Die LUKS-Verschlüsselung eines Linux-Systems kann aufgehoben werden, indem man die Inhalte in eine unverschlüsselte VM kopiert. Dieses Tutorial beschreibt, wie man ein verschlüsseltes Debian-System per SSHFS über LAN in eine virtuelle Maschine (VM) klont — z. B. für temporäre Backups oder Tests.
1️⃣ Vorbereitung im Zielsystem (VM)
Booten mit Debian Live-System, danach:
1 2 3 4 | sudo apt update sudo apt install -y gparted openssh-server sudo passwd root |
SSH-Root-Login aktivieren:
1 2 | nano /etc/ssh/sshd_config |
Ändere bzw. füge hinzu:
1 2 | PermitRootLogin yes |
Dann Dienst neu starten:
1 2 | systemctl restart ssh |
2️⃣ Partitionen in der VM anlegen und mounten
Mit gparted gewünschte Partitionierung erstellen, z. B.:
/dev/sda1→ /boot/dev/sda2→ / (root)/dev/sda3→ /home
Danach mounten:
1 2 3 4 5 6 | sudo mkdir -p /mnt/target /mnt/target/home /mnt/target/boot sleep 2 sudo mount /dev/sda2 /mnt/target sudo mount /dev/sda3 /mnt/target/home sudo mount /dev/sda1 /mnt/target/boot |
3️⃣ SSH-Zugriff vorbereiten
VM-IP herausfinden:
1 2 | ip -a |
Dann im Quellsystem setzen:
1 2 | VM_IP=192.168.1.57 # IP von Zielsystem (Ziel-VM) |
SSH-Verbindung testen:
1 2 | ssh root@$VM_IP -t -t exit && echo "✅ SSH-Verbindung erfolgreich." || { echo "❌ SSH-Verbindung fehlgeschlagen!"; exit 1; } |
4️⃣ SSHFS-Verbindungen zur VM herstellen
Im Quellsystem:
1 2 3 4 5 6 | sudo mkdir -p /mnt/vm-root /mnt/vm-home /mnt/vm-boot sudo sshfs root@$VM_IP:/mnt/target /mnt/vm-root sudo sshfs root@$VM_IP:/mnt/target/home /mnt/vm-home sudo sshfs root@$VM_IP:/mnt/target/boot /mnt/vm-boot |
5️⃣ Datenübertragung per rsync
Im Quellsystem:
1 2 3 4 | sudo rsync -aAXHv --delete /boot/ /mnt/vm-boot/ sudo rsync -aAXHv --delete /home/ /mnt/vm-home/ sudo rsync -aAXHv --delete --exclude={"/boot/*","/home/*","/dev/*","/proc/*","/sys/*","/tmp/*","/run/*","/mnt/*","/media/*","/lost+found"} / /mnt/vm-root/ |
6️⃣ GRUB installieren (in der VM)
Nach Abschluss der Übertragung in der Ziel-VM (nicht im Quellsystem!):
1 2 3 4 5 | mount --bind /dev /mnt/target/dev mount --bind /proc /mnt/target/proc mount --bind /sys /mnt/target/sys chroot /mnt/target |
GRUB installieren:
1 2 3 | grub-install /dev/sda update-grub |
7️⃣ Nachbearbeitung – alte LUKS-Einträge entfernen
7.1 /etc/crypttab leeren
1 2 | nano /etc/crypttab |
➡ Datei leeren oder alle Zeilen auskommentieren, z. B.:
1 2 | # keine LUKS-Geräte mehr vorhanden |
7.2 /etc/fstab anpassen
Mit lsblk -f oder blkid neue UUIDs anzeigen und in /etc/fstab eintragen:
1 2 | nano /etc/fstab |
Beispiel:
1 2 3 4 | UUID=<uuid-sda2> / ext4 defaults 0 1 UUID=<uuid-sda1> /boot ext4 defaults 0 2 UUID=<uuid-sda3> /home ext4 defaults 0 2 |
7.3 Resume-Datei bereinigen
1 2 | nano /etc/initramfs-tools/conf.d/resume |
- Keine Swap-Partition in VM →
1 2 | RESUME=none |
- Neue Swap-Partition → UUID der Swap-Partition eintragen, z. B.:
1 2 | RESUME=UUID=3214bdca-570a-472c-8e0f-e29ad6defa63 |
Danach:
1 2 | update-initramfs -u -k all |
7.4 Swap-Referenzfehler beseitigen
Wenn beim Booten Fehler wie erscheinen:
1 2 | cryptsetup: ERROR: Couldn't resolve device /dev/mapper/D12--System-Swap |
dann:
- Alte Swap-Zeilen in
/etc/fstablöschen oder auskommentieren:
1 2 | /dev/mapper/D12--System-Swap none swap sw 0 0 |
- Optional neue Swap-Partition eintragen.
- Initramfs neu erstellen:
1 2 | update-initramfs -u -k all |
8️⃣ Initramfs & GRUB final aktualisieren
1 2 3 4 5 6 7 | update-initramfs -u -k all update-grub grub-install /dev/sda exit umount -R /mnt/target reboot |
✅ Fertig!
Die VM startet nun ohne LUKS, ohne Swap-bezogene Bootfehler, und ist vollständig funktionsfähig.
Speefak
