unggnu
Anmeldungsdatum: 5. September 2007
Beiträge: 241
|
Hallo zusammen, ich finde die Verschlüsselungsartikel informativ, aber leider noch ein wenig zu unstrukturiert bzw. überschneiden die sich teilweise sehr. Z.B. Baustelle/Notebook verschlüsseln sollte im Prinzip identisch sein mit Baustelle/System verschlüsseln. Des weiteren geht der Artikel Daten verschlüsseln auf das Luks-Keymanagement ein, die anderen aber nicht. Ich denke, dass man am besten einen Artikel aufmacht, der sich ausschließlich mit Luks befasst. Also Passwortmanagement, erstellen, einhängen usw.. Auf diesen könnten dann die anderen verweisen. "Home verschlüsseln" würde ich unter System verschlüsseln integrieren, als Alternative, oder einen extra Artikel erstellen, da es den Rahmen von Daten verschlüsseln meiner Meinung nach sprengt. Unter letzterem könnten dann ja alle "Verschlüsselungsartikel" verlinkt werden. Für Baustelle/System verschlüsseln würden drei Teile Sinn machen. Einmal der Installationsteil mit der Alternate-CD, das manuelle, nachträgliche Verschlüsseln und halt unter Umständen noch die Home. Wenn die Home verschlüsselt würde, aber weder die Swap noch /tmp bzw. /var/tmp, machte das ganze keinen wirklichen Sinn. Aber das kann ja im einzelnen auf den Diskussionsseiten der einzelnen Artikel besprochen werden, es geht erst mal um eine Überarbeitung bzw. Zusammenfassung der relvanten Howtos. Was meint Ihr? Gruß,
unggnu
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 28947
Wohnort: WW
|
Hallo, grundsätzlich muss du erstmal das Wiki und die Baustelle getrennt betrachten. Denn lange nicht alle Artikel werden je fertig gemeldet, d.h. die kommen dann auch nie ins Wiki. Wenn du bei Baustelle was ändern willst solltest du höfflichkeitshalber den Autor der Baustelle (per PN) kontaktieren und fragen, ob du mitarbeiten kannst. Ansonsten gibt es im Wiki-Team mindestens einen, nämlich Rotbart von Daining, der sich mit Verschlüsselung deutlich besser auskennt als ich, vielleicht meldet er sich hier auch mal. ☺ Gruß, noisefloor
|
mgdev
Anmeldungsdatum: 22. November 2008
Beiträge: Zähle...
|
Hallo unggnu, du kannst meinen Artikel Baustelle/Notebook verschlüsseln gerne mit den anderen Artikeln zusammenführen. Folgende Informationen sollten aber nicht verlorengehen: - Root-FS wegen der Performance unter Umständen nicht komplett verschlüsseln - SWAP verschlüsseln, Suspend2Disk sollte aber noch funktionieren (also kein Random)!
Hier muss auch beim Aufwecken nur einmal das "Passwort" eingegeben werden. Wünsche gutes Gelingen.
|
RvD
Anmeldungsdatum: 26. Mai 2006
Beiträge: 2870
|
Auch ich habe schon darüber nachgedacht, die Artikel zu optimieren - habe aber momentan etwas wenig Zeit dazu. ☹ unggnu schrieb: Ich denke, dass man am besten einen Artikel aufmacht, der sich ausschließlich mit Luks befasst. Also Passwortmanagement, erstellen, einhängen usw.. Auf diesen könnten dann die anderen verweisen.
Das ist eine sehr gute Idee, der LUKS-Artikel wäre dann ein klassischer Fall für die Wissensbox. Vielleicht wäre es auch eine Idee, nach unterschiedlichen Sicherheits-Performance-Ansprüchen dann auch die 128er-Verschlüsselung zu erwähnen für Systempartitionen. unggnu schrieb: "Home verschlüsseln" würde ich unter System verschlüsseln integrieren, als Alternative, oder einen extra Artikel erstellen, da es den Rahmen von Daten verschlüsseln meiner Meinung nach sprengt.
Persönlich fände ich es toll, wenn jemand einen extra Artikel zu pam-mount erstellt - das bietet deutlich mehr als nur das automatische Einhängen von verschlüsselten Partitionene/Containern... auch wenn ich es bisher nur dazu 'mißbraucht' habe. 😉 unggnu schrieb: Unter letzterem könnten dann ja alle "Verschlüsselungsartikel" verlinkt werden.
Da ja seit Intrpeid auch einfache Verschlüsselung mit eCryptFS angeboten wird, ist eine zentrale Anlaufstelle sicher eine gute Idee. unggnu schrieb: Für Baustelle/System verschlüsseln würden drei Teile Sinn machen. Einmal der Installationsteil mit der Alternate-CD, das manuelle, nachträgliche Verschlüsseln und halt unter Umständen noch die Home. Wenn die Home verschlüsselt würde, aber weder die Swap noch /tmp bzw. /var/tmp, machte das ganze keinen wirklichen Sinn.
Dann wäre es eine Idee, die manuelle Verschlüsselung mehrstufig aufzubauen, nach unterschiedlichen Sicherheits-Performance-Ansprüchen: Erstmal die Verschlüsselung von HOME und eventuell darunter eingehängten Daten-Partionen - für Leute, die einfach ihre Daten-Sammlungen schützen wollen. Dann die Verschlüsselung von SWAP und TMP wie in Baustelle/Notebook verschlüsseln - für Leute, die auch ihre aktuellen Bearbeitungen sicher wissen wollen, vor allem im Suspend. Und dann schlussendlich die volle Verschlüsselung, für Leute die Manipulationssicherheit von Systempasswörtern, etc. möchten. Als krönenden Abschluss könnte man, wenn sich jemand findet, noch einen Abschnitt anhängen wie man die notwendigerweise unverschlüsselte /boot-Partion samt Bootloader auf einen USB-Stick/eine Speicherkarte auslagert, womit auf der Festplatte nur noch verschlüsselte Partionen liegen.
|
unggnu
(Themenstarter)
Anmeldungsdatum: 5. September 2007
Beiträge: 241
|
Danke schon mal für eure Antworten. Also ich denke es sollte erstmal der Luks-Artikel in Angriff genommen werden. In der Zeit werden sicher noch einige Tipps und Hinweise aufkommen, welche dann bei der späteren Überarbeitung der anderen Artikel einbezogen werden könnten. Das scheint ja wie es aussieht ein sehr großes Projekt zu werden, aber ich hoffe kein Fass ohne Boden 😀 Ich integrierte die Performance-Aspekte in den Luks-Artikel, auf die dann vielleicht in den anderen Howtos mit einem Satz verwiesen werden könnte. Mit pam_mount kenne ich mich nicht so gut aus, abgesehen natürlich von Home oder vergleichbaren mounten. Ich bin ein großer Fan davon nur home zu verschlüsseln, die Swap zu löschen und /tmp nach tmpfs zu mounten bzw. /var/tmp nach /tmp linken. So kann man mit einfachsten Mitteln und ohne großen Aufwand ein relativ sichere Umgebung erschaffen oder täusche ich mich? Das funktioniert natürlich nur bei ein wenig mehr Arbeitsspeicher (1 GB sollten aber schon reichen) und wenn man Videoschnittprogrammen und ähnlichem einen Temp-Ordner im Home-Verzeichnis zuweist. Der Ruhezustand ist meiner Meinung nach leider unter Linux/Ubuntu noch nicht so hilfreich, da er wesentlich länger als unter Win braucht. Linux scheint sehr schnell den Arbeitsspeicher für den Cache zu verwenden, was ja durchaus positiv ist, aber dann müssen bei jedem Ruhezustand 1 GB oder mehr auf die Platte geschrieben und anschließend wieder gelesen werden und das unkomprimiert. Ich vermute, das Win neben dem Komprimieren noch den Cache und Vergleichbares leert. Das sorgt dafür, dass Ubuntu beim normalen starten nicht viel länger braucht als aus dem Ruhezustand, wenn überhaupt. Aber das ist eine andere Sache. Wie ist mit Dapper zu verfahren? Dapper macht gerade Artikel, die von aktuellen Entwicklungen profitieren, viel komplizierter. Vielleicht könnte man es einführen, dass Wiki-Versionen als Last-Dapper-Version gekennzeichnet werden und dann mit einem Link auf der Wikiseite aufgerufen werden könnten. Änderungen sollten da ja nicht mehr groß nötig sein. Ansonsten würde vieles sehr ausufern, auch wenn man für Dapper jeweils immer einen eigenen Artikel erstellt. Wenn Dapper und die anderen LTS-Versionen fünf Jahre von diesem Wiki voll unterstützt würden, wird das lustig. Gruß,
unggnu
|
mgdev
Anmeldungsdatum: 22. November 2008
Beiträge: 2
|
unggnu schrieb: Der Ruhezustand ist meiner Meinung nach leider unter Linux/Ubuntu noch nicht so hilfreich, da er wesentlich länger als unter Win braucht.
Das war aber mein Hauptgrund einen eigenen Artikel zu schreiben. Andere Anleitungen gehen darauf eben nicht ausreichend ein. Ich finde den Ruhezustand sehr wichtig! Es geht dabei nicht so sehr um die Startgeschwindigkeit, sondern eher darum, dass man gleich wieder seine komplette Arbeitsumbgebung vorfindet. Mfg.
|
unggnu
(Themenstarter)
Anmeldungsdatum: 5. September 2007
Beiträge: 241
|
Ok, wenn Deine Variante funktioniert, sollte es zumindest in Hardy und Intrepid kein großes Problem sein, abgesehen davon, dass zweimal nach dem Passwort gefragt würde, wenn auch root verschlüsselt wird.
Man könnte das ja ohne Probleme als extra Punkt unter System verschlüsseln hinzufügen. Gruß,
unggnu
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 28947
Wohnort: WW
|
Hallo, zu Dapper: haben wir letzthin intern diskutiert. Grundsätzlich sollen die Artikel (-teile) nicht gelöscht werden, besonders dann nicht, wenn sie "Server-relevant" sind. Aber wenn sich viel geändert hat kann man den Dapper-Teil einfach in eine Unterartikel auslagern (z.B. "foobar/Dapper") und den Hauptartikel für Hardy & Co schreiben. Gruß, noisefloor
|
RvD
Anmeldungsdatum: 26. Mai 2006
Beiträge: 2870
|
Prinzipiell ist das Problem aber relativ gering im Bereich der Verschlüsselung: Die großen, wichtigen Umbrüche (XTS, XML-pam-mount) sind mit Hardy geschehen und davor ist die Anleitung von Dapper noch gültig.
(Gerade wenn man Spuspend-to-Disk mit einem Schlüssel macht, taugt das zwischendurch eingefügte LRW nämlich nicht)
|
unggnu
(Themenstarter)
Anmeldungsdatum: 5. September 2007
Beiträge: 241
|
Das mit Dapper kann ja nachträglich gemacht werden, sobald die Baustelle verschoben wird. Könnte dann bitte jemand vom Team den Luks-Artikel erstellen oder muss ich einen separaten Antrag erstellen? Gruß,
unggnu
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 28947
Wohnort: WW
|
Hallo, neue Artikel kannst du nach belieben in der Baustelle erstellen. Gruß, noisefloor
|
unggnu
(Themenstarter)
Anmeldungsdatum: 5. September 2007
Beiträge: 241
|
So, ich habe mal eine erste Version unter Baustelle/LUKS erstellt. Es fehlen noch einige Sachen, aber das hat ja Zeit. Ich bin mir auch noch nicht sicher wie viel da rein soll. Anfangs hatte ich noch hinzugefügt wie man ein Dateisystem auf dem Device erstellt bzw. das ein-/aushängt, aber an sich hat das da nichts zu suchen. Was meint Ihr? Gruß,
unggnu
|
unggnu
(Themenstarter)
Anmeldungsdatum: 5. September 2007
Beiträge: 241
|
So, mit der aktuellen LUKS-Version kann ich leben. Ich habe auch schon eine Dikussionsseite/Antrag eröffnet. Gruß,
unggnu
|
unggnu
(Themenstarter)
Anmeldungsdatum: 5. September 2007
Beiträge: 241
|
Der LUKS-Artikel ist fertig, was schlagt Ihr vor, soll als nächstes in Angriff genommen werden? Ich dachte an System verschlüsseln, da es sowieso schon eine Baustelle ist und Daten verschlüsseln am besten als letztes kommt, da dort alles verlinkt werden sollte imho. Was meint Ihr? Gruß,
unggnu
|
RvD
Anmeldungsdatum: 26. Mai 2006
Beiträge: 2870
|
Genau, wie oben vorgeschlagen.
|