Happy_Penguin
Anmeldungsdatum: 23. Januar 2011
Beiträge: 583
|
Hallo allerseits, ich plane weiter die Komplettverschlüsselung meines Systems (System verschlüsseln/Schlüsselableitung) und wühle mich durch die relevanten Wiki-Seiten. Sofern ich es richtig verstanden habe gibt es für LUKS-verschlüsselte Partitionen zwei Möglichkeiten, diese "möglichst bequem", d.h. mit Eingabe möglichst weniger Paßwörter, einzubinden:
Leider ist mir (noch - ich hoffe auf Euch 😉) nicht klar, welche Vor- und Nachteile die jeweilige Methode hat. (Außer, daß ich bei Schlüsselableitung den header der "Primärpartition" hegen, pflegen und sichern sollte, weil bei Beschädigung auch die anderen Partitionen nicht mehr entschlüsselt werden können.) Eure Meinungen und Erfahrungen würden mir bei der Entscheidung helfen. Vielen Dank im voraus ! ☺
|
uname
Anmeldungsdatum: 28. März 2007
Beiträge: 6030
Wohnort: 127.0.0.1
|
Ich denke die einfachste Methode ist die bei der Installation von Ubuntu mit LUKS-LVM. Ich denke die hast du aus irgendeinem Grund verworfen. Persönlich würde ich neu installieren, um die Anfwand zu minieren. Pass auf, dass du ein nicht verschlüsseltes Backup im Tresor behälst bzw. eine alternative und vielleicht einfachere Verschlüsselung wie z.B. http://packages.ubuntu.com/lucid/aespipe zusätzlich nutzt. Eine 1:1-Kopie von verschlüsselten Images ist gefährlich 😉 Gar kein Backup ist bei Verschlüsselung tödlich. Ein Bitfehler kann alle Daten zerstören. Verschlüsselung mit AESPIPE
| cat backup.tar | aespipe > backup.tar.aes
|
Entschlüsselung mit AESPIPE
| cat backup.tar.aes | aespipe -d > backup.tar
|
Das mindestens 20 Zeichen lange Passwort musst du natürlich gut aufbewahren 😉 Die loop-Funktion ist übrigens auch ganz nett. Damit kann man dann z.B. verschlüsselte Linux-Live-CDs erstellen, wer es braucht. Für IT-Profis etwas kürzer
| <b.tar >b.tar.aes aespipe
<b.tar.aes >b.tar aespipe -d
|
|
PomTom
Anmeldungsdatum: 13. November 2009
Beiträge: 158
Wohnort: Hinter den sieben Bergen, bei den sieben Zwergen
|
Was spricht dagegen, die Dateisysteme der LUKS-Partitionen, also typischerweise /home , /var und swap beim Booten zu entschlüsseln? Das wäre das Default-Verhalten, ohne dass hierfür gesonderte Konfigurationsverrenkungen notwendig wären.
|
uname
Anmeldungsdatum: 28. März 2007
Beiträge: 6030
Wohnort: 127.0.0.1
|
Genau das meinte ich mit dem Standardverhalten bei der Installation.
|
Happy_Penguin
(Themenstarter)
Anmeldungsdatum: 23. Januar 2011
Beiträge: 583
|
Hallo uname und PomTom, erstmal danke für Eure Antworten. ☺ uname schrieb: Ich denke die einfachste Methode ist die bei der Installation von Ubuntu mit LUKS-LVM. Ich denke die hast du aus irgendeinem Grund verworfen.
Die zusätzliche "LVM-Schicht" wollte ich mir gerne ersparen. Laut System verschlüsseln: LVM ist eine Speziallösung, die in erster Linie für Server sowie Desktops mit mehr als einer Festplatte interessant sind. Für Desktops mit nur einer Festplatte oder Notebooks sollte die normale Partitionierungsmethode verwendet werden!
Ich arbeite auf einem notebook mit nur einer Platte bzw. einem desktop, dessen zweite Platte nur zum backup dient (wird dann ebenfalls verschlüsselt). Zusätzlich war mein Eindruck, daß die ggf. mal notwendige Einbindung der verschlüsselten Partitionen unter Windows mit dem "FreeOTFE Explorer" (ohne daß admin-Rechte benötigt werden ☺) mit LVM schwierig(er) werden könnte.
Persönlich würde ich neu installieren, um die Anfwand zu minieren.
Werde ich auch.
Eine 1:1-Kopie von verschlüsselten Images ist gefährlich 😉 Gar kein Backup ist bei Verschlüsselung tödlich. Ein Bitfehler kann alle Daten zerstören.
Meine Vorstellung ist, auf der internen oder einer externen backup-Platte eine passende separate LUKS-verschlüsselte Partition vorzuhalten, die ich einbinden und synchronisieren kann. PomTom schrieb: Was spricht dagegen, die Dateisysteme der LUKS-Partitionen, also typischerweise /home , /var und swap beim Booten zu entschlüsseln?
Gar nichts, genau das möchte ich ja erreichen. Allerdings eben ohne LVM und der Möglichkeit, mit dem "FreeOTFE Explorer" unter Windows zugreifen zu können. Und da hatte ich das Wiki so verstanden, daß es genau die beiden Möglichkeiten mit Schlüsselableitung und pam-mount gibt. Ich lasse mich aber auch gerne von den Vorzügen der LVM-Variante überzeugen ... 😉
|
PomTom
Anmeldungsdatum: 13. November 2009
Beiträge: 158
Wohnort: Hinter den sieben Bergen, bei den sieben Zwergen
|
LUKS benötigt übrigens kein LVM. Du musst lediglich eine Partition anlegen, diese mit cryptsetup verschlüsseln, sie öffnen, und anschliessend auf dem neuen Blockdevice unterhalb von /dev/mapper ein Dateisystem anlegen, das du mounten, und mit dem du arbeiten kannst.
|
Happy_Penguin
(Themenstarter)
Anmeldungsdatum: 23. Januar 2011
Beiträge: 583
|
PomTom schrieb: LUKS benötigt übrigens kein LVM. Du musst lediglich eine Partition anlegen, diese mit cryptsetup verschlüsseln, sie öffnen, und anschliessend auf dem neuen Blockdevice unterhalb von /dev/mapper ein Dateisystem anlegen, das du mounten, und mit dem du arbeiten kannst.
Wenn ich System verschlüsseln/Schlüsselableitung richtig verstanden habe, ist das genau das dort beschriebene Verfahren. Zusätzlich wird dort gezeigt, wie die Swap-Partition mit einem von der Root-Partition abgeleiteten Schlüssel erstellt und eingebunden wird. Das sollte dann ja für eine eigene /home-Partition auch funktionieren, hoffe ich. Wobei im Artikel auch steht: Sollte mehr als eine Partition für Ubuntu verwendet werden (z.B. eine separate Home-Partition), ein zusätzliches Betriebssystem auf der Festplatte bereits installiert sein oder nachträglich installiert werden, ist die Variante auf Basis von LVM, die unter System verschlüsseln ausführlich beschrieben wird, vorzuziehen.
Gemein also, denn ich will einen desktop/notebook mit nur einer Platte (Wiki-Empfehlung: ohne LVM) mit mindestens einer separaten /home-Partition (Wiki-Empfehlung: LVM) verschlüsseln - habe somit die Qual der Wahl, welcher Empfehlung ich folge. 😉
|
uname
Anmeldungsdatum: 28. März 2007
Beiträge: 6030
Wohnort: 127.0.0.1
|
Abschließende Idee: Ich würde neu installieren, den Platz für den Backup-Platz erst mal freilassen und den Rest per LUKS-LVM verschlüsseln lassen. Wenn das fertig ist würde ich für die Backup-Partition vielleicht einfaches "cryptsetup" nutzen. Einrichtung weiß ich nicht mehr, war ungefähr so unter Debian Etch oder Lenny: | cryptsetup -c aes-cbc-essiv:sha256 -y -s 256 luksFormat /dev/sdaX
|
Ein- und Aushängen ungefähr so:
| cryptsetup luksOpen /dev/sdaX crypt
mount /dev/mapper/crypt /mnt
umount /mnt
cryptsetup luksClose crypt
|
|
PomTom
Anmeldungsdatum: 13. November 2009
Beiträge: 158
Wohnort: Hinter den sieben Bergen, bei den sieben Zwergen
|
uname schrieb:
Ein- und Aushängen ungefähr so:
| cryptsetup luksOpen /dev/sdaX crypt
mount /dev/mapper/crypt /mnt
umount /mnt
cryptsetup luksClose crypt
|
Nach dem ersten cryptsetup brauchts noch ein mkfs.ext3 /dev/mapper/crypt (bzw. welches Dateisystem auch immer)
|
uname
Anmeldungsdatum: 28. März 2007
Beiträge: 6030
Wohnort: 127.0.0.1
|
|
Red_Radish
Anmeldungsdatum: 7. September 2007
Beiträge: 770
|
Happy Penguin schrieb:
Ich arbeite auf einem notebook mit nur einer Platte bzw. einem desktop, dessen zweite Platte nur zum backup dient (wird dann ebenfalls verschlüsselt). Zusätzlich war mein Eindruck, daß die ggf. mal notwendige Einbindung der verschlüsselten Partitionen unter Windows mit dem "FreeOTFE Explorer" (ohne daß admin-Rechte benötigt werden ☺) mit LVM schwierig(er) werden könnte.
Das funktioniert leider (noch?) nicht, zumindest laut http://www.freeotfe.org/main_explorer_differences.html Der "FreeOTFE Explorer" funktioniert nur mit Container-Dateien (nicht Partitionen) und diese müssen intern auch noch vfat nutzen. Deine Linux-Partitionen kannst du unter Windows also nur mit dem "normalen" FreeOTFE-Programm öffnen (und zudem musst du natürlich die entsprechenden Dateisystem-Treiber für ext2 installieren)
Gar nichts, genau das möchte ich ja erreichen. Allerdings eben ohne LVM und der Möglichkeit, mit dem "FreeOTFE Explorer" unter Windows zugreifen zu können. Und da hatte ich das Wiki so verstanden, daß es genau die beiden Möglichkeiten mit Schlüsselableitung und pam-mount gibt.
Ja, funktioniert beides. Allerdings müsstest du bei Schlüsselableitung ein zweites (eintippbares) Passwort für die Partitionen setzen. Ich glaube nicht, dass Freeotfe Schlüsselableitung unterstützt. Das ist einfach nicht verbreitet genug (debian spezifische Erweiterung zu cryptsetup)
Ich lasse mich aber auch gerne von den Vorzügen der LVM-Variante überzeugen ... 😉
Ihmo spricht - außer der einfacheren Installtion mit der Ubunutu-CD - wenig für diese Variante. Otto-Normal-Nutzer brauchen kein LVM. Und der einfache Zugriff unter Windows ist in der Tat ein gutes Argument dagegen.
|
Happy_Penguin
(Themenstarter)
Anmeldungsdatum: 23. Januar 2011
Beiträge: 583
|
Red Radish schrieb: Der "FreeOTFE Explorer" funktioniert nur mit Container-Dateien (nicht Partitionen) und diese müssen intern auch noch vfat nutzen.
Danke für den Hinweis - dieses "kleine Detail" hatte ich glatt übersehen. Schade.
Deine Linux-Partitionen kannst du unter Windows also nur mit dem "normalen" FreeOTFE-Programm öffnen (und zudem musst du natürlich die entsprechenden Dateisystem-Treiber für ext2 installieren)
Immerhin. ☺
Ja, funktioniert beides. Allerdings müsstest du bei Schlüsselableitung ein zweites (eintippbares) Passwort für die Partitionen setzen.
Das spräche dann für die (faulere 😉) pam-mount-Variante. In einem multiuser-System würde ich dann einen der verbliebenen keyslots mit dem login-Paßwort des zweiten Nutzers füllen, und schon müßte es für den auch funktionieren - richtig ? Heißt aber auch (max. 8 keyslots), daß mehr als acht Nutzer mit gleicher verschlüsselter Partition nicht möglich sind. Aktuell kein Problem, aber schadet auch nicht, es zu wissen ... dann binden die ersten acht Partition #1 als /home ein, die nächsten Partition #2 ...
Ich glaube nicht, dass Freeotfe Schlüsselableitung unterstützt.
Ich habe jedenfalls auch noch nirgendwo gelesen, daß es das täte ...
Ihmo spricht - außer der einfacheren Installtion mit der Ubunutu-CD - wenig für diese Variante. Otto-Normal-Nutzer brauchen kein LVM. Und der einfache Zugriff unter Windows ist in der Tat ein gutes Argument dagegen.
Das wäre somit (D)eine Stimme für die Kombination "kein LVM / pam". Danke !
☺
|
PomTom
Anmeldungsdatum: 13. November 2009
Beiträge: 158
Wohnort: Hinter den sieben Bergen, bei den sieben Zwergen
|
Wenn du noch von Windows aus auf ein verschlüsseltes Dateisystem zugreifen willst, wäre vermutlich nicht LUKS, sondern Truecrypt die schmerzfreiere Wahl.
|
Happy_Penguin
(Themenstarter)
Anmeldungsdatum: 23. Januar 2011
Beiträge: 583
|
PomTom schrieb: Wenn du noch von Windows aus auf ein verschlüsseltes Dateisystem zugreifen willst, wäre vermutlich nicht LUKS, sondern Truecrypt die schmerzfreiere Wahl.
Momentan verwende ich einen TC-Container für sensible Daten. Davon möchte ich aber weg, da mehr Sicherheit (swap etc.) mit LUKS möglich ist. Zugriff aus Windows brauche ich zunehmend weniger - bye, bye, Bill ... 😉
|
frostschutz
Anmeldungsdatum: 18. November 2010
Beiträge: 7651
|
Happy Penguin schrieb:
Ich nutze Komplettverschlüsselung (LUKS = ganze Festplatte) und Boot von USB Stick. Entschlüsselt wird im Initramfs, da muss ich beim Booten dann ein Passwort eingeben. Partitionen laufen dann mit LVM. Letztendlich kannst du das machen wie du willst, Hauptsache am Ende ist verschlüsselt ☺ der einzige Grund warum ich meine eigene selbstgestrickte Lösung fahre, ist weil ich genau wissen will, wie das funktioniert und wie ich im Ernstfall auch von einer xbeliebigen Live-CD aus an die Daten herankomme. Bei der Schlüsselableitung bzw. pam-mount bzw. was auch immer der Installer da für mich einrichtet, wäre mir das so ohne weiteres nicht so genau klar.
LVM ist eine Speziallösung
Nein, es ist die Standardlösung. Viele Linux-Installer machen heutzutage auch direkt LVM. Traditionelle Partitionen braucht man eigentlich nur noch für Windows...
Wenn du Partitionen auf LUKS (und nicht andersrum) brauchst hast du auch gar keine andere (sinnvolle) Wahl, als LVM zu benutzen.
(Außer, daß ich bei Schlüsselableitung den header der "Primärpartition" hegen, pflegen und sichern sollte, weil bei Beschädigung auch die anderen Partitionen nicht mehr entschlüsselt werden können.)
Für solche Fälle hat man Backups - die brauchst du ja sowieso da die Festplatte selbst ja auch komplett hopps gehen kann. Header sichern ist so eine Sache - wenn es eine Kopie des Headers gibt, verlierst du die Möglichkeit, alte Keys für ungültig zu erklären, da der Key in der Kopie ja noch gültig ist.
|