Wenn man LUKS verwendet, und das ganze System verschlüsselt
Ich erinnere mich da an einen Bug vor Jahren, wo man bei der Installation eine verschlüsselte Home-Partition auswählen konnte. Vielleicht Ubuntu 9 oder 10, keine Ahnung. Da konnte ich die Home-Partition nicht öffnen. Es bedurfte einiger Installationen bis ich herausfand, dass es am Passwort lag, einfache PW waren kein Problem, mit meinem komplexen PW kam ich nicht rein. Das hat mich vorsichtig gemacht und daher habe ich für mich einen Kompromiss überlegt. Mein primäres Problem sind Gewährleistungs / Garantiefälle, externe Sicherungen und alte HDs, die entsorgt werden. Meine Lösung war bei Sicherungen bestimmte Ordner mit gpg zu verschlüsseln und den Rest offen zu lassen. Das klappt für Standard-Sicherungen, bei Mediadateien kann das aber nach hinten los gehen, denn die sind kaum komprimierbar und wenn da eine komprimierte TB-Datei beschädigt ist, dann gibt es für alle Mediadateien keine Sicherung mehr, ergo Fotos, mp3, Videos, werden nicht mehr verschlüsselt und die sind ein, wenn auch für mich ein kleines, Problem, falls die jemand in die Hände fallen, aber vielleicht bin ich zu wenig kreativ, was man damit anstellen kann.
Ich werde mir aber einen Test-PC suchen auf dem ich verschlüssele. Mal schauen, ob meine komplexen PW funktionieren. Es ist schwierig so einen Bug zu melden, ich habe keine Lust meine PW zuveröffentlichen, damit das nachvollzogen werden kann.
Die Alternative ist eine Teilverschlüsselung, diese hat aber eben den Nachteil das ggf. wo unverschlüsselte Daten liegen.
Ja sicher, das hängt aber auch davon ab, wie sicherheitskritisch das ganze System ist. Für mich wäre es schon Fortschritt die HDs in externen Gehäusen zu verschlüsseln, obwohl da die Angst besteht, dass es irgendwann ein Update mit einem Bug gibt und die Sicherung unlesbar ist.
Gleichzeitig geht ein Angriff gegen das Passwort in der /etc/shadow deutlich effektiver
Mag sein, an dieses Szenario denke ich aber nicht. Physischen Zugriff haben nur Personen, denen ich 100% vertraue und übers Netz denke ich, ist das nicht so einfach. Da gibt es einiges zu überwinden und ich erlaube kein Login per PW.
Was übrigens wichtige Daten sind entscheidest nicht du, sondern ein Angreifer/Finder.
Ich denke schon, dass ich das entscheide. Ich denke das ist eine persönliche Bewertung. Ich habe mich lange gewehrt meine Kontakte bei Android zu speichern und mit eigenen Servern rumgekämpft, bis mir klar wurde, es hilft mir gar nichts, wenn ich die Daten nicht eingebe und andere haben sie schon längst eingegeben. Man kann nichts dagegen tun, dass andere Geburtsdatum, etc in ihrem Android-Handy speichern, also speichere ich meine Kontakte nun auch bei Google.
Wenn es ist dir lästig ist beim booten (das macht man wohl einmal täglich) ein Passwort zusätzlich zu tippen, dann frage ich mich warum du mit badblocks überhaupt Platten löschst.
Ich boote öfters als 1x pro Tag und 2x das PW einzugeben wäre schon ok. Ich habe das System mangels Praxis noch zu wenig verstanden. Muss man das PW nicht für jede Partition separat eingeben? Aktuell sind gerade 16 Partitionen auf 4 HDs in Verwendung. Das können aber auch mehr sein.
Ich mache es umgekehrt: Ich habe meine Systeme vollverschlüsselt mit automatischer Benutzeranmeldung.
Sehr interessante Überlegung. Das will ich vorher aber an einem unwichtigen PC probieren.
Es ist ein Terminalbefehl. Mühsam ist anders
Welcher? Das verstehe ich nicht. Wie liste ich die ganzen Dateien, die fragmentiert irgendwo rumliegen, wenn die Partitionstabelle und das Filesystem geändert wurde?
Wenn USB der Flaschenhals ist, könntest du schauen ob ein ATA Secure Erase Befehl durchkommt. Ist allerdings bei den meisten USB-Gehäusen problematisch (entweder kommt der Befehl gar nicht durch oder der Vorgang wird durch eine Stromsparfunktion des USB-Gehäuses unterbrochen).
Interessante Idee!
not enabled
not locked
frozen
not expired: security count
not supported: enhanced erase
492min for SECURITY ERASE UNIT.
AFAIR wird dieses frozen automatisch beim Hochfahren gesetzt, oder? Nach Lesen von http://wiki.ubuntuusers.de/SSD/Secure-Erase bin ich mir aber noch immer nicht klar, mit welchem Befehl ich nach obigen Vorgaben die HD löschen könnte. Dauern wird das sicher auch einige Zeit.
BTW, das einmalige Löschen mit badblocks dauerte bei dieser HD:
badblocks -svw /dev/sde
Suche nach defekten Blöcken (Lesen+Schreiben-Modus)
Von Block 0 bis 2930266583
Teste mit Muster 0xaa: erledigt )
Lesen und Vergleichen: 0.01% erledigt, 20:38:39 verstrichen. (0/0/0 Fehler)
Wenn man das standardmäßig 4x mit Schreiben und Vergleichen durchlaufen lassen würde, dauert das schon ca. 1 Woche.
Ansonsten machst du abgesehen von Verschlüsselung am meisten kaputt, wenn du über die Partitionen ein mkfs drüberjagst.
Welcher Befehl genau? Über die Partition, nicht über die ganze HD? Habe ich da was missverstanden?
Und dann könnte man sich z.B. noch überlegen, im 1M-Abstand jeweils 4k zu Nullen.
Befehl? Dauert das bei 3 TB nicht auch Stunden? Ich vermute. die meisten Dateien sind bei mir über 5MB, da könnte man also noch optimieren.