openSUSE Diskussion:Slowroll

Dieser Artikel sollte auch das Thema FDE behandeln.

Ich habe Slowroll auf einem System mit TPM2 Chip installiert. Die Anleitung findet sich verstreut über mehrere Seiten:

• https://microos.opensuse.org/blog/2024-09-03-quickstart-fde-yast2/
• https://en.opensuse.org/Systemd-fde
• https://en.opensuse.org/SDB:Encrypted_root_file_system

Damit das funktioniert, müssen die Online-Repos aktiviert werden, weil sonst benötigte Pakete für systemd-boot nicht installiert werden können.

Außerdem muss der LUKS-Container als *v2* angelegt werden. Das sollte schon bei der Partitionierung gemacht werden; hierzu am besten dem Guided-Setup folgen:

 [ ] LVM nicht nötig, (aber evtl. sinnvoll, wenn auch Swap verschlüsselt werden soll)  
 [x] System verschlüsseln  

Anschließend den Vorschlag editieren und den LUKS-Typ auf LUKS2 ändern. Dabei sollte auch der Algorithmus für die Key Derivation auf `argon2id` umgestellt werden.

Falls der LUKS-Container als v1 angelegt wurde, kann er nach der Installation mit Hilfe einer Live-Distribution konvertiert werden:

 > sudo cryptsetup convert --type luks2 /dev/<lukscontainer>

In der Installationsübersicht den Bootloader von Grub2 auf `systemd-boot` umstellen (Warnung ignorieren). Wenn die Online-Repos fehlen, erscheint jetzt eine Warnung und der Schritt schlägt fehl.

In der Installationsübersicht noch zusätzlich das Paket `tpm2.0` installieren. Es wird benötigt, um nach dem ersten Boot den Schlüssel ins TPM zu kopieren.

Nach der Installation booten, das System manuell entschlüsseln und den Schlüssel ins TPM kopieren:

 > sdbootutil enroll --method tpm2

oder:

 > sdbootutil enroll --method fido2

Fertig :)