Hodenarschkrebs
Anmeldungsdatum: 25. März 2015
Beiträge: 8
|
Hi, ich bin ein ziemlicher Linux-Noob (habt bitte Verständnis) und hatte meine Festplatten bisher immer unter Windows mit Truecrypt verschlüsselt, was alles relativ einfach war.
Da ich meine Festplatten (zwei Datengräber) jetzt in meinen Homeserver einbauen möchte, auf dem ein Minecraft-Server und dementsprechend Ubuntu (ja, ohne grafische Oberfläche komme ich irgendwie leider nicht aus) läuft, brauche ich jetzt einen neuen Weg, meine Festplatten zu verschlüsseln.
Optimalerweise sollten die Festplatten eingebunden werden, wenn ein USB-Stick mit einer bestimmten Datei im Hauptverzeichnis eingesteckt wird und dementsprechend Umgekehrtes passieren, wenn er wieder entfernt wird. Alternativ (also wenn das ein Stück einfacher ist), würde es auch reichen, wenn bei Passworteingabe im Anmeldevorgang auch die Festplatten miteingebunden werden, sofern das sicher ist. Also folgende Fragen:
1. Wie realisiere ich oben genanntes Problem am besten?
2. Mein Homeserver ist relativ leistungsschwach (AMD Athlon II X2 250 mit 2x 3Ghz). Wie ist das zu berücksichtigen in Bezug auf die Verschlüsselungstechnik?
3. Eine der Festplatten ist 3TB groß. Kann das unter irgendwelchen Umständen Probleme bereiten?
4. Die Festplatten sollen nach dem Einbinden dann direkt fürs Netzwerk freigegeben werden, sodass ich von meinen Windows-PCs darauf zugreifen kann. Haut das überhaupt vernünftig hin und wie setze ich das um? Schonmal danke für jede Hilfe! Gruß
|
megavolt
Anmeldungsdatum: 9. März 2015
Beiträge: 80
Wohnort: Neustadt
|
Hallo Hodenarschkrebs, Also folgende Fragen:
1. Wie realisiere ich oben genanntes Problem am besten?
System verschlüsseln per LVM, Samba für die Windows-Freigabe
2. Mein Homeserver ist relativ leistungsschwach (AMD Athlon II X2 250 mit 2x 3Ghz). Wie ist das zu berücksichtigen in Bezug auf die Verschlüsselungstechnik?
Ich denke ausreichend. Muss aber in der Praxis getestet werden.
3. Eine der Festplatten ist 3TB groß. Kann das unter irgendwelchen Umständen Probleme bereiten?
Solange die Hardware keine Beschränkung hat, sollte es bei Ubuntu auch keine geben.
4. Die Festplatten sollen nach dem Einbinden dann direkt fürs Netzwerk freigegeben werden, sodass ich von meinen Windows-PCs darauf zugreifen kann. Haut das überhaupt vernünftig hin und wie setze ich das um?
Über einen Samba-Server ist das machbar. Bei Verschlüsselung des ganzen Systems ist eine Neuinstallation unumgänglich. Bei einzelnen Ordnern ist EncFS dein Freund. Gruß, Megavolt
|
Hodenarschkrebs
(Themenstarter)
Anmeldungsdatum: 25. März 2015
Beiträge: 8
|
OK, danke. Eine Frage noch, bevor ich loslege: Wenn ich mein System auf diese Art verschlüssel, kann es dann Probleme geben, wieder Zugriff auf die Festplatten zu bekommen, falls die Festplatte mit dem Betriebssystem ausfällt? Oder könnte man auch an jedem anderen Rechner mit passendem OS und Passwort auf die verschlüsselten Festplatten zugreifen?
Ich dachte, ich frag das eben lieber, bevor ich anfange und dann feststell, dass es da Probleme gibt.
|
megavolt
Anmeldungsdatum: 9. März 2015
Beiträge: 80
Wohnort: Neustadt
|
Also wenn du einen Hardware-Defekt bei den Platten hast, ist es egal ob verschlüsselt oder nicht. Die können dann als Türstopper umfunktioniert werden. Ich verschlüssel selber nicht, außer über encfs, aber meines Wissens kannst du nur über Linux auf LVM-Partitionen zugreifen. Selbst encfs ist für Windows noch experimentell. Also bevor du etwas machst, solltest du dir sicher sein, was du tust. Teste die Verschlüsselung und LVM in einer virtuellen Umgebung. Macht mehr Sinn als sofort alles in die Praxis umzusetzen.
|
Hodenarschkrebs
(Themenstarter)
Anmeldungsdatum: 25. März 2015
Beiträge: 8
|
Ich dachte an folgendes Szenario: 3 Festplatten sind verschlüsselt, die mit Linux drauf (Festplatte 1) fällt aus. Kann ich dann auf irgendeine 4. Platte Linux installieren und wieder auf Platten 2 und 3 zugreifen? Da ich Ubuntu eh in diesem Moment neu aufsetze, probiere ich sowieso gleich alles in der Praxis aus, also kaputt machen kann ich da nichts. Im schlimmsten Fall müsste ich halt nochmal alles von vorne machen.
|
megavolt
Anmeldungsdatum: 9. März 2015
Beiträge: 80
Wohnort: Neustadt
|
Hallo Hodenarschkrebs, solange du den Verwaltungsschlüssel besitzt, kannst du jedezeit auf deine Festplatten zugreifen. Dh. System-Platte fällt aus > Neuinstallation > selben Schlüssel verwenden > BUJA > Alles ist wieder normal lesbar. Ohne Schlüssel > Daten futsch
|
Hodenarschkrebs
(Themenstarter)
Anmeldungsdatum: 25. März 2015
Beiträge: 8
|
Also ich bin jetzt die Anleitung erfolgreich durchgegangen, sprich meine SSD mit Ubuntu drauf läuft jetzt so, wie sie soll. Allerdings fehlt mir jetzt irgendwie der Anknüpfungpunkt, wie ich weitere Festplatten verschlüsselt dazu mache. Also dranklemmen und dann mit GParted eine unformartiere Partition erstellen ist schonmal klar, aber was ich dann machen muss, ist mir schleierhaft, da das im Wiki leider gar nicht erklärt wird, sondern eben nur, wie man die Systemplatte verschlüsselt.
In welchem Punkt der Anleitung muss ich ansetzen und was muss ich eventuell anders machen? Wahrscheinlich auch wieder via cryptsetup mit der gleichen Passphrase die Partition verschlüsseln (oder wird jetzt automatisch alles verschlüsselt, was Teil des LVM-Volumes wird? ich steig da nicht wirklich hinter) und dann irgendwie logical volumes machen, die ich in die bereits erstellte volume group aufnehme?
Ich hoffe nur, ich muss nicht bei jeder neuen Festplatte die etc-Datein editieren.
|
megavolt
Anmeldungsdatum: 9. März 2015
Beiträge: 80
Wohnort: Neustadt
|
Schau dir mal den Artikel an: LUKS Ist alles ziemlich genau beschrieben. Außerdem lässt sich über die Alternate-CD dank Debian-Team auch Verschlüsselung per System verschlüsseln/Alternate Installation (Abschnitt „Datentraeger-verschluesseln“) automatisch praktizieren. Wenn du dich weiter einlesen willst:
Da bekommst du alle Informationen.
|
Hodenarschkrebs
(Themenstarter)
Anmeldungsdatum: 25. März 2015
Beiträge: 8
|
Ich habe jetzt alles zu Luks und LVM mehrfach gelesen, bin mit den einzelnen Operationen auch vertraut, kann mir aber eine Frage immer noch nicht beantworten: Wie bekomme ich eine zweite Festplatte in die Verschlüsselung? Muss ich die überhaupt über cryptsetup nochmal verschlüsseln (wenn ja, wie geht das, ohne mehr als das eine Passwort beim Booten einzugeben?) oder reicht es, die bei lvm zur Volume Group hinzuzufügen und dann ein weiteres logical volume zu erstellen (und dann kann auf die weitere Festplatte nur zugegriffen werden, wenn auf die erste eben aufgrund der erfolgreichen passworteingabe zugegriffen werden kann)?
|
megavolt
Anmeldungsdatum: 9. März 2015
Beiträge: 80
Wohnort: Neustadt
|
LUKS/Schlüsselableitung
Diese Anleitung geht auf die Konfiguration und Einbindung von verschlüsselten LUKS-Datenträgern mittels des Decrypted-Derived-Scripts ein. Es handelt sich um ein Skript, welches den Schlüssel aus einem bereits entschlüsselten LUKS-Gerät (dem Ursprungsgerät) generiert und es somit ermöglicht, mit einem Passwort mehrere verschlüsselte Datenträger zu öffnen. Der Vorteil ist, dass kein Passwort im Klartext auf der Festplatte gespeichert werden muss.
Hilft das?
|
Hodenarschkrebs
(Themenstarter)
Anmeldungsdatum: 25. März 2015
Beiträge: 8
|
Das müsste es eigentlich sein. Wenn ich nach Anleitung vorgehe, vorher mittels geparted mir eine unformartierte Partition sdb1 erstelle, passiert nach Eingabe der Befehle aber Folgendes: root@homeserver:~# sudo dd if=/dev/urandom bs=1M count=8 of=/dev/sdb1
8+0 Datensätze ein
8+0 Datensätze aus
8388608 Bytes (8,4 MB) kopiert, 0,631175 s, 13,3 MB/s
root@homeserver:~# /lib/cryptsetup/scripts/decrypt_derived lukslvm | cryptsetup -c aes-xts-plain64 -s 512 luksFormat /dev/sdb1
root@homeserver:~# cryptsetup luksAddKey /dev/sdb1
Eine der Passphrasen eingeben:
Kein Schlüssel mit diesem Passsatz verfügbar. Dabei gebe ich den Passsatz richtig ein (mehrere Versuche, auch sowas wie falsches Layout geprüft). Wo könnte mein Fehler liegen?
lukslvm ist ja auf jeden fall offen, wird ja irgendwie direkt beim start gemacht und wenn dem nicht so wäre, würde ja auch deswegen ne meldung kommen. vergisst lukslvm das eigene passwort nach dem start irgendwie wieder? Falls ja, wie bekomme ich es hin, dass es das wieder weiß?
|
frostschutz
Anmeldungsdatum: 18. November 2010
Beiträge: 7651
|
Dein luksFormat Befehl verwendet die Ableitung als Passphrase. Für ein luksAddKey musst du diese Ableitung dann kennen. (die Ausgabe von derived ohne | hintendran). Du wolltest es wahrscheinlich andersrum machen, luksFormat ohne | mit einer Passphrase die du kennst, und dann derived | luksAddKey um die Ableitung hinzuzufügen.
|
Hodenarschkrebs
(Themenstarter)
Anmeldungsdatum: 25. März 2015
Beiträge: 8
|
Also die Verschlüsselung sowie das Einbinden der HDDs funktioniert mittlerweile komplett wie ich es wollte. Danke euch beiden! Jetzt macht mir aber die Freigabe Probleme. Gerade bin ich beim ersten Schritt, auf Windows-Freigaben im öffentlichen Ordner von Ubuntu aus zuzugreifen. Wenn ich meinen Dateimanager (Nautilus) ohne Rootrechte (also nicht mittels gksu) starte, dort dann auf "Netzwerk durchsuchen" gehe, sehe ich zwar die entsprechenden Freigaben, kann sie mir aber natürlich nicht rüberziehen. Starte ich Nautilus mit Rootrechten, kommt aber immer folgende Meldung, sobald ich auch "Netzwerk durchsuchen" klicke: "Dieser Ort konnte nicht angezeigt werden. Leider konnte nicht der gesamte Inhalt von »network:///« angezeigt werden: Vorgang wird nicht unterstützt" Wie schaffe ich es, dass ich die Dateien sehe und dann rüberziehen kann? Edit: Bin damit mal in den entsprechenden Forenbereich gegangen. Falls jemand mit selben Problemen mal über Google hierauf stößt, hier geht es weiter: http://forum.ubuntuusers.de/topic/mit-samba-von-ubuntu-auf-win7-rechner-zugreife/ Somit kann man hier dicht machen! Nochmals ein fettes Danke an frostschutz und megavolt!
|