openSUSE Diskussion:Slowroll

Dieser Artikel sollte auch das Thema FDE behandeln.

Ich habe Slowroll auf einem System mit TPM2 Chip installiert. Die Anleitung findet sich verstreut über mehrere Seiten:

• https://microos.opensuse.org/blog/2024-09-03-quickstart-fde-yast2/
• https://en.opensuse.org/Systemd-fde
• https://en.opensuse.org/SDB:Encrypted_root_file_system

1) Damit das funktioniert, müssen die Online-Repos aktiviert werden, weil sonst benötigte Pakete für systemd-boot nicht installiert werden können.

2) Außerdem muss der LUKS-Container als v2 angelegt werden. Das sollte schon bei der Partitionierung gemacht werden, andernfalls muss nach der Installation ein Live-Medium gebootet werden (via cryptsetup convert --type luks2 /dev/<lukscontainer>) Hierzu am besten dem Guided-Setup folgen: [ ] LVM nicht nötig, (aber evtl. sinnvoll, wenn auch Swap verschlüsselt werden soll) [x] System verschlüsseln Anschließend den Vorschlag editieren und den LUKS-Typ auf LUKS2 ändern. Dabei sollte auch der Algorithmus für die Key Derivation auf argon2id umgestellt werden.

3a) In der Installationsübersicht den Bootloader von Grub2 auf systemd-boot umstellen (Warnung ignorieren). Wenn die Online-Repos fehlen, erscheint jetzt eine Warnung.

3b) In der Installationsübersicht noch zusätzlich das Paket tpm2.0 installieren. Es wird benötigt, um nach dem ersten Boot den Schlüssel ins TPM zu kopieren.

Nach der Installation booten, das System manuell entschlüsseln und den Schlüssel ins TPM kopieren: sdbootutil enroll --method tpm2 (oder sdbootutil enroll --method fido2)

Fertig :)