franco_bez
Anmeldungsdatum: 1. Mai 2007
Beiträge: 688
|
Wozu so ein verregnetes Wochenende doch gut sein kann. 😉 Ich habe mein vollverschlüsseltes Ubuntu 11.10 Oneiric 64bit mit einer Luks verschlüsselten LVM2 Festplatte so angepasst, dass man es mit Hilfe von USB-Schlüsseln automatisch Entriegeln kann. Es sind beliebig viele USB-Schlüssel möglich. Da Luks aber nur 8 verschiedene Slots hat, von denen mindestens einer schon für das Passwort gebraucht wird, müsste man gegebenenfalls einen Luks-Schlüssel für mehrere USB-Schlüssel verwenden. Ich finde das System, das ich angeregt von http://dafinchi.bplaced.net/2011/09/datensicherheit-2-%E2%80%93-verschlusseltes-system-reloaded entwickelt habe ist ziemlich flexibel geworden. Der USB-Schlüssel lässt sich auch "nachträglich" anstecken. Wenn das System nach dem Passwort frägt, einfach den Key anstecken und Return drücken. Man bekommt dann zwar die Fehlermeldung "falsches Passwort", aber in der zweiten Runde findet er den Key und lässt einen ohne Passwort rein. Ist der USB-Schlüssel beschädigt und kann das System nicht mehr aufschließen, kann man ihn durch einen anderen ersetzen und mit diesem weitermachen, oder aber den USB-Schlüssel abziehen und stattdessen mit Passwort weitermachen. Da beliebig viele USB-Schlüssel möglich sind kann man z.B. auch mehrere Rechner mit einem "Master"-USB-Schlüssel aufsperren (den man selbst am Leibe trägt), während andere USB-Schlüssel z.B. nur den Rechner im Kinderzimmer aufschließen.
Damit alle davon profitieren können, habe ich einen neuen WIKI Beitrag mit einer ausführlichen Anleitung erstellt. Die 1.Rohfassung habe ich eben fertiggestellt. Mein erster eigener WIKI Beitrag ☺ Ich hoffe es sind nicht all zu viele Fehler drin. Ciao, Franco
|
kaputtnik
Anmeldungsdatum: 31. Dezember 2007
Beiträge: 9245
|
Servus ☺ Ich selber kann nicht viel über das Thema des Artikels sagen, aber mir sind ein paar Sachen aufgefallen: Zum Thema:
Du verwendest die Gerätebezeichnungen dev/sdXY . Ich kann aus eigener Erfahrung sagen, das diese nicht eindeutig zu einem Gerät gehören. Beispiel: Bei zwei FP ist der Stick wahrscheinlich dev/sdc . Eine Platte weg, und der Stick ist dev/sdb . Hier bei mir wechseln bei zwei FP die Bezeichnungen nach jedem Bootvorgang. Einmal ist die eine Platte dev/sda mal ist es die andere. Es gibt bereits den Artikel System verschlüsseln/System-Entschlüsselung mit SD-Karte oder Passwort den man angeblich auch für USB-Sticks benutzen kann. Es gab mal den Artikel Festplatte_mit_USB-Stick_entschlüsseln, der auf einem Forumsbeitrag beruhte. Leider kann ich Diskussion dazu nicht wiederfinden.
Zur Syntax:
Aber bevor man sich an die Syntaxgeschichte macht, sollte sich mal jemand äußern, der sich mit dem Thema auskennt. Das soll jetzt nicht heißen, das Du Dich nicht auskennst, aber vier Augen sehen in der Regel mehr als zwei ☺ Bei diesem heiklen Thema sollte der Artikel mit "allen Wassern gewaschen" sein, bevor man ihn ins normale Wiki schiebt. Gruß kaputtnik
|
franco_bez
(Themenstarter)
Anmeldungsdatum: 1. Mai 2007
Beiträge: 688
|
kaputtnik schrieb: Servus ☺ Ich selber kann nicht viel über das Thema des Artikels sagen, aber mir sind ein paar Sachen aufgefallen: Zum Thema:
Du verwendest die Gerätebezeichnungen dev/sdXY . Ich kann aus eigener Erfahrung sagen, das diese nicht eindeutig zu einem Gerät gehören. Beispiel: Bei zwei FP ist der Stick wahrscheinlich dev/sdc . Eine Platte weg, und der Stick ist dev/sdb . Hier bei mir wechseln bei zwei FP die Bezeichnungen nach jedem Bootvorgang. Einmal ist die eine Platte dev/sda mal ist es die andere.
Deshalb mache ich ja das ganze "udev" Theater 😉 Die "fixen" Gerätenamen werden nur während der Installation benutzt; also nur dort wo ich die Warnungen "an die echten Verhältnisse anpassen" stehen habe Die beiden Artikel habe ich nicht gekannt, sind die irgendwie nicht verlinkt ? Einer der Artikel liegt im "Trash", heißt das der wird gelöscht ? Im Unterschied zu meiner Methode befinden sich bei den beiden zitierten die KeyFiles ganz offensichtlich auf dem Stick bzw. der SD-Karte. Bei meinem Verfahren wird kein offensichtliches KeyFile angelegt. Geht der Stick verloren kann ein Finder nicht wissen ob es ein Key ist oder nicht. Ich schau' mir die beiden Artikel noch etwas genauer an, vielleicht kann ich ein paar Ideen in mein Verfahren einbauen.
Zur Syntax:
Aber bevor man sich an die Syntaxgeschichte macht, sollte sich mal jemand äußern, der sich mit dem Thema auskennt. Das soll jetzt nicht heißen, das Du Dich nicht auskennst, aber vier Augen sehen in der Regel mehr als zwei ☺ Bei diesem heiklen Thema sollte der Artikel mit "allen Wassern gewaschen" sein, bevor man ihn ins normale Wiki schiebt.
Sehe ich auch so.
Gruß kaputtnik
Danke. Ciao, Franco
|
kaputtnik
Anmeldungsdatum: 31. Dezember 2007
Beiträge: 9245
|
franco_bez schrieb: Deshalb mache ich ja das ganze "udev" Theater 😉
Achso, na dann ☺
Einer der Artikel liegt im "Trash", heißt das der wird gelöscht ?
Der ist gelöscht 😉 Auch gelöschte Artikel können wieder reaktiviert werden. Wir schmeißen nichts wirklich weg, wir tun nur so 😀 Wenn das richtig in Erinnerung habe wurde an dem Artikel nicht weitergearbeitet. Wie gesagt, kann ich leider die Diskussion dazu nicht wieder finden...
Im Unterschied zu meiner Methode befinden sich bei den beiden zitierten die KeyFiles ganz offensichtlich auf dem Stick bzw. der SD-Karte. Bei meinem Verfahren wird kein offensichtliches KeyFile angelegt. Geht der Stick verloren kann ein Finder nicht wissen ob es ein Key ist oder nicht.
Das klingt prima ☺ Gruß kaputtnik
|
franco_bez
(Themenstarter)
Anmeldungsdatum: 1. Mai 2007
Beiträge: 688
|
kaputtnik schrieb: Zur Syntax:
Aber bevor man sich an die Syntaxgeschichte macht, sollte sich mal jemand äußern, der sich mit dem Thema auskennt. Das soll jetzt nicht heißen, das Du Dich nicht auskennst, aber vier Augen sehen in der Regel mehr als zwei ☺ Bei diesem heiklen Thema sollte der Artikel mit "allen Wassern gewaschen" sein, bevor man ihn ins normale Wiki schiebt.
Nachdem die Experten etwas auf sich warten lassen habe ich schon mal versucht die Syntax-Regeln anzuwenden.
|
aasche
Anmeldungsdatum: 30. Januar 2006
Beiträge: 14259
|
kaputtnik schrieb: Authentifizierung mit USB-Stick habe ich noch gefunden - passt zwar zum Thema, aber dieser Artikel hier hat durchaus etwas eigenes. franco_bez schrieb: Nachdem die Experten etwas auf sich warten lassen
Naja, das Thema ist ja auch nicht gerade das, was das grosse Publikum beschaeftigt... im Gegensatz zu WLAN-Problemen und proprietaeren Grafiktreibern ☺ Und die entsprechenden Vorbereitungen zum Testen sind nicht mal eben schnell erledigt. Aber bis Januar ist noch etwas Zeit...
|
franco_bez
(Themenstarter)
Anmeldungsdatum: 1. Mai 2007
Beiträge: 688
|
aasche schrieb: Authentifizierung mit USB-Stick habe ich noch gefunden - passt zwar zum Thema, aber dieser Artikel hier hat durchaus etwas eigenes.
Dieser Artikel beschäftigt sich mit dem Login am System, da muss die Platte natürlich schon entschlüsselt sein. Es ließe sich natürlich kombinieren: Mit dem selben USB-Stick könnte man dann die Platte entschlüsseln und sich später einloggen, ganz ohne Passwort oder sonst was. Ansonsten passt der eher zu dem anderen WIKI Beitrag der mir "zugelaufen" ist Baustelle/Fingerprint Dabei ist mir aufgefallen dass wir gar keinen Grundlagen Beitrag zum PAM System haben. franco_bez schrieb: Nachdem die Experten etwas auf sich warten lassen
Naja, das Thema ist ja auch nicht gerade das, was das grosse Publikum beschaeftigt... im Gegensatz zu WLAN-Problemen und proprietaeren Grafiktreibern ☺ Und die entsprechenden Vorbereitungen zum Testen sind nicht mal eben schnell erledigt. Aber bis Januar ist noch etwas Zeit...
Schon klar. Ist auch gar nicht schlecht, denn so viel übrige Zeit habe ich leider auch nicht.
|
aasche
Anmeldungsdatum: 30. Januar 2006
Beiträge: 14259
|
franco_bez schrieb: Dabei ist mir aufgefallen dass wir gar keinen Grundlagen Beitrag zum PAM System haben.
Richtig - steht schon seit Ewigkeiten als Wunsch auf Wiki/Ideen.
|
RvD
Anmeldungsdatum: 26. Mai 2006
Beiträge: 2870
|
Wow, das ist ja ein ganz schön umfangreicher Artikel geworden. ☺ Ich würde vorschlagen, dass ihr den Umfang mit Verweise auf LUKS/Schlüsseldatei reduziert und statt euch die Pfade per udev selbst zu bauen, einfach /dev/disk/by-id verwendet. Damit könntet ihr, soweit ich sehe, schon einige Teile an Skripten weglassen. Wenn ihr dann die Zerlegung der Schlüsseldatei (auch ein Gerät ist in Unix nur eine Datei ☺) in den Schlüssel über die /etc/crypttab Parameter keyscript= macht, müsst ihr keine Systemscripte ändern - das kann immer Probleme bei Upgrades geben. kaputtnik schrieb:
Ironischerweise zeigt auch der gelöschte Artikel gut, wie das funktioniert - und wenn dann die Ergebnisse in den bestehenden Artikel integriert werden, ist das sicher eine sehr elegante Lösung.
|
franco_bez
(Themenstarter)
Anmeldungsdatum: 1. Mai 2007
Beiträge: 688
|
RvD schrieb: Wow, das ist ja ein ganz schön umfangreicher Artikel geworden. ☺ Ich würde vorschlagen, dass ihr den Umfang mit Verweise auf LUKS/Schlüsseldatei reduziert
und statt euch die Pfade per udev selbst zu bauen, einfach /dev/disk/by-id verwendet.
Damit könntet ihr, soweit ich sehe, schon einige Teile an Skripten weglassen. Wenn ihr dann die Zerlegung der Schlüsseldatei (auch ein Gerät ist in Unix nur eine Datei ☺) in den Schlüssel über die /etc/crypttab Parameter keyscript= macht, müsst ihr keine Systemscripte ändern - das kann immer Probleme bei Upgrades geben.
Das steht auf meiner Wunschliste. Hauptsächlich da man dann, wie du richtig bemerkt hast, ein "keyscript=" in der crypttab verwenden kann.
Das mit der /dev/disk/by-id/ muss ich mir noch anschauen. Es scheint da ja auch eine id für das Raw-Device zu geben. Danke für den Tip. Ich finde die Idee udev zu benutzen um den Stick zu markieren eigentlich auch ganz gut. Die udev Regel war nicht ganz trivial auszuknobeln. Aber wenn's auch ohne geht, umso besser. kaputtnik schrieb:
Ironischerweise zeigt auch der gelöschte Artikel gut, wie das funktioniert - und wenn dann die Ergebnisse in den bestehenden Artikel integriert werden, ist das sicher eine sehr elegante Lösung.
Danke nochmal für die Tips. Nachdem ich jetzt eine Lösung habe die für mich einwandfrei funktioniert, und der potentielle Nutzerkreis doch wohl eher sehr klein ist, hat mich ein wenig die Motivation verlassen die, salopp gesagt, kosmetischen Änderungen einzubauen. Schließlich muss man zum testen das System häufig neu starten und die verschiedensten Fälle durchspielen. Das zieht sich eben zeitlich ziemlich hin, und wenn's "nur für mich" ist, dann ist da eben ein wenig die "Luft raus". Mal sehen was über die Feiertage so geht.
|
RvD
Anmeldungsdatum: 26. Mai 2006
Beiträge: 2870
|
franco_bez schrieb: Mal sehen was über die Feiertage so geht.
Das wäre sehr cool, wer weiß ob nicht noch andere Interesse an der Lösung haben - für Dich wird bei der eleganteren Lösung der Wartungsaufwand kleiner. ☺ Eine gute Idee ist es für Dich auf jeden Fall, wie in LUKS/Schlüsseldatei erwähnt, ein zusätzlich, manuelle Passswort hinzuzufügen... für den Fall der Fälle.
|
franco_bez
(Themenstarter)
Anmeldungsdatum: 1. Mai 2007
Beiträge: 688
|
RvD schrieb: franco_bez schrieb: Mal sehen was über die Feiertage so geht.
Das wäre sehr cool, wer weiß ob nicht noch andere Interesse an der Lösung haben - für Dich wird bei der eleganteren Lösung der Wartungsaufwand kleiner. ☺
Wie gesagt, mal sehen. Der Wartungsaufwand hält sich bei mir in Grenzen, ich habe zur Zeit nur eine einzige vollverschlüsselte Maschine. Da könnte ich locker warten bis der Upgrade auf Precise ansteht. Eine gute Idee ist es für Dich auf jeden Fall, wie in LUKS/Schlüsseldatei erwähnt, ein zusätzlich, manuelle Passswort hinzuzufügen... für den Fall der Fälle.
Die Entschlüsselung mit USB Stick habe ich nachträglich meinem System hinzugefügt; d.h. das "manuelle" Passwort war vorher schon gesetzt und ich habe es auch nicht entfernt. Der Stick ist also nur ein Zweitschlüssel. Das sollte ich in der Anleitung auf alle Fälle noch betonen, bisher kann man es wohl noch übersehen.
|
franco_bez
(Themenstarter)
Anmeldungsdatum: 1. Mai 2007
Beiträge: 688
|
So, nun hat es doch nicht solange gedauert, nur zwei "Nachtschichten". Das System ist nun umgestellt auf die Verwendung von /dev/disk/by-id und eines keyscripts in der crypttab. udev code wurde entfernt Das Überladen der cryptroot wird nicht mehr benötigt. Der Anhang mit dem tar.gz wurde angepasst. Der andere Anhang, der mit dem diff, wird nicht mehr gebraucht. Ich bin aber "zu dumm" diesen zu löschen. Ein netter Nebeneffekt der Umstellung ist dass man jetzt auch SD-Karten als Schlüssel verwenden kann ☺ Ciao,
Franco
|
aasche
Anmeldungsdatum: 30. Januar 2006
Beiträge: 14259
|
franco_bez schrieb: Der andere Anhang, der mit dem diff, wird nicht mehr gebraucht. Ich bin aber "zu dumm" diesen zu löschen.
Nein, daran liegt es nicht ☺ Anhaenge koennen nicht mit "normalen" Benutzerrechten entfernt werden - erledigt.
|
franco_bez
(Themenstarter)
Anmeldungsdatum: 1. Mai 2007
Beiträge: 688
|
Wie ich schon vermutet habe ist der potentielle Nutzerkreis wohl eher sehr klein. Gibt es noch Anregungen oder Kritik ? Wiki Syntax und Style OK ? Ansonsten wäre ich mit der Anleitung eigentlich fertig. Ciao, Franco
|