Verschlüsselte Debian Neuinstallation
Einleitung
Meine letzte Installation war eine Mint-Linux-Cinnamon-Installation. Ich bin mit dieser nicht wirklich warm geworden. Das Cinnamon-Desktop entpuppte sich als instabil. Die von mir genutzte verschlüsselte default-Installation enthielt eine zu kleine SWAP-Partition, so dass es häufiger zum Absturz im Bereitschaft-Modus kam. Darüber hinaus gab es häufig USB-Probleme: Gemountete Geräte wurden auf plötzlich vergessen und konnten auch nicht wieder neu gemountet werden. Kurz- bis mittelfristig wäre eine Neuinstallation erforderlich geworden.
Der eigentliche Anlass für die Neuinstallation war mein Interesse an einer KI-Installation. Die dazu genutzte Software Ollama installiert die KI-Modelle in das /usr/bin/ollama-Verzeichnis, selbst wenn der Installationsbefehl von einer anderen Partition aus gestartet wird.
Das Deep-Seek-R1-Modell ist das kleinste KI-Modell, benötigt aber trotzdem fast 0,5 TB. Ich hatte aber das root-Verzeichnis in der früheren Installation klein gehalten. Vor dem Hintergrund, dass eine Neuinstallation ohnehin Sinn hatte, nahm ich diesen Umstand als Anlass für die Neuinstallation.
Vorbereitung
Dokumente und Produktionen speichere ich ohnehin nicht auf Boot-Laufwerke. Das Home-Verzeichnis musste ich hingegen auf eine externen USB-Platte sichern. In diesem Verzeichnis befinden sich nämlich die persönlichen Konfigurationsdateien, Passwörter, Downloads, ggf. auch die E-Mails.
Darüber hinaus müssen die E-Mails und Passwörter mithilfe der jeweiligen Software ebenfalls auf den externen Datenträger exportiert werden.
Umbau der Hardware
Wer stets von einem USB-Laufwerk oder -Stick startet, muss einfach nur jenes austauschen. Ich habe jedoch häufiger die Erfahrung gemacht, dass USB-Anschlüsse generell nicht besonders zuverlässig sind. Die Anschlüsse neigen zum Verschleiß und die Kabel zum Kabelbruch. Unter Mint-Linux funktionierte zudem die Verwaltung der USB-Geräte nicht zu meiner Zufriedenheit.
Meine Bootlaufwerke sind M.2-Karten. Die letzte 0,5 TB große M.2-Karte hat meine Tochter durch eine 2 TB große M.2-Karte ersetzt und in ein externes USB-Gehäuse montiert, sodass die alte Installation weiterhin verfügbar bleibt.
Mit einem Kompressor reinigte sie zudem den Innenraum des Gerätes und alle Geräte, sowie alle Geräte, wie CPU und Grafikkarte.
Partitionieren und Verschlüsseln
Ich hatte schon fertige Installations-Sticks. Der Debian-Stick funktionierte auch sofort. Nach den üblichen Herkunfts- und Sprachfragen, dem Anlegen von Root- und Benutzerkonten wird die Frage nach der Partitionierung gestellt.
Wenn man Debian die komplette M.2-Karte für eine verschlüsselte LVM-Partitionierung zur Verfügung stellt, dann erstellt Debian ein als physikalisch bezeichnetes Volume mit zwei virtuellen Volumes, nämlich eins für das Root-Verzeichnis und eins für die SWAP-Datei, sowie eine unverschlüsselte Boot-Partition. In jedem Fall fällt die Boot-Partition zu klein aus und späterer Aufwand und Ärger ist vorprogrammiert. Bei den meisten Updates gibt es nämlich neue Kernel-Module, die parallel zu den bisherigen Kernel-Modulen installiert werden. Reicht der Platz nicht, wird die Installation abgebrochen und die alten Kernel müssen nunmehr von Hand gelöscht, bevor die (Rest-)installation fortgesetzt werden kann. Das ist aufwendig und natürlich auch fehlerträchtig.
Ich empfehle daher die manuelle Installation. Das Boot-Verzeichnis sollte 1 GB zugewiesen bekommen und die SWAP-Datei mindestens die Größe des verbauten RAM-Speichers. Weil mein Rechner auf bis zu 128 GB RAM nachgerüstet werden kann, habe ich eine SWAP-Partition von 150 GB vorgesehen. Die SWAP-Datei kann als physikalisches oder als virtuelles Volume eingerichtet werden. Im ersten Fall muss der Schlüssel zweimal eingegeben werden. Dafür kann die SWAP-Datei später einfacher angepasst werden.
Die weitere Installation ist dann selbsterklärend.
Importieren der Dateien
Nach der Installation muss das alte Home-Verzeichnis in das neue kopiert werden. Nach der Installation der Software müssen die exportierten Dateien wieder importiert werden. Im Anschluss sollte das neue System mit der gewohnten Funktionalität wieder zur Verfügung stehen.
