Nachdem ich ja bereits beschrieben habe, wie man ein voll-verschlüsseltes Multiboot-System aufsetzt, und ich zudem auf Grund einer Reihe tragischer Fehler die Gelegenheit hatte, da ganze noch einmal zu üben, möchte ich nun noch eine Reihe von Verbesserungen geben, die es ermöglichen, auch ohne eine zusätzliche Live-CD den Boot-Sektor zu sichern. Mutige Leute können hierbei sogar 2 Bootvorgänge einsparen und sofort nach der Linux-Installation in ihr Windows zurückkehren. Aber alles zu seiner Zeit.
Wie bereits im ersten Teil meines Beitrags zur Vollverschlüsslung beschrieben, benötigt man für den Start des Windows-Systems ein Backup des TrueCrypt-Loaders, der im Bootsektor untergebracht ist. Die offensichtliche Methode für dieses Vorhaben ist, sicherlich der Start einer Live-CD, aber ess geht wesentlich einfacher und schneller auch direkt mit der Install-CD. Mindestens bei Debian und Ubuntu existiert diese Möglichkeit; andere Distributionen, die eine Shell während des Setup erlauben funktionieren aber analog. Lediglich der Befehl dd muss auf der Schell verfügbar sein.
Durch den Wegfall der Live-CD spart man nicht nur Material, sondern zusätzlich eine ganze Menge Zeit. Nach dem man Windows wie gehabt installiert hat und das Windows bereits verschlüsselt ist (TrueCrypt muss vor der Linux-Install installiert werden), startet man die Install-CD. Hierbei geht man bis zur Partitionierung wie gehabt vor, achtet bei der Partition aber darauf, keine Partition anzufassen, auf die Windows versucht zuzugreifen (i.d.R. nur seine eigene, verschlüsselte). In meiner Konfiguration zusätzlich auch eine weitere Datenpartition, aber das sei hier erstmal egal.
Wie gehabt werden für dieses Setup zwei Partitionen für Linux benötigt (bzw. drei, wenn man unbedingt Swap als Partition haben möchte): Einer Boot-Partition und einer Krypto-Partition für das Root-Dateisystem. Beide Partitionen sollten wie gehabt eingerichtet werden. Nach dem die gesamte Partitionierung erfolgreich verlaufen ist, sollte das Grundsystem sowie die ganze andere benötigte Software eingerichtet werden.
Bevor nun GRUB installiert wird, erfolgt nun der wichtigste Schritt, der vormals mit der Live-CD ausgeführt wurde: Das Sichern des MBR.
dd if=/dev/sda of=/target/boot/tcboot.bin bs=512 count=1
Wer etwas mehr Sicherheit haben möchte, darf auch count=16 verwenden und hat dann zusätzlich auch eine Kopie der weiteren Sektoren der Spur 0
dd if=/dev/sda of=/target/boot/spur0tc.bin bs=512 count=16
Erst nach dem dieses Backup erstellt wurde, darf GRUB installiert werden. Dabei MUSS Grub Legacy verwendet werden. GRUB2 kann nicht nur wie in der Warnung beschrieben das System unbrauchbar machen, sondern wird es auch. Daher sollte für das Booten unbedingt Grub Legacy eingesetzt und von einem Upgrade auf GRUB2 zwingend Abstand genommen werden. Diese Fehlentscheidung hat mir zusätzliche 10 Stunden Arbeit verschafft … Kann also nur dringend davon abraten 😉 GRUB2 schreibt mehr als einen Sektor in den MBR, wodurch der TrueCrypt-Bootloader zerstört wird. Nach dem nun obligatorischen Restore des TrueCrypt Loaders ist Linux nicht mehr ohne Weiteres zu booten (Hab nach 3 Stunden mit diversen HauZu’s aufgegeben und ne Reinstall gemacht –> Ging schneller).
Und nun zum I-Tüpfelchen: Wer nach der Installation von GRUB Legacy nicht sofort die Installation abschließt, sondern erneut in die Shell wechselt, der hat nun die Möglichkeit, den für Windows benötigten Boot-Eintrag gleich im Setup anzulegen. Dazu wechselt man nach /target/boot/grub und editiert mit einem der verfügbaren Editoren die menu.lst in diesem Verzeichnis. Dabei sollte in etwa folgender Eintrag ergänzt werden:
title "Microsoft Windoof Vista Hohn Premium"
root (hd0,0)
makeactive
chainloader (hd0,1)/tcboot.bin
Möchte man sich nicht mit dem vermutlich unumgänglichen VI herumquälen und stattdessen in seinem frisch gestarteten System einen richtigen Editor wie MCEdit benutzen, bleibt diese Möglichkeit dennoch. Zu beachten ist dann jedoch, dass Windows beim nächsten Systemstart noch nicht zur Verfügung steht, sondern erst nach dem dieser zusätzliche Boot-Eintrag in die menu.lst aufgenommen wurde.
