Howto: Tripple-Boot mit Windows, verschlüsseltem und unverschlüsseltem Ubuntu

Soso, da will jemand wohl etwas super cooles machen. Ist aufwendig, aber cool. Also gleich starten mit dem Guide und nicht lange um den heissen Brei herumreden.(Dies wird nicht eine Dummie-Anleitung sein, sondern eine kurze, aber prägnante Anleitung, die das langweilige und Erklärungen überspringt. Das heisst, falls ihr Anfänger in diesem Thema seid, entweder mir schreiben oder es mehrfach in einer Virtuellen Maschine durchspielen…) An dieser Stelle ein dickes Danke an das ubuntuusers.de-Wiki, wessen Beitrag(Beiträge) mir öfters geholfen hat(haben)!
Dieses Tutorial verschlüsselt die SWAP-Festplatte nicht, da ich davon ausgehe, dass nur mit Sensitiven Daten im verschlüsselten Ubuntu gearbeitet wird. Wenn daraufhin wieder mit dem normalen Ubuntu gearbeitet wird, dann ist dies kein Problem. Wenn ihr die Sicherheit erhöhen wollt, und die SWAP-Partition von Ubuntu auch verschlüsseln wollt, ist dies der falsche Artikel. Ich verweise deshalb auf : https://wiki.ubuntuusers.de/System_verschlüsseln/ Welcher dies macht, ihr benötigt dafür aber zweimal SWAP-Space..

Schritt 0: Leere Festplatte besorgen, oder Festplatte, die komplett überschrieben werden kann

Ihr braucht sicherlich mal eine Festplatte, die keine Daten mehr darauf hat, die ihr noch braucht. Dies da ihr sehr viel mit der Partitionstabelle rumspielen werdet. Ihr könntet zwar falls ihr bereits ein Windows installiert habt, Schritt 1 Überspringen und direkt zu Schritt 2 gehen, aber es könnten Daten verloren gehen. (Also Backup!) Auch benötigt ihr sehr viel freien Speicherplatz um diese drei Systeme zu installieren. Da ist es wichtig, dass alles funktioniert. Und ihr solltet auch alle nicht benötigten Festplatten rausziehen, die könnt ihr nach dem Prozedere wieder reinstecken, aber sie sind sicherlich nur im Weg und könnten unerwartete Komplikationen hervorrufen. Des weiteren solltet ihr herausfinden, ob ihr ein UEFI oder ein BIOS habt. Dies ist noch wichtig. Des Weiteren benötigt ihr noch zwei USB-Sticks einen mit Windows und einen mit Ubuntu. (Ihr könnt ihn auch nach Schritt 2 neu auf Ubuntu umschreiben…)

Schritt 1: Windows installieren

Als erstes, nach dem ihr alle Vorbereitungen aus Schritt 0 gemacht habt, ganz infach Windows installieren und bei der Partitionierung Windows auf die gesamte Festplatte legen. Falls Ihr ein BIOS-System habt, dann solltet ihr “am Anfang” noch irgendwie eine leere Partition von einem GB anlegen, welche dann später benötigt wird. Aber ansonsten ist dies nicht so schwer. Nach der erfolgreichen Installation und dem ersten Starten von Windows geht es weiter zu Schritt 2.

Schritt 2: Verschlüsseltes Ubuntu installieren

Also nun habt ihr Windows installiert und startet von eurem Live-USB-Stick mit Ubuntu. Sobald es geladen ist, macht ihr ein Terminal auf und tippt folgendes ein:

sudo apt-get install lvm2 gparted

Daraufhin startet ihr Gparted und bearbeitet die Partitionstabelle folgendermassen:

Ihr schrumpft als Erstes die Windows-Partition soweit, dass noch mindestens 100 GB frei für euer Linux ist. Daraufhin fügt ihr folgendes am Ende ein(nach den Window-Partitionen):

GrösseWas?DateisystemName für das Howto(eure können Abweichen!!!)
1GBUbuntu /boot-Partitionext4/dev/sda4
mind. 30GBUbuntu verschlüsseltes Dateisystemunformatiert/dev/sda5
Arbeitsspeicher multipliziert mit 1.5SWAP-Partition von Ubuntuswap/dev/sda6
1 GBUbuntu /boot-Partitionext4/dev/sda7
der RestUnverschlüsseltes Dateisystemext4/dev/sda8

Ihr könnt hierbei auf die Formatierung wirklich verzichten, da es noch öfters Formatiert wird. Falls ihr eine SSD habt, könnt ihr euch überlegen, ob ihr die Laufzeit verlängern wollt, in dem ihr /dev/sda8 kleiner macht und dadurch am Ende der Festplatte noch freien Speicherplatz habt.

Daraufhin wechselt ihr wieder ins Terminal und gebt folgendes ein:

mkswap /dev/sda6 -L swap
sudo cryptsetup luksFormat -c aes-xts-plain64 -s 512 -h sha512 /dev/sda5
cryptsetup luksOpen /dev/sda5
pvcreate /dev/mapper/lukslvm
vgcreate encubuntu /dev/mapper/lukslvm
lvcreate -l 100%FREE -n root encubuntu
mkfs.ext4 /dev/mapper/encubuntu-root -L root

Nun startet ihr die Installation und klickt euch durch bis zur Partitionierung. Dort müsst ihr “manuelle Partitionierung” anwählen und /dev/sda4 als /boot einbinden und als ext.4 Formatieren lassen. Auf /dev/mapper/encubuntu-root wird eure Root Partition eingebunden. Somit ist ihr Dateisystem ext.4 und der Einhängepunkt / . Falls ihr ein BIOS-System habt, wählt ihr als Boot-Loader Ort die am Anfang in Schritt 1 erstellte Partition, ansonsten könnt ihr einfach /dev/sda angeben, das Installationsprogramm wird dann automatisch die bereits vorhandene verwenden. Danach einfach weiterfahren mit der Installation, aber am Ende nicht neustarten.

Denn nun muss ins installierte System gewechselt werden und Software installiert werden und das System konfiguriert werden(Beachte dass bei der dritten Zeile ein X steht, welches für die EFI-Partition steht. Ihr müsst in gparted abklären, welche Partition es ist. Falls ihr ein BIOS habt, könnt ihr die 3te Zeile auslassen.), alles in dasselbe Terminal:

mount /dev/mapper/encubuntu-root /mnt
mount /dev/sda4 /mnt/boot 
mount /dev/sdaX /mnt/boot/efi
mount -o rbind /dev /mnt/dev
mount -t proc proc /mnt/proc
mount -t sysfs sys /mnt/sys
mount -o rbind /run/lvm      /mnt/run/lvm
mount -o rbind /run/lock/lvm /mnt/run/lock/lvm
cp /etc/resolv.conf /mnt/etc/resolv.conf
chroot /mnt /bin/bash 
sudo apt-get install cryptsetup lvm2 
printf "lukslvm\tUUID=%s\tnone\tluks\n" "$(cryptsetup luksUUID /dev/sda5)" | tee -a /etc/crypttab 
echo "dm-crypt" >> /etc/modules 
update-initramfs -u -k all 
update-grub 

Daraufhin das Terminal offen lassen und zu Schritt 3 übergehen:

Schritt 3: unverschlüsseltes Ubuntu installieren

Im noch laufenden Live-System startet ihr das Installationsprogramm nochmals und bei der Partitionierung /dev/sda7 als /boot angeben und /dev/sda8 als / Partition. Sobald ihr fertig seid, nicht neustarten sondern in das noch offene Terminal gehen (das aus Schritt 2) und dort folgendes eingeben:

update-grub
exit
sync 
umount /mnt/run/lvm
umount /mnt/run/lock/lvm
umount /mnt/sys
umount /mnt/proc
umount /mnt/boot/efi   
umount /mnt/boot
swapoff -a

Daraufhin seid ihr fertig und könnt rebooten.

Gratulation

Ich gratuliere dir von ganzem Herzen zu deinem neuen System, welches massiv sicherer ist. Vielleicht solltest du noch GPG aufsetzen?

Fehlerbehebung

Ihr kriegt irgendwo ein Fehler? Dann müsst ihr diesen anschauen, und euch überlegen, wo und was falsch gegangen ist. Tippfehler? nochmals Probieren. Systemfehler? Ihr habt ein Problem, bei welchem Ecosia.org mit folgendem Suchmuster behilflich ist: ubuntu + Programm + Fehlermeldung. Falls ihr daraufhin immer noch Probleme habt, könnt ihr bei askubuntu.com ubuntuusers.de in der Community nachfragen oder mir probieren eine mit GPG signierte Mail zu schreiben.