Ich habe nun nicht den ganzen Thread hier gelesen, aber ich sehe, dass in dem Beispiel EXT3 verwendet wird.

Dazu eine Frage: Ist es nicht so, dass Verschlüsselung bei Journaling-Dateisystemen keinen Sinn macht und man deswegen EXT2 verwenden sollte?

Bin dankbar über Antworten!

Wenn das Journal auch verschlüsselt ist, meiner Meinung nach nicht.

Oder zumindest wüsste ich nicht, dass hier trotz Verschlüsselung dennoch Daten sichtbar werden.

Nach dem letzten Kernelupdate funktioniert das mit dem swap im übrigen auch wieder. Es wird also nicht neun mal nach einem Passwort gefragt, sondern nur nach den pwds der entsprechenden Devices.
Also alles wieder in Ordnung
LINUX rocks !

hallo, nutze feisty fawn herd 4, bei „sudo cryptsetup -c aes-cbc-essiv:sha256 -y -s 256 luksFormat /dev/sda3“ erhalte ich folgenden fehler:

falls evtl. hilfreich:
“dmsetup targets“

„sudo dmsetup targets“
http://www.imagebanana.com/view/001i7g13/sudodmsetuptargets.gif

denke ein libdevmapper downgrade könnte helfen? aber wie mache ich das und welche alternativen möglichkeiten gäbe es noch?
hoffe ihr könnt mir helfen, danke!

Hallo!

Ich habe es endlich geschafft Dapper mit verschlüsselter root und swap einzurichten und zwischenzeitlich sogar den Kernel von 386 auf 686 gewechselt.
Jetzt würde ich gerne zusätzlich zur Passwortabfrage oder als Alternative ein USB-Drive als Schlüssel verwenden. Gibt es eventuell irgendwo ein HowTo, oder was ich eigentlich noch besser fände - wo kann ich denn selbst in den Bootprozess eingreifen. Ich finde mich noch nicht so zurecht. Die Init Scripte sind so zahlreich und mir fehlt als Linux Anfänger so ein bischen der Überblick wann was ausgeführt wird.

Ich habe z.B. nirgends das Script gefunden das tatsächlich root per luks öffnet. Könnt Ihr mir einen kleinen Hinweis geben wo ich suchen muss und wo ich am besten ansetzte, wenn ich vor dem öffnen von root noch ein anderes Script ausführen will (z.B. USB-Stick mounten und nach keyfile suchen etc.)

Danke schonmal!

Hallo dappig,

ich habe mittlerweile ein Gentoo mit verschlüsselter LVM PV installiert (also vom Grundablauf sehr ähnlich).

Im Gentoo-Wiki (en,de) wirst du verschiedene Anleitungen zu cryptsetup bzw dm-crypt finden, die dir weiterhelfen können. Dort waren auch welche mit Keyfile auf einem USB-Stick dabei.

Wie du unter Ubuntu ein init-Script bearbeiten kannst, weiss ich leider nicht. Ich habe mir das initramfs von Hand zusammengebaut, das erledigt (wenn ich mich noch richtig erinnere) in Ubuntu der Befehl update-initramfs.
Das eigentliche Öffnen der verschlüsselten root-Partition ist übrigens nichts weiter als ein gewöhnliches „cryptsetup luksOpen“.

Ich hoffe das hilft dir weiter, wenn du spezielle Detailfragen hast, kannst du mir auch gerne eine PM schreiben.

Schöne Grüße,
tween

PMs sind eigentlich nicht die Idee des Forums.

Hallo dappig,

dappig hat geschrieben:

Ich habe z.B. nirgends das Script gefunden das tatsächlich root per luks öffnet. Könnt Ihr mir einen kleinen Hinweis geben wo ich suchen muss und wo ich am besten ansetzte, wenn ich vor dem öffnen von root noch ein anderes Script ausführen will (z.B. USB-Stick mounten und nach keyfile suchen etc.)

verantwortlich dafür ist das Init-Script /etc/init.d/cryptdisks, welches die Datei /etc/crypttab auswert und cryptsetup darauf anwendet.

Grüße

Super! Script gefunden und auch etwas mehr über den Boot Prozess gelernt! Danke!

Erstmal ein dickes Danke an Euch! *top!*

Jetzt werde ich wohl erstmal ein bischen experimentieren und mich langsam an die USB Geschichte ranwagen.
Ich kann ja mal schreiben falls ich Erfolg habe - kann aber ein bischen dauern…

Eine andere Baustelle wäre noch statt cryptsetup (bzw. dm-crypt) truecrypt zu verwenden. Weniger weil ich das für besser halte (dafür hab ich wirklich zu wenig Erfahrung und Ahnung von der Materie), viel mehr so als Testobjekt wenn ich ohnehin schon versuche ein eigenes initfs zusammenzustellen. Spricht da evtl. etwas greundsätzliches dagegen? Ich habe bei der Recherche nämlich seltsamerweise nichts zu truecrypt und verschlüsseltem root finden können. Vielleicht hat das aber auch einfach noch niemanden interessiert?

Danke nochmal und LG

https://help.ubuntu.com/community/EncryptedFilesystemHowtoEdgy

Das funktioniert sehr gut, auch nach einem Kernel-Update.

@srynoname:
Du musst die Kernelmodule dm_crypt, sha256 und aes_i586 laden. modprobe + /etc/modules + /etc/mkinitramfs/modules

lars.gierth hat geschrieben:

@srynoname:
Du musst die Kernelmodule dm_crypt, sha256 und aes_i586 laden. modprobe + /etc/modules + /etc/mkinitramfs/modules

Danke Lars, während meines testens und suchen (Xubuntu 7.04, noch Herd 4) habe ich das auch herausgefunden, es muss jedoch nur dm_mod per modprobe geladen werden, der rest wird automatisch geladen. habe meine root partition erfolgreich verschlüsseln können, nur mim booten haperts noch, letztens hatte ich es so halb hinbekommen, naja macht jetzt keinen sinn da weiter drüber zu berichten, ich denke ich bekomms hin und werde dann auch posten wie.

dappig hat geschrieben:

Eine andere Baustelle wäre noch statt cryptsetup (bzw. dm-crypt) truecrypt zu verwenden. Weniger weil ich das für besser halte (dafür hab ich wirklich zu wenig Erfahrung und Ahnung von der Materie), viel mehr so als Testobjekt wenn ich ohnehin schon versuche ein eigenes initfs zusammenzustellen. Spricht da evtl. etwas greundsätzliches dagegen? Ich habe bei der Recherche nämlich seltsamerweise nichts zu truecrypt und verschlüsseltem root finden können. Vielleicht hat das aber auch einfach noch niemanden interessiert?

Danke nochmal und LG

Ich würde auch lieber TrueCrypt einsetzen, weil es mir bisher (im Vergleich zu dm-crypt und LUKS) weniger problematisch erscheint. Wäre cool wenn man auch mit TrueCrypt alles bis auf /boot verschlüsseln könnte.

lars.gierth hat geschrieben:

https://help.ubuntu.com/community/EncryptedFilesystemHowtoEdgy

Das funktioniert sehr gut, auch nach einem Kernel-Update.

Naja, die Warnung „Don‘t use this yet!“ bringt mich dann doch bissen zum Grübeln…

Gibt es eigentlich eine Verschlüsselungsmethode, mit der man
- sicher alles bis auf /boot verschlüsseln
- ohne großes rumbasteln ein Kernelupdate durchführen
- problemlos ein Dist-Upgrade durchführen
kann?

Ich benutze jetzt Dapper und wollte für Feisty eine komplette Neuinstallation machen (hab hier diverse Fremdpakete etc rumfliegen, die ich loswerden will - einmal komplett sauber machen) und die Gelegenheit Nutzen, mein komplettes System zu verschlüsseln. Aber ich möchte das ganze nicht nochmal machen, wenn nen Kernelupdate kommt oder ich auf Feisty+1 upgrade

xadm hat geschrieben:

Ich benutze jetzt Dapper und wollte für Feisty eine komplette Neuinstallation machen (hab hier diverse Fremdpakete etc rumfliegen, die ich loswerden will - einmal komplett sauber machen) und die Gelegenheit Nutzen, mein komplettes System zu verschlüsseln. Aber ich möchte das ganze nicht nochmal machen, wenn nen Kernelupdate kommt oder ich auf Feisty+1 upgrade

Feisty dürfte daführ wohl ein guter Einstieg sein, da laut den bisherigen Angaben die Bugs aus Edgy wohl behoben sein sollen und der Kernel bereits im Auslieferungszustand mit einer verschlüsselten Rootpartition umgehen können soll (das manuelle Erstellen einer Initramdisk nach Kernelupdates entfällt also).

ah cool! Das heißt einmal eingerichtet, kann ich also Problemlos Kernelupdates und Distupgrades machen? Und kann ich davon ausgehen, dass alle benötigten Pakete direkt in den Ubuntu-Repos sind, ich also keine Fremdpakete brauche (was beim Distupgrade ja problematisch werden könnte)?

xadm hat geschrieben:

ah cool! Das heißt einmal eingerichtet, kann ich also Problemlos Kernelupdates und Distupgrades machen?

Bei Distupgrades kann es theoretisch natürlich immer zu Problemen kommen. Ich gehe aber nicht davon aus, dass die für eine Verschlüsselung benötigten Pakete zukünftig wieder aus der Distribution entfernt werden.

xadm hat geschrieben:

Und kann ich davon ausgehen, dass alle benötigten Pakete direkt in den Ubuntu-Repos sind, ich also keine Fremdpakete brauche (was beim Distupgrade ja problematisch werden könnte)?

Du meinst alle Pakete, die du für eine Komplettverschlüsselung benötigst?