Ich hasse es ja, wenn jemand keine richtige Antwort hat und dann mal anfängt, einfach so ins Blaue zu schwafeln. genau das tue ich aber selbst hiermit.
Knoppix 771 ist meine aktuelle Version, 8.0 hatte ich nie und 8.1 habe ich nur kurz an getestet und mich dann gegen ihre Nutzung entschieden. Als ich die 771 nahm, hatte ich sie mir schon genauer angesehen und auch speziell im Hinblick auf das Booten des Systems, aber ich fürchte, dass ich das Meiste meiner damaligen Erkenntnisse bereits wieder vergessen habe. Mit entsprechendem Vorbehalt will ich da mal versuchen, etwas zu rekapitulieren:
Wenn Knoppix startet (nach einem Flash Install), ist zunächst SYSLINUX aktiv. Das ist der eigentliche Bootloader und durch die Syntax in seinen Konfigurationsdateien kann es entscheiden, ob der 32Bit oder 64Bit Kernel geladen werden soll. Es wird hier auch zwischen UEFI und BIOS Mode unterschieden, aber ich glaube, da ist nicht aktiv nötig, das passiert automatisch und das System ist so aufgesetzt, dass UEFI-Geräte im UEFI Modus starten können und BIOS-Geräte im Bios-Modus. Es hat halt beides nebeneinander an Bord und es kann jeder Rechner sich bedienen und nehmen, was ihm passt.
Dann wird zunächst ein busybox geladen. Wie das genau war, weiß ich nicht mehr. Ich glaube,d as steckt alles in dem boot/syslinux/minirt.gz auf dem Knoppix-Medium. busybox ist, nunja. Wenn wir Linux sagen ist das sehr ungenau, wir meinen damit meist ein komplettes System aus Kernel (Linux) Userland (meist GNU) und weiteren Anwendungen. busybox ist nun ein anderes Userland, also nicht GNU, was meist mit Linux auf den PC kommt. Es ist sehr eingeschränkt und wird bevorzugt für Embedded Systeme benutzt, weil es eben auch sehr klein ist. In den letzten Jahren hat sich eine Fraktion von Linux-Dsitributionen herausgebildet, die es beim Booten benutzen. Meist wird damit irgendwas vorbereitet und genau diese Aufgabe hat es auch in Knoppix. Es werden damit einige Scripts ausgeführt und diese sammeln die Information darüber, wo Knoppix zu finden ist und führen die einzelnen Teile zusammen. In dieser Bootphase wird also KNOPPIX, KNOPPIX1 und KNOPPIX-DATA gefunden und zusammen geführt. KNOPPIX-DATA ist optional, die Overlay-Partition. Und in dieser Phase wird auch der Schlüssel abgefragt, wenn diese Overlay verschlüsselt war. Also, ganz früh beim Booten.
Die Information dazu steht auf dem Knoppix Medium in knoppix/knoppix-data.inf. Bei mir sieht die zB so aus:
|
Quellcode
|
1
|
2 /KNOPPIX-DATA ext2
|
Das bedeutet, meine Overlay-Partition ist Partition Nummer 2, sie soll auf /KNOPPIX-DATA eingebunden werden, ist in ext2 formatiert und nicht verschlüsselt.
Bei dir scheint das irgendwie alles zu funktionieren, aber schließlich nicht zum Erfolg zu führen. Deine interne Platte wird SATA oder SAS sein und sehr wahrscheinlich als sda erkannt werden. Das erste Gerät am USB wird dann sdb und die Overlay wäre dann sdb2. Das scheint auch alles so zu sein und so erkannt zu werden. Nur dann sagt irgendein Mechanismus, die Partition sei zu klein. etwas muss also falsch laufen und ich habe keinen Verdacht, was das sein könnte.
Mit 8.1 ist eine neue Möglichkeit der "Installation" auf einen Stick hinzugekommen. Man kann jetzt auch das ISO direkt mittels dd auf einen Stick legen. Im ISO ist bereits eine Overlay mit angelegt. beim ersten Booten vom Stick, wird dann diese Overlay vergrößert und auf den kompletten freien Bereich des Sticks ausgedehnt. Ich sehe nicht, wie man dort eine verschlüsselte Overlay (ich kann davon eh nur abraten, vielleicht gleich noch einen Satz dazu) direkt anlegen kann, deshalb denke ich, dass du diesen Weg nicht genommen hattest. Trotzdem muss sich da ja etwas in 8.1 verändert haben, um die soeben geschilderte, neue Funktion zu realisieren. Möglicherweise ist da dann etwas unglücklich gelaufen und funktioniert nun nicht mehr, wie deine Versuche zeigen. Aber was das genau ist und was man dagegen tun hat oder wie man das nun im Detail herausarbeiten kann, habe ich im Moment keine große Idee und noch weniger Leidenschaft.
Vielleicht nimmst du einfach die 771, wenn die alles richtig macht. Ich denke, damit kann man noch eine Weile weiter leben.
Zur Verschlüsselung ganzer Partitionen: ich habe eigentlich in meinem bisherigen Dasein immer nur erlebt, dass man sich damit früher oder später selbst von seinen Daten ausgesperrt hat. Einen Schutz bieten sie nur dann, wenn das verschlüsselte Medium in fremde Hände gelangt. Das ist tunlichst zu vermeiden und in den aller aller meisten Fällen passiert so etwas auch nicht. Man kann einen Stick mal verlieren, aber das kommt wirklich selten vor. Trotzdem kann und will man da vorbauen, das verstehe ich gut. Aber ganze Partitionen zu verschlüsseln, halte ich generell für fragwürdig. Die KNOPPIX-DATA ist nun aber zusätzlich keine reine DATEN-Partition. Es liegen dort zunächst ja überhaupt gar keine Daten, sondern Teile des Knoppix-Systems. Alles, was ich zusätzlich installiere oder lösche und alles, was ich konfiguriere, das liegt hier. Wenn diese Partition kaputt ist oder das Passwort verloren wurde oder aus irgendeinem Grund die Verschlüsselung (bzw Entschlüsselung) nicht mehr geht, dann fehlen diese System-relevanten Teile. Ich habe dann nicht mehr "mein Knoppix".
Deshalb rate ich von einer verschlüsselten Overlay ab.
Hat man etwas zu verschlüsselt, steht einem doch GPG zur Verfügung. Es kann symmetrisch und asymmetrisch verschlüsselt und auf einzelne Dokumente oder ganze Archive benutzt werden. Die Verschlüsselung ist wesentlich stärker, als die AES-Methode bei Knoppix und der Overlay-Partition und eben ganz gezielt.
Es können auch Dokumente verschlüsselt werden, die auf der FAT-Partition liegen und diese ist für mich der beste Speicherort auf einem Knoppix-Stick, weil der als Austauschdatenträger zu vielen System verfügbar ist (Windows, Mac, Linux, x-BSD, um einige zu nennen).
Weil ich nun so denke, ist es auch naheliegend, dir den Versuch mit Overlay ohne Verschlüsselung mal nahezulegen. Bei hatte so ein Stick mit 8.1 funktioniert und konnte auch auf meinem Macbook booten, auf dem ein Ubuntu installiert ist. Und zwar beide versionen, also ein Stick mit Flash-Install und einer mit der neuen dd-Methode, aber jeweils ohne verschlüsselte Overlay.
Wieso das aber dann besser funktionieren sollte, kann ich mir nicht wirklich erklären und auch nicht, warum das von der Debian-Version auf deinem PC abhängig sein kann.