Dieses Tutorial ist VALID und sollte aktuell funktionieren...

Bitte lies Dir den Disclaimer durch, bevor Du eine Anleitung umsetzt...

Haftungsausschluss / Disclaimer

Basissystem: Debian 9 „Stretch“ Installation MIT Verschlüsselung

System, initramfs und Benutzer einrichten

### Der kritische Teil ist nun, die Daten und Parameter der verschlüsselten Partition, und Laufwerke korrekt an das System zu übergeben und zu sichern.

Verschlüsseltes Dateisystem-Verzeichnis anlegen

echo 'sda2_crypt /dev/sda2 none luks' > /etc/crypttab

Dateisystem-Verzeichnis einrichten

nano /etc/fstab
# file system             mount point    type     options              dump    pass
/dev/sda1                 /boot          ext4     rw,nosuid,nodev      0       2
/dev/mapper/sda2_crypt	  /              ext4     errors=remount-ro    0       1

Einige Tools hängen von „/etc/mtab“ ab, das wir jetzt über einen symbolischen Link einbinden:

ln -sf /proc/mounts /etc/mtab

root PW setzen!

passwd

[PW-root-user]

Die Netzwerk-Schnittstellen anlegen

ls /sys/class/net/

### „ens3“ und „lo“ übernehmen
# oder

ip address
ip route
nano /etc/network/interfaces.d/00_loopback
# The loopback network interface
auto lo
iface lo inet loopback
nano /etc/network/interfaces.d/01_primary
# The primary network interface
auto ens3
iface ens3 inet static
	address 37.221.199.36
	netmask 255.255.252.0
	broadcast 37.221.199.255
	gateway 37.221.196.1
	pre-up /sbin/ip addr flush dev ens3 || true

iface ens3 inet6 static
	address 2a03:4000:9:335::1/64

Wichtig! Hier bitte natürlich Deine IPs eintragen, die wir aus dem SCP übertragen haben…

Nameserver einrichten

nano /etc/resolv.conf
#netcup DNS
nameserver 46.38.225.230
nameserver 46.38.252.230
#Cloudflare DNS
nameserver 1.1.1.1
nameserver 1.0.0.1
nameserver 2606:4700:4700::1111
nameserver 2606:4700:4700::1001
#Google DNS
nameserver 8.8.8.8
nameserver 8.8.4.4
nameserver 2001:4860:4860::8888
nameserver 2001:4860:4860::8844
#Cisco OpenDNS
nameserver 208.67.222.222
nameserver 208.67.220.220

Hostname und Hosts einrichten

echo tutorial > /etc/hostname
hostname tutorial
$ echo mail.$(hostname -f) > /etc/mailname
nano /etc/hosts
127.0.0.1             localhost
127.0.0.1             tutorial.cpf.de tutorial
37.221.199.36         tutorial.cpf.de tutorial
2a03:4000:9:335::/64  tutorial.cpf.de tutorial

Wichtig! Hier bitte natürlich Deine IPs und Hostnamen eintragen…

Locales erstellen

apt install -y locales && locale-gen de_DE.UTF-8 UTF-8
dpkg-reconfigure locales
[*] de_DE.UTF-8 UTF-8
Default: de_DE.UTF-8

Generating locales (this might take a while)...
  de_DE.UTF-8... done
Generation complete.
export LANGUAGE=de_DE.UTF-8 && export LANG=de_DE.UTF-8 && export LC_ALL=de_DE.UTF-8

Zeitzone einrichten

dpkg-reconfigure tzdata

[Europa / Berlin]

Paketquellen für APT einrichten – Auto-Mirror

nano /etc/apt/sources.list
deb http://httpredir.debian.org/debian stretch main contrib non-free
deb http://httpredir.debian.org/debian stretch-updates main contrib non-free
deb http://security.debian.org/ stretch/updates main contrib non-free

Die empfohlenen Pakete nicht automatisch mitinstallieren

echo 'APT::Install-Recommends "False";' > /etc/apt/apt.conf.d/02recommends
apt update && apt upgrade -y

Wichtige und nützliche Programme / Pakete installieren

apt install -y makedev cryptsetup dropbear busybox ssh initramfs-tools linux-image-amd64 grub-pc kbd console-setup pwgen htop less sudo bzip2 lsof debian-goodies ntp net-tools unzip mc

### keyboard-layout => German
### grub direkt nach [/dev/sda] setzen [Space] / [TAB] / [Enter]

Geräte für die GRUB-Installation:

[ ] /dev/dm-0 (257170 MB;sda2_crypt)
[*] /dev/sda (257698 MB; ???)
[ ] - /dev/sda1 (524 MB; /boot)
[ ] /dev/dm-0 (257170 MB; sda2_crypt)                  

...
Creating config file /etc/default/grub with new version
i386-pc wird für Ihre Plattform installiert.
installation beendet. Keine Fehler aufgetreten.
GRUB-Konfigurationsdatei wird erstellt …
...

### dropbear Warnung: WARNING: Invalid authorized_keys file, remote unlocking of cryptroot via SSH won’t work!
## Darum:

SSH-Schlüssel für dropbear einrichten (unser root-crypt Schlüssel ohne Passwort)

nano /etc/dropbear-initramfs/authorized_keys

[Rootcrypt-Key Copy / Paste]
ssh-rsa …

chmod 600 /etc/dropbear-initramfs/authorized_keys

SSH-Schlüssel des Host-Systems konvertieren und in dropbear übernehmen

rm -f /etc/dropbear-initramfs/dropbear_*_host_key
for hash in rsa ecdsa; do /usr/lib/dropbear/dropbearconvert openssh dropbear /etc/ssh/ssh_host_${hash}_key /etc/dropbear-initramfs/dropbear_${hash}_host_key ; done
rm -f /etc/dropbear/dropbear_*_host_key
cp -a /etc/dropbear-initramfs/dropbear_*_host_key /etc/dropbear

Anzeige *

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.