:Wie man die „/boot“-Partition auf eine Boot-CD verlegt:
Selbst auf einem vollverschlüsselten System muss die „/boot“-Partition unverschlüsselt bleiben. Um Manipulationen des Kernels durch ungebetene „SchnüffelNSAen“ zu verhindern, kann man die saubere „/boot“-Partition auf eine separate Boot-CD verlegen, die man stets bei sich trägt.
Für Systeme, die nicht von USB booten können und daher nicht für die im 1. Teil beschriebene Methode geeignet sind, kann man sich alternativ eine Boot-CD erstellen, um so seinen Rechner sicher von CD starten zu können.
Die für Debian v5.0 „Lenny“[1] beschriebene Methode sollte auf anderen Distributionen genau so oder wenigstens in ähnlicher Weise funktionieren. Beachtet bitte, dass „Lenny“ noch mit GRUB[2, 3, 4, 5] v1 ausgeliefert wurde! Die Anleitung für aktuelle Distributionen mit GRUB v2 liefere ich noch nach!
Erstellt zunächst das Verzeichnis:
mkdir -p /Pfad/zu/GRUB-BootCD/boot/grub
Kopiert in das „grub“-Verzeichnis die entsprechende Stage2-Datei:
cp /usr/lib/grub/i386-pc/stage2_eltorito /Pfad/zu/GRUB-BootCD/boot/grub cp /boot/grub/menu.lst /Pfad/zu/GRUB-BootCD/boot/grub
Anschließend alles aus „/boot“ nach „/Pfad/zu/GRUB-BootCD/boot“ kopieren.
Ebenfalls „device“ und „default.map“ aus „/boot/grub“ nach „/Pfad/zu/GRUB-BootCD/boot/grub“ kopieren.
Im Zielverzeichnis „/Pfad/zu/GRUB-BootCD/boot/grub“ in der Datei „menu.lst“ folgendes anpassen:
Alle Einträge „root (hdX,Y)“ ersetzen durch „root (cd)“.
Alle Einträge „kernel /KERNELNAME“ ersetzen durch „/boot/KERNELNAME“.
Dann das Verzeichnis verlassen und das ISO[6] erstellen lassen (Achtung: den Zeilenumbruch mitsamt Backslash bitte nicht einfügen, sondern ohne Umbruch und Backslash in der Zeile weiter schreiben):
mkisofs -R -b boot/grub/stage2_eltorito -no-emul-boot -boot-load-size 4 \ -boot-info-table -V 'Debian Lenny GRUB-BootCD' -o grub.iso iso
Das erzeugte ISO kann dann auf CD gebrannt werden. Bedenkt aber, dass ihr die Boot-CD nach jedem Kernelupdate neu erstellen müsst um eben diesen von CD booten zu können – denn nur auf der Festplatte nützt euch der aktualisierte Kernel natürlich nichts!
Abschließend möchte ich noch auf die Inspirationsquelle dieser Anleitung verweisen.[7]
Status: testing
