war. Das ich vor dem starten der Installation die Mirror Liste selbst aktualisieren muss, hatte ich nicht dran gedacht, ich dachte das wird beim Installationsprozess mitgemacht.

Gut also alle guten Dinge sind drei dachte ich, und um das Mirror Problem zu vermeiden denn Installer diesesmal im Offline Modus gestartet. (Updates mache ich dann ganz Mint like nach der Installation) und siehe da endlich gelang auch die Installation.

Nach der Installation und einem neustart, wollte ich das System dann updaten.


Code:
pacman -Syu


Dann wurde ich mit 2-3 Fragen wärend des Updates Prozess wegen fehlende PGP Schlüssel, ob ich diese hinzufügen, vertrauen möchte gefragt. Da dies ein neues Frisches System ist habe ich einfach mal blind Ja gesagt, da ich hoffe das die Endeavour Leute wissen was sie tun.

Zum Schluss hat mir dann pacman dann doch nichts installiert, obwohl er die Keys jetzt haben müsste.
Probiere ich es halt noch mal dachte ich, vielleicht werden sie erst beim nächsten mal angenommen. Und tada das Update lief durch.

Später habe ich dann in den News (https://endeavouros.com/news/apollo-iso-bug-is-fixed-for-most-users-and-also-a-workaround-for-those-who-need-it/) gelesen das dies genau so passieren wird, wenn man zur Zeit die Offline Installations Variante auswählt.

Mein Fazit:

Eine Arch Linux Distribution bleibt etwas für Do it yourself Leute, (Nicht abwertend gemeint) die bereit sind mit der Software Entwicklung schritt zu halten, und oder auch aktuelle Software haben möchten.

Zudem hilft es die News der Distribution wegen eventuellen Bugs zu verfolgen. Als Linux Mint User ist man das nicht gewohnt. Aber ich denke das ist der Natur eines Rolling Releases geschuldigt das man auch News Technisch Up to date bleiben sollte.

Titel: Re:Endeavour OS Einstiegsprobleme
Beitrag von: Andreas am 11. Juni 2022, 06:49:46

Dein Fazit ist aus einer sehr speziellen Sicht gezogen Sebastian. Ich habe so lange ich Linux Installationen anbiete noch kein einziges Mal den Wunsch an mich herangetragen bekommen irgendetwas zu verschlüsseln. Auch ist dieser Wunsch allgemein sehr selten - weswegen so gut wie kein Installer das out-of-the-box unterstützt. Dieser Wunsch ist es der Dich in diese Probleme laufen lässt!

Auch habe ich seit Jahren keine einzige Offline-Installation gemacht. Dann bekommt man kein deutsches System - der Installer kann offline aus Platzgründen auf der DVD natürlich nicht alles Sprachen dieser Welt. Also immer online installiert. So habe ich es auch mit allen anderen Distributionen gemacht.

Mach mal eine "normale Installation". Es wird alles laufen wie geschnitten Brot.

LG
Andreas

Titel: Re:Endeavour OS Einstiegsprobleme
Beitrag von: Sebastian am 11. Juni 2022, 14:21:49

Sein System zu verschlüsseln finde ich aus folgenden Gründen eigentlich immer angebracht, deswegen sollte man dies wenn kein triftiger Grund existiert immer einsetzten:


  • Bei einer Datenträger Reklamation. Mit Verschlüsselung kein Problem, ohne lässt man es unter Umständen doch lieber sein, da man seine Daten nicht weggeben möchte.
  • Um seine Daten vor Fremdzugriff zu schützen. Grade Notebooks oder kleine Datenträger können schnell mal abhanden kommen. (Das ist natürlich eine Frage der persönlichen Risiko Abschätzung.)
  • Beim Verkauf eines gebrauchten Datenträgers. Grade bei SSDs gibt es keine überprüfbare nicht Proprietäre Lösung Daten sicher von einer SSD zu löschen, man muss hier auf den Controller der SSD vertrauen, das dieser auch wirklich alle Speicherzellen löscht, wenn man an den Controller ein "Secure Earse" Command sendet. Securely wipe disk#Flash memory (https://wiki.archlinux.org/title/Securely_wipe_disk#Flash_memory) bei normalen HDDs wiederum kann man sich dann das lange nullen der Sektoren sparen.
  • Ohne Systemverschlüsselung und ohne Absicherung des Bootloaders, ist es für einen Lokalen Angreifer ganz leicht mit einem simplen Neustart ohne Live System an einem Linux Rechner sich Root Rechte zu verschaffen. Indem er dem Bootloader einfach mitteilt im Singel Mode zu starten indem man ein S als Kernel Parameter mit gibt, um eine Root shell zu bekommen. (Klappt bei Linux Mint da der Root Account dort kein PW gesetzt ist.) Oder bei Arch gibt man als Kernel Parameter init=/bin/bash mit um gleich in eine Root Shell zu droppen, dann muss man nur noch Dateisysteme mounten und kann mit
    Code:
    passwd user
    ein neues Kennwort setzten. [url=https://cromwell-intl.com/open-source/linux-break-in-howto.html]How To Break Into Linux
    (And How To Prevent This)
    [/url]

  • Bei heutigen PCs/Notebooks mit halbwegs aktueller Hardware gibt es kaum spürbare Performance einbüsungen.


  • Da man hier nur vorsorgen und nicht im Nachhinein Verschlüsseln kann, wenn erst was passiert ist. Sehe ich kein Grund ein System unverschlüsselt zu lassen wo man es nicht tun kann. Selbst für Systeme die eher unwichtig erscheinen sollte man aus best practice gründen es einfach tun. Da man so viele Angriffsfaktoren für Locale Angriffe damit einfach erschlagen kann.

    Das der Wunsch nach einer System Verschlüsslung allgemein nicht häufig gesäuert wird, liegt glaube ich noch allgemeiner das in unserer Gesellschaft viele sich keine Gedanken um den Schutz ihrer Daten machen, ganz nach dem Motto "Ich habe nichts zu verbergen" werden Daten bei Unternehmen im Ausland (meistens USA) gelagert ohne sich Gedanken um möglichen Missbrauch zu machen.

    Ansonsten bei einer Online Installation gibt es nach dem ersten start keine Probleme mit Endeavour OS. Nur man sollte halt dran denken bevor man den Installer startet die Mirror Liste zu aktualisieren, sonst kann die Installation mittendrin abbrechen. Das wäre einem Anfänger so nicht ersichtlich weil man davon ausgeht, das dies vor der Installation mitgemacht wird.

    Und ja die Verschlüsselten Installations Varianten sind leider bei allen Installern nicht gut genug Konfigurierbar. Lässt man den Installer von Endeavour (Calamares) ein verschlüsseltes System aufsetzten. Bekommt man Eine Luks Partition mit einem Root Dateisystem drin. Bei Linux Mint bekommt man das selbe nur das das Root Dateisystem in einem Logical Volume drin ist. Beiden fehlt die Möglichkeit für z.B. den Mountpoint /home andere Partitionen anzugeben.

    Wobei es bei Calamares echt schade ist das dies nicht klappt, weil es dort anscheint versucht wird zu ermöglichen. Nur Leider funktioniert es wegen aktuellen Bugs im installer nicht. ubiquiti (Installer von Mint) versucht das ganze erst ga nicht und man bekommt nur ein Verschlüsselte Partitionstabelle von der Stange.

Titel: Endeavour OS ist bei Standard-Ansprüchen kinderleicht zu installieren
Beitrag von: Andreas am 11. Juni 2022, 18:28:04

Wie schon geschrieben: Ich habe noch NIE ein System mit "Vollverschlüsselung" installiert. Und obwohl ich jede Menge sensibler Daten auf meinem Hauptsystem habe benutze ich ebenfalls keine Vollverschlüsselung. Ich kann daher deiner Einstellung generell immer eine solche zu wählen nicht folgen. Für höchst sensible Daten verwende ich "Truecrypt-Container". Heute nimmt man wohl eher "Veracrypt". Ich habe aber Container die 15 Jahre alt sind (Geschäftsdaten) und wollte nicht alles auf Veracrypt migrieren. Daher nutze ich aktuell weiterhin Truecrypt (gibt es ja nach wie vor in den Repos von Arch). Vielleicht starte ich neue demnächst in Veracrypt.

Ich kann ja noch nachvollziehen dass man seinen home-Ordner (Partition) verschlüsselt. Auch wenn ich keine Notwendigkeit bei mir sehe. Ich bin kein Angestellter des BND und wer sollte Interesse haben mit Aufwand an meine Daten zu kommen? Da sind ganz andere Einfallstore priorisiert - bei denen eine Verschlüsselung nichts nützt. Sein gesamtes System zu verschlüsseln halte ich für kontraproduktiv. Im Fehlerfall kann man nicht leicht in das nicht lauffähige System chrooten - das halte ich für wesentlich wichtiger als den Schutz frei verfügbarer Daten.

Ich habe aber schon zwei Usern nicht weiterhelfen können die ihr vollverschlüsseltes System geschrottet hatten. Die Daten waren so gut gesichert dass ich sie trotz allem Know-How nicht mehr erreichen konnte. Das Selbe ist auch schon mit mehreren "Windows-Bitlocker-Usern" passiert.

Aber da hat jeder seine eigene Philosophie! Ich gebe Dir Recht dass eine Vollverschlüsselung mit EndeavourOS nicht ooo funktioniert. Aber mit Mint auch nicht.

Die Frage der Distro kann der Anfänger gar nicht beurteilen/entscheiden. Und ich wäge da ab, was für Interessen "Normaluser" haben. Und da bleibt es bei meiner Entscheidung dass "Normaluser" mit einem Endeavour/Arch-System auf Dauer stressfreier leben als mit einer Debian-basierten Distro. Und das ist keine Bauch-Entscheidung - ich habe jahrzehntelang Debian-basierte Distros benutzt und gepflegt. Alles Ubuntu-basierte ist rausgeflogen als Microsoft seine Finger ins Spiel gebracht hat (auch Linux Mint). Die Rolling-Release "Siduction" habe ich vor zwei Jahren aufgegeben weil einmal im Monat das Gespann apt- dpkg auftretende Konflikte nur mit sehr hohem Wissenspotential auflösen konnte (manchmal half nur ein sehr aufwändiges Downgrade einzelner Paketblöcke). Und eine an die stable-Releases angebundene Distro wie LMDE ist vor einer Woche für mich gestorben. Den Versionssprung kann kein normaler User hinbekommen!

Aber jeder soll das benutzen was er für sich für das beste hält. Das ist die Freiheit die Linux bietet. Ich muss, da ich meine Installationen auch unbedarften Kunden gegen Bezahlung anbiete, da andere Maßstäbe ansetzen. Und da stehen andere Punkte ganz weit oben als bei Dir. Das qualifiziert keine Distro ab. Nur andere auf. Ich führe selbstverständlich Buch mit Hilfe des Feedbacks der User meiner Installationen. Nur 1% der LMDE-User haben einen Versionssprung gemeistert. Wer daran gescheitert ist ist enttäuscht zurück zu Windows gekehrt. Von den Arch-Nutzern bekomme ich ab und an Fragen zu Update-Problemen. Abgewendet hat sich von denen (seit 2019) kein einziger.


EDIT:
Eben nochmal probiert:
  • von EndeavourOS Medium gebootet
  • WIFI-Verbindung hergestellt (LAN-Kabel hätte es auch getan)
  • im Welcome-Fenster auf "Update Mirrors" geklickt und den weiteren Anweisungen gefolgt
  • im Welcome-Fenster auf "Start Installer" geklickt, Online-Modus ausgewählt, alle weiteren Fragen beantwortet
  • ...gewartet...
  • nach Vollendung neu gebootet
  • neues System läuft!
  • Ich denke damit sollte kein Neuling irgendwelche Probleme haben. Wenn ja wäre es vielleicht besser für ihn und seine Nerven wenn er auf die Nutzung eines Computers vollkommen verzichten würde ;D

    LG
    Andreas

Titel: Re:Endeavour OS Einstiegsprobleme
Beitrag von: Sebastian am 12. Juni 2022, 08:09:39

Nur die Home Partition zu verschlüsseln, bin ich der Meinung, reicht leider nicht aus. Schon wegen oben genannten Angriffs Faktoren. Zudem ist die Chance sonst groß, dass man ein Datenleak hat. Ein Programm könnte sonst vielleicht eine Datei in einem temporären Verzeichnis auf einer nicht verschlüsselten Partition bearbeiten.

Die Risikoabschätzung, wie viel Schutz man nötig hat, muss dabei jeder für sich treffen.
Meiner Meinung nach tut eine Vollverschlüsselung nicht weh und bringt nur Vorteile mit sich. Das Argument, dass dies eine Datenwiederherstellung behindern könnte, finde eher zu vernachlässigen, denn bis auf, dass man vorher den Container aufschließen muss, kann man dann natürlich alle gängigen Reparaturmaßnahmen durchführen. Der Einzige mehr Aufwand der besteht, ist eigentlich, dass man ein zusätzliches Backup seines Luks Headers machen sollte, falls grade der Teil der Festplatte defekt sein sollte. Dies macht man aber, solange die Credentials nicht kompromittiert wurden, nur ein einziges Mal.

Zudem wird System Vollverschlüsslung auf mobilen Endgeräten, wie Smartphones und Tablets, seid ein paar Jahren auch standardmäßig von den Geräteherstellern aktiv eingesetzt. Weil erkannt wurde, dass der normale Anwender sonst keine Verschlüsselung nutzt, und es fahrlässig wäre, sein Gerät nicht verschlüsselt zu haben. Warum sollte man da sein Notebook nicht denselben Schutz angedeihen lassen?

Truecrypt/Veracrypt zu verwenden entsteht meistens aus dem Wunsch Daten noch mit Windows austauschen zu können, da es dies auch für Windows gibt.
Wenn man auf die Betriebssystem Interoperabilität (https://www.dev-insider.de/was-ist-interoperabilitaet-a-957439/) verzichten kann, würde ich immer zu LUKS raten, da die Crypto Elemente nativ von Linux Kernel unterstützt werden.

Zudem solltest du wirklich von Truecrypt auf Veracypt migrieren.
Zitat:
TrueCrypt ist ein Sicherheitsrisiko
Wer TrueCrypt noch nutzt, hat ein Sicherheitsproblem: Sicherheitsstandards entwickeln sich weiter, sodass sich eine alte Verschlüsselung im Laufe der Zeit hacken lässt. Hinzu kommt noch, dass Bugs in der letzten vollständigen Version 7.1a von TrueCrypt enthalten sind, die nach Einstellung des Projekts nicht mehr geschlossen werden. Bugs sind Fehler im Quellcode, die prinzipiell in jeder Software vorkommen, aber bei der Programm-Pflege geschlossen werden. Durch das Installieren der aktuellen Updates reduziert sich das Sicherheitsrisiko durch Programmierfehler. Aber da TrueCrypt nicht mehr gepflegt wird, ist die Gefahr groß, dass die Bugs für Angriffe genutzt werden.

Von den 11 gefundenen Schachstellen ist auch die Verschlüsselung der Volume Header betroffen. Die Funktion, die aus dem gewählten Passwort einen Schlüssel für die Verschlüsselung erstellt, wurde bei TrueCrypt zu schwach umgesetzt, sodass das Knacken der Verschlüsselung durch Brute-Force-Angriffen möglich ist. Die einstigen Bedenken, dass in TrueCrypt Hintertüren eingebaut wurden, sind aber laut dem Artikel TrueCrypt geprüft: Keine Backdoor, laxe Programmierstandards auf heise Security unbegründet.

Quelle: heise.de (https://www.heise.de/download/product/truecrypt-25104)


Wenn man natürlich als Linux Berater fungiert, da hilft bei der Auswahl der richtigen Distro wohl wirklich nur ein intensives Beratungsgespräch nach dem Use Case und der gleichzeitigen Aufklärung der vor und Nachteile. Mein Umfeld ist mit Linux Mint ganz zu Frieden und diese sind jetzt seit 3 Jahren dabei und auch nicht zurück nach Windows gewechselt. Das sind aber auch alles Leute, die vielleicht 2-mal die Woche den PC anschalten, um vielleicht Mails, YouTube und Co zu schauen, also keine großen Anforderungen haben. Zudem fehlt dort auch die Bereitschaft sich in ein Thema einzulesen, deswegen fahren die mit Mint ganz gut. Wären die Ansprüche höher wurde ich auch ganz klar Endeavour OS empfehlen.

Ansonsten ist Endeavour OS ein schönes schlankes Arch System was mir gut gefällt. Ich finde besonders die vor Konfiguration der i3-wm Desktop Umgebung toll. Bin von dem schlanken i3 tilling windows Manager ganz begeistert. Zudem wie er die Nutzung der Tastatur fördernd unterstützt.

Edit:
Zitat von: Andreas am 11. Juni 2022, 18:28:04
EDIT:
Eben nochmal probiert:
  • von EndeavourOS Medium gebootet
  • WIFI-Verbindung hergestellt (LAN-Kabel hätte es auch getan)
  • im Welcome-Fenster auf "Update Mirrors" geklickt und den weiteren Anweisungen gefolgt
  • im Welcome-Fenster auf "Start Installer" geklickt, Online-Modus ausgewählt, alle weiteren Fragen beantwortet
  • ...gewartet...
  • nach Vollendung neu gebootet
  • neues System läuft!
  • Ich denke damit sollte kein Neuling irgendwelche Probleme haben. Wenn ja wäre es vielleicht besser für ihn und seine Nerven wenn er auf die Nutzung eines Computers vollkommen verzichten würde ;D

    LG
    Andreas


Das ist auch kein Problem, solange man weiß, dass man vor dem Starten des Installers, die Mirror Liste aktualisieren muss. Hier fehlt einfach nur ein Hinweis dazu. Dies weiß man leider nicht, wenn man aus einem anderen Umfeld kommt. Der erste Impuls ist einfach den Installer zu starten und den machen zu lassen, wenn man sich nicht auskennt.

Der Willkommensbildschirm ist ja nicht als Install Guide aufgebaut wie:

  • 1. Verbindung herstellen
  • 2. Mirrors aktualisieren
  • 3. Installer starten


  • Sondern eher als Auswahlmenü, wo alles Optional erscheint. Der Mint Installer hingegen nimmt die Leute sogar noch zum Verbinden des WLANs an die Hand, bevor die Installation startet, bzw. weißt auf die Vorgehens weißen hin, falls man sich dagegen entscheidet.

    Das sollte aber auch alles nicht abwertend gemeint sein, sondern ein Hinweis, falls jemand sich wundert, warum der Installer vielleicht nicht durchläuft, falls man den einfach so startet, ohne die Mirror Liste zu aktualisieren.

Titel: Re:Endeavour OS Einstiegsprobleme
Beitrag von: Sebastian am 13. September 2022, 17:49:04

Habe jetzt noch ein wenig reschagiert um zu verstehen, warum eine verschlüsselte Installation von EndevourOS so viel Handarbeit erfordert. Der Fehler liegt bei Calamaris (dem Installer)

https://github.com/calamares/calamares/issues/1847#issuecomment-1101789516
Zitat:
calamares has a bug with LVM - it unmounts and deactivates the whole LVM group before it can install OS at all.
Install goes on but cannot install bootloader because it works inside tmpfs the whole time.

The "fix" is to mount LVM volumes somewhere and cd into them before starting calamares.
This will stop volume groups to deactivate and installer will succeed. partying_face tada


Also, entweder man macht eine Installation nach diesem Guide (https://discovery.endeavouros.com/encrypted-installation/lvmonluks/2021/03/) über eine temporäre Installation. Oder man wechselt in die Mountpoints als Workaround, damit die Volume Gruppe von Calamaris nicht geschlossen werden kann.


Diskussions- und Newsboard der Linux Interessen Gruppe Suletuxe | Powered by YaBB SE
© 2001-2003, YaBB SE Dev Team. All Rights Reserved.