BlackJack
Anmeldungsdatum: 19. Februar 2006
Beiträge: 595
|
Ich habe in meinem Laptop eine SSD mit 40GB und eine HDD mit 320GB. Bisher habe ich auf der SSD die Partitionen "Swap" und "/" angelegt und auf der HDD mein "/home". Anschließend habe ich in der Installationsroutine von Ubuntu ausgewählt, dass das Home-Verzeichnis verschlüselt werden soll. Damit habe ich mich soweit "sicher gefühlt" und nicht weiter drüber nachgedacht. Nun habe ich gelesen, dass eine solche Teilverschlüsselung nur bedingt sicher ist, weil bspw. Daten unverschlüsselt in Swap ausgelagert werden können. Aus diesem Grund habe ich mir heute mal im Wiki die Artikel zur Verschlüsselung - insbesondere auch von SSDs - durch gelesen. Wenn ich das richtig verstehe, dann sollte ich mein System am besten komplett verschlüsseln und TRIM aktivieren. Meine Fragen:
Lohnt sich der Aufwand überhaupt oder ist die in der Installationsroutine angebotene Verschlüsselung des Home-Verzeichnisses ausreichend? Sofern ich doch komplett verschlüssle, ist die Variante der Komplettverschlüsselung mittels LVM und LUKS sowie aktiviertem TRIM die sinnvollste Methode? Habt ihr einen Teil der SSD frei gelassen (ich könnte ohne Probleme auf der SSD 10 GB frei lassen, weil ich nicht so viel Software installiere, dass der Platz wirklich genutzt wird)?
Sofern ihr dazu was sagen könntet, würde ich mich auch freuen: Ich erwäge - wenn ich ohnehin schon neu verschlüssle und installiere - einen Wechsel zu Linux Mint, weil mir Unity auch nach längerer Zeit nicht besonders zusagt. Sollte ich diesbzgl. irgendwas weiteres beachten. (Ich will das "normale" Mint verwenden, welches also auf Ubuntu basiert).
|
stfischr
Anmeldungsdatum: 1. März 2007
Beiträge: 19197
|
Hi. BlackJack schrieb: Einige Nachteile kennst du ja schon, wie viel Sicherheit du brauchst kannst nur du selbst abwiegen. Wahrscheinlich. Was ist das denn für ne SSD eine mit Sandforce-Controller? Wenn du trim nutzt wäre es sinnlos extra noch einen Teil unpartitioniert zu lassen. Lass einfach die Partition nicht voll laufen, dann hast du den gleichen Effekt. Sofern ihr dazu was sagen könntet, würde ich mich auch freuen: Ich erwäge - wenn ich ohnehin schon neu verschlüssle und installiere - einen Wechsel zu Linux Mint, weil mir Unity auch nach längerer Zeit nicht besonders zusagt. Sollte ich diesbzgl. irgendwas weiteres beachten. (Ich will das "normale" Mint verwenden, welches also auf Ubuntu basiert).
Solltest du im Mintforum nachfragen.
|
BlackJack
(Themenstarter)
Anmeldungsdatum: 19. Februar 2006
Beiträge: 595
|
Danke für die Antwort! stfischr schrieb: BlackJack schrieb: Wahrscheinlich. Was ist das denn für ne SSD eine mit Sandforce-Controller?
Kann ich das irgendwie herausfinden, ohne die Hardware zu kennen?
|
stfischr
Anmeldungsdatum: 1. März 2007
Beiträge: 19197
|
|
Aaron_Pierce
Anmeldungsdatum: 9. Juni 2011
Beiträge: 337
|
Ein paar Anmerkungen: 40GB ist eine komische Größe für eine Festplatte. Versuch mal herauszufinden, ob deine SSD nicht automatisch schon Speicher frei lässt, den sie dir nicht anzeigt. Ich habe zum Beispiel eine 120GB SSD, die eigentlich 128GB hat. Solltest du dich für Linux Mint entscheiden, dann müsstest du aus dem Live-System heraus das Installationsprogramm ubiquity installieren, so wie hier beschrieben:
http://www.linuxmintusers.de/index.php?topic=9906.msg90766#msg90766
Ich empfehle die Installation von DVD, da ich mit der Installation von Linux Mint 14 (14.0+14.1) von einem USB-Stick große Probleme hatte. Du hast zwar nicht danach gefragt, 😉 aber ich persönlich finde Xubuntu mittlerweile viel besser als Linux Mint. Außerdem würde ich (bei deiner Festplattenkonfiguration) überlegen, alles (/, /home, swap) auf die SSD zu installieren und vollzuverschlüsseln. Dateien (bzw. große Dateien) könnten dann unvollschlüsselt (oder verschlüsselt, z.B. mit TrueCrypt) auf die HDD.
|
BlackJack
(Themenstarter)
Anmeldungsdatum: 19. Februar 2006
Beiträge: 595
|
Zum Sandforce-Controller: "hdparm -i /dev/sda" liefert /dev/sdb:
Model=INTEL SSDMAEMC040G2, FwRev=2CV102M3, SerialNo=CVSC1066002W040C
Config={ Fixed }
RawCHS=16383/16/63, TrkSize=0, SectSize=0, ECCbytes=0
BuffType=unknown, BuffSize=unknown, MaxMultSect=16, MultSect=1
CurCHS=16383/16/63, CurSects=16514064, LBA=yes, LBAsects=78165360
IORDY=on/off, tPIO={min:120,w/IORDY:120}, tDMA={min:120,rec:120}
PIO modes: pio0 pio3 pio4
DMA modes: mdma0 mdma1 mdma2
UDMA modes: udma0 udma1 udma2 udma3 udma4 udma5 *udma6
AdvancedPM=no WriteCache=enabled
Drive conforms to: ATA/ATAPI-7 T13 1532D revision 1: ATA/ATAPI-2,3,4,5,6,7
* signifies the current active mode
Von Sandforce steht da nichts. Auch eine Google-Suche mit dem Modellnamen scheint diesbzgl. nichts zu zeigen. Ich gehe also davon aus, keinen solchen Controller zu haben. Aaron Pierce schrieb: Ein paar Anmerkungen: 40GB ist eine komische Größe für eine Festplatte. Versuch mal herauszufinden, ob deine SSD nicht automatisch schon Speicher frei lässt, den sie dir nicht anzeigt. Ich habe zum Beispiel eine 120GB SSD, die eigentlich 128GB hat.
Wie finde ich das heraus? "df -h" sagt unter anderem:
Filesystem Size Used Avail Use% Mounted on
/dev/sdb2 28G 4.4G 22G 17% /
Allerdings liegt auf der SSD auch noch eine Swap-Partition die hier ja nicht betrachtet wird.
Solltest du dich für Linux Mint entscheiden, dann müsstest du aus dem Live-System heraus das Installationsprogramm ubiquity installieren, so wie hier beschrieben:
http://www.linuxmintusers.de/index.php?topic=9906.msg90766#msg90766
Ich empfehle die Installation von DVD, da ich mit der Installation von Linux Mint 14 (14.0+14.1) von einem USB-Stick große Probleme hatte. Du hast zwar nicht danach gefragt, 😉 aber ich persönlich finde Xubuntu mittlerweile viel besser als Linux Mint.
Diesbzgl. hab ich die letzten Tage ein wenig im Netz gelesen. Zunächst wollte ich mal wieder Arch installieren. Aber mit dem Alter wird man dann doch faul und Zeit hab ich auch nicht mehr so viel wie früher. 😉 Ich denke mittlerweile, dass ich entweder Lubuntu nehme oder mal Debian Testing ausprobiere. Wollte eigtlich mal wieder ein wenig schrauben, um etwas dazu zu lernen. Aber das geht mit Debian ja eigentlich auch.
Außerdem würde ich (bei deiner Festplattenkonfiguration) überlegen, alles (/, /home, swap) auf die SSD zu installieren und vollzuverschlüsseln. Dateien (bzw. große Dateien) könnten dann unvollschlüsselt (oder verschlüsselt, z.B. mit TrueCrypt) auf die HDD.
Verstehe ich das falsch, oder sind dann die Dateien in /home unverschlüsselt (sofern ich kein TrueCrypt verwende)? Mir geht es eigentlich gerade darum, mein System voll zu verschlüsseln. Bisher habe ich die ecryptfs-Variante benutzt, die im Installer angeboten wird. Allerdings ist da ja "nur" /home verschlüsselt. Was wäre denn der Vorteil von deiner vorgeschlagenen Lösung?
|
stfischr
Anmeldungsdatum: 1. März 2007
Beiträge: 19197
|
BlackJack schrieb: Ich gehe also davon aus, keinen solchen Controller zu haben.
Denke ich auch Intel hat glaube nie Sandforce verbaut, also alles klar zur Verschlüsselung! Aaron Pierce schrieb: 40GB ist eine komische Größe für eine Festplatte. Versuch mal herauszufinden, ob deine SSD nicht automatisch schon Speicher frei lässt, den sie dir nicht anzeigt. Ich habe zum Beispiel eine 120GB SSD, die eigentlich 128GB hat.
Bei Intel sind die Größen üblich. 30 40 80 90 120 Ich würde schon alles komplett verschlüsseln. Außerdem alles auf die SSD auch /home. Macht die Installation deutlich einfacher. Die Festplatte kannst du dann nachträglich einpflegen z.B. unter /mnt/Daten mounten, darauf dann Ordner erstellen (Musik Videos Bilder ...) und diese per bind auf die entsprechenden Ordner im /home mounten. Für die Festplatte müsstest du noch Schlüsselableitung oder sowas ähnliches einrichten, damit du nicht 2 Passwörter beim Start eingeben musst.
|
Aaron_Pierce
Anmeldungsdatum: 9. Juni 2011
Beiträge: 337
|
stfischr schrieb: Bei Intel sind die Größen üblich. 30 40 80 90 120
Ok! Wusste ich nicht. BlackJack schrieb: Verstehe ich das falsch, oder sind dann die Dateien in /home unverschlüsselt (sofern ich kein TrueCrypt verwende)?
...
Was wäre denn der Vorteil von deiner vorgeschlagenen Lösung?
Wenn du die gesamte Installation (voll)verschlüsselst, dann ist auch alles in /home verschlüsselt. Der Vorteil ist, wie stfischr auch erwähnte, dass die Installation ganz einfach ist. Du musst im Installationsprozeß nur einen Hacken setzen und ein Verschlüsselungspasswort eingeben. Mein Vorschlag ist, große Dateien entweder in TrueCrypt-Containern oder anders verschlüsselt (so wie es stfischr vorschlägt) auf der HDD zu lagern. Damit, ob und wie man die HDD gleich mitverschlüsseln und dann automatisch einhängen kann, kenne ich mich leider nicht aus.
|
BlackJack
(Themenstarter)
Anmeldungsdatum: 19. Februar 2006
Beiträge: 595
|
Nachdem ich das Problem ein wenig auf die lange Bank geschoben habe, möchte ich es nun doch noch einmal angehen. Als Verschlüsselungsmethode habe ich mich nach einiger Recherche für LUKS/dm-crypt entschieden, weil ich so flexibel bleibe, wenn ich mal eine andere Distribution ausprobieren und "in" dieselben Partitionen installieren möchte. (Ich weiß, dass die meisten Distris alle möglichen Verschlüsselungsmethoden anbieten aber LUKS/dm-crypt macht den Anschein, dass es sich am unkompliziertesten einrichten lässt.) Mein System ist bisher folgendermaßen partitioniert (nur mit der ecryptfs-Verschlüsselung, die im Ubuntu-Installer angeboten verschlüsselt) :
Ich möchte nun erreichen, dass mein /home auf der HDD und der ganze Rest auf der SSD liegt. Wenn ich das richtig sehe, muss ich jetzt die SSD in zwei "echte" Partitionen aufteilen und eine davon später als unverschlüsseltes /boot mounten. Die zweite Partition der SSD samt der Festplatte wollte ich dann in einen LVM-Verbund packen. Dieses wollte ich dann mittels LUKS/dm-crypt verschlüsseln und die logischen Volumes / (root-Verzeichnis), /home und swap erstellen. Ist das eine sinnvolle Methode? Sehe ich das richtig, dass ein LVM-Verbund sich auch über mehrere physikalische Speichergeräte (SSD und HDD) erstrecken kann? Wie stelle ich sicher, dass swap und / physikalisch auf der SSD landen und /home physikalisch auf der HDD erstellt wird?
|
stfischr
Anmeldungsdatum: 1. März 2007
Beiträge: 19197
|
BlackJack schrieb: Sehe ich das richtig, dass ein LVM-Verbund sich auch über mehrere physikalische Speichergeräte (SSD und HDD) erstrecken kann?
Würde ich aber vermeiden, da du ja steuern willst, welche Daten auf der SSD und welche auf der HDD liegen. Ich würde dir Empfehlen ne ganz normale Installation mit Häkchen bei LVM und Verschlüsselung anzulegen (auf der SSD), dann Erstellst du nach der Installation ein Cryptcontainer auf der HDD und kannst diesen über Nautilus öffnen und das Passwort im Schlüsselring ablegen. Oder über Schlüsselableitung und fstab direkt beim Start einbinden. /home wäre dann auf der SSD (firefox und co profitieren davon sehr) und nur die reinen Daten auf der HDD.
|
BlackJack
(Themenstarter)
Anmeldungsdatum: 19. Februar 2006
Beiträge: 595
|
Ja, das klingt nach der besten Lösung. Ich könnte dann in meinem Home-Verzeichnis automatisch per fstab ein Verzeichnis "Daten" einbinden, welches dann die eigentlichen Daten enthält. Welchen Vorteil - abgesehen von der Möglichkeit der nachträglichen Änderung der Partitionsgrößen - hat dann aber das LVM auf der SSD? Ich könnte doch auch auf der SSD einfach "normale" Partitionen (/boot, / und swap) einrichten und alle bis auf /boot verschlüsseln. Mittels Schlüsselableitung müsste ich auch nur einen Schlüssel beim Start eingeben, oder? (Wenn ich LVM nicht brauche, würde ich es weglassen, um so die Komplexität ein wenig zu verringern.) Außerdem frage ich mich, wie dann ein Backup abläuft. Bisher sichere ich mein Home-Verzeichnis mittels rsync auf eine mit encfs verschlüsselte externe Platte. Dabei schließe ich .* aus und mache davon gezielte Ausnahmen. Dabei handelt es sich einerseits um Konfigurationsdateien, die sich selten ändern (bspw. abcde.conf) aber ich sichere bspw. auch die sich ständig ändernde .zsh_history. Diese Dateien lägen in Zukunft dann außerhalb des Verzeichnisses "Daten". Sollte ich sie lieber in einen Unterordner von "Daten" legen und mittels Symlink ins Home-Verzeichnis verlinken? Oder gibt es eine weniger umständliche Methode? (Ich könnte bspw. auch das Verzeichnis "Daten" und zusätzlich die relevanten "Dotfiles" mittels rsync sichern.)
|
stfischr
Anmeldungsdatum: 1. März 2007
Beiträge: 19197
|
BlackJack schrieb: Ich könnte doch auch auf der SSD einfach "normale" Partitionen (/boot, / und swap) einrichten und alle bis auf /boot verschlüsseln. Mittels Schlüsselableitung müsste ich auch nur einen Schlüssel beim Start eingeben, oder?
Ja dann musst du aber alles selber machen, mit LVM macht dir der Installer das alles automatisch. Außerdem frage ich mich, wie dann ein Backup abläuft. Bisher sichere ich mein Home-Verzeichnis mittels rsync auf eine mit encfs verschlüsselte externe Platte. Dabei schließe ich .* aus und mache davon gezielte Ausnahmen. Dabei handelt es sich einerseits um Konfigurationsdateien, die sich selten ändern (bspw. abcde.conf) aber ich sichere bspw. auch die sich ständig ändernde .zsh_history. Diese Dateien lägen in Zukunft dann außerhalb des Verzeichnisses "Daten".
Wenn du doch Daten unter /home/USER/Daten mountest, kannst du dein rsync-Script unverändert weiter benutzen oder? Ich würde natürlich die Backupplatte mit LUKS verschlüsseln, aber das musst du selber einschätzen wie Sicher das sein soll.
|
BlackJack
(Themenstarter)
Anmeldungsdatum: 19. Februar 2006
Beiträge: 595
|
stfischr schrieb: Wenn du doch Daten unter /home/USER/Daten mountest, kannst du dein rsync-Script unverändert weiter benutzen oder?
Der zukünftige Ordner "Daten" würde mehr oder minder mein jetziges Home-Verzeichnis beinhalten (der Name "Daten" ist da evtl. etwas irreführend). Die Dotfiles müssen ja aber im Home-Verzeichnis selbst liegen. Ich habe mich mittlerweile aber dazu entschieden, diesen Ordner ("Daten") eher als Archiv zu sehen und nur "fertige" Dateien dort zu speichern. Mein Backup-Skript werde ich anpassen und einfach den Ordner und zusätzlich noch Dateien aus dem Home-Verzeichnis sichern (so wie in meinem letzten Post am Ende beschrieben).
Ich würde natürlich die Backupplatte mit LUKS verschlüsseln, aber das musst du selber einschätzen wie Sicher das sein soll.
Welchen Vorteil bringt das im Vergleich zu meiner bisherigen Lösung? Ist LUKS sicherer? Eine Frage noch zu TRIM und der SSD: Dass TRIM nicht für 100% Sicherheit bei einer verschlüsselten SSD bringt, habe ich gelesen. Trotzdem habe ich mich dafür entschieden. Wie läuft das bei einem LUKS-Verschlüsselten Device samt LVM ab? Kann ich wie gewohnt in der /etc/fstab bei den betroffenen Partitionen (bei der neuen Aufteilung dann wohl /boot und /) "discard" und "noatime" eintragen oder läuft das in diesem Fall anders ab?
|
stfischr
Anmeldungsdatum: 1. März 2007
Beiträge: 19197
|
BlackJack schrieb: Welchen Vorteil bringt das im Vergleich zu meiner bisherigen Lösung? Ist LUKS sicherer?
Man sieht keine Dateisystemstruktur. Bei ecryptfs sind ja die Dateien an sich alle zu sehen, mit Erstellungsdatum, Größe, ...
Eine Frage noch zu TRIM und der SSD: Dass TRIM nicht für 100% Sicherheit bei einer verschlüsselten SSD bringt, habe ich gelesen. Trotzdem habe ich mich dafür entschieden. Wie läuft das bei einem LUKS-Verschlüsselten Device samt LVM ab? Kann ich wie gewohnt in der /etc/fstab bei den betroffenen Partitionen (bei der neuen Aufteilung dann wohl /boot und /) "discard" und "noatime" eintragen oder läuft das in diesem Fall anders ab?
Uff, man musste glaube ich noch an einer anderen Stelle (bei LUKS?) einen Parameter mit angeben. Ist bei mir aber schon über nen Jahr her, dass ich das gemacht habe. Was meint denn Google?
|
Oliver_Lau_2
Anmeldungsdatum: 6. Juli 2013
Beiträge: Zähle...
|
BlackJack schrieb: Nun habe ich gelesen, dass eine solche Teilverschlüsselung nur bedingt sicher ist, weil bspw. Daten unverschlüsselt in Swap ausgelagert werden können.
Wenn Du Deine Daten verschlüsseln willst, dann bitte ein Komplettverschlüsselung mit einem langen Passwort, dass man nicht erraten kann. Das ist das Sicherste. Daten können bei der Verarbeitung immer auf die HDD bzw. SSD geschrieben werden. Nicht nur in den Swap. Man kann natürlich auch Swap und das tmp-Verzeichnis in den RAM verlagern. Auch cups log und cache Dateien usw. Dann landen die Daten bei der Verarbeitung auch nicht auf der HDD oder SSD. SSD/Verschlüsselung
|