Hallo,
mal ne Frage an die Runde,
geplant ist das gesamte System (Debian wheezy) auf verschlüsselten Platten zu installieren ( außer /boot ).
Setzt jemand Installationen mit verschlüsselten Platten ein und welche Erfahrungswerte habt Ihr damit ?
Was wird verschlüsselt ? - Platten - Partitionen - oder einzelne Daten-Container
- nur /home bzw. daten-Partition verschlüsseln oder auch /root (Vorteile, Nachteile, Performance ?)
Was als Schlüssel verwenden ?? - nur Passphrase, USB-Key, USB-Key mit Gnupg-Passphrase oder gans was anderes.
Auf welcher Ebene/Layer mit der Verschlüsselung aufsetzen ?? - direkt auf der HD, auf dem Raid (1)(5) / lvm / Partition
Hat jemand auch schon unschöne Erfahrungen sammeln müssen - Was sollte man möglichst nicht tun ?
Das ganze auch als Themenvorschlag zur Diskussion, fürs Treffen am Mittwoch.
MfG Gerd
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Hallöchen Gerd,
ich habe mich eine Zeit lang einmal damit auseinander gesetzt und lasse derzeit meine Platten verschlüsselt laufen, jedoch nicht das System selbst, das war mir dann doch etwas heikel. Ich nutze Archlinux und habe eine 256er Platte (SSD) als System-Platte. des weiteren habe ich in meinem System diverse Platten, die allesamt mit LUKS komplett verschlüsselt sind. Hierzu habe ich zunächst eine Partition auf der Platte angelegt, (sdx1), diese dann mit LUKS verschlüsselt, darin dann erst das Dateisystem angelegt und diese später zum Mounten vorbereitet. Geschwindigkeitsprobleme selbst habe ich noch nicht feststellen dürfen, allerdings war die Installation etwas langwierig. Mittels "schred" habe ich erst einmal die Platten komplett mit Datenmüll gefüllt um dann darin den LUKS-verschlüsselten Teil anzulegen. Das dauert bei 2TB Platten recht lange (>4h). Was den key anbetrifft muss ich gestehen, habe ich gleich zwei. Einmal auf einem USB Stick (für das automatische entschlüsseln) und einmal als fallback mit passphrase (falls der Stick mal nicht mehr will oder verloren geht, etc.). Fakt ist: kommt dir der Schlüssel abhanden, ist Essig mit den Daten. Damit das ganze etwas praktikabler wird, habe ich mir zwei Skripte geschrieben, die mir per passwort-Eingabe die Platten entsprechend entschlüsseln und anschliessend an die richtige Stelle mounten, einmal automatisch beim einstecken des USB-Sticks und einmal manuell. Wenn man das komplette System nicht verschlüsselt, sondern nur Teile, dann muss man allerdings noch eine Menge Nacharbeit leisten, kommt letztendlich auf den Grund der Verschlüsselung an. So zum Beispiel arbeite ich fast ausschliesslich mit "mlocate" bzw. "locate". Die Datenbank liegt jedoch nicht auf einem verschlüsselten Datenträger und stünde also auch ohne das einbinden der Partitionen zur Verfügung (was ich nicht will), sprich ich habe eine Menge Zeugs auf den verschlüsselten Platten untergebracht und einfach per Symlink im "lesbaren" Dateisystem verlinkt. Hier braucht es einfach etwas Zeit um sich das ganze Zeug heraus zu suchen und man muss natürlich darauf achten, dass man nichts vergisst. Warum habe ich das ganze System nicht komplett verschlüsselt? Weil ich meinen Rechner auch mal per Netzwerk aus der Ferne starte und ohne Passwort-Eingabe das System nicht hochgefahren bekomme. Ich müsste also bei einer kompletten Verschlüsselung immer vor dem Rechner sitzen, und das wollte ich vermeiden.
Gruß Maddin
Am 26.08.2013 11:05, schrieb Gerd Göhler:
Hi!
Am 26.08.2013 11:38, schrieb Martin Schuchardt:
Warum habe ich das ganze System nicht komplett verschlüsselt? Weil ich meinen Rechner auch mal per Netzwerk aus der Ferne starte und ohne Passwort-Eingabe das System nicht hochgefahren bekomme. Ich müsste also bei einer kompletten Verschlüsselung immer vor dem Rechner sitzen, und das wollte ich vermeiden.
Das klingt so, als ob der Stick immer ran steckt. Dann kannst du dir das mit dem Verschlüsseln aber auch sparen.
Aber: Auch selbst wenn er nicht immer dran steckt, ist er wohl in der Nähe / an deinem Schlüsselbund / ... und damit eigtl. auch relativ sinnlos, da dann z.B. im Falle einer Hausdurchsuchung der Staat trotzdem alles hat, was er benötigt, um an deine Daten zu kommen.
Ich setze auch viel Verschlüsselung ein, aber zum Entschlüsseln braucht man auch immer etwas, was ich weiss, nicht nur etwas, was ich habe.
Grüße! morphium
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Mahlzeit Morphium,
nein, der Stick hängt nicht immer dran, dann wäre das ganze tatsächlich sinnlos ;-) Ich gebe allerdings zu, dass ich ihn mit mir rum trage. Ich habe weniger Angst vor Hausdurchsuchungen sondern vielmehr tatsächlich vor Datenschutz und "falls" der Rechner mal geklaut werden sollte. Vielleicht ist meine Verschlüsselung auch nicht gerade die beste Lösung, aber es beruhigt mich auf jeden Fall etwas. Das Problem ist / war, dass ich zwar gern verschlüsseln wollte, aber eben meinen Rechner immer noch aus der Ferne starten möchte / muss. Daher ging eine komplette Verschlüsselung nicht. Der Stick kam erst im Nachhinein, quasi weil ich zu faul war immer dieses elendig lange Passwort einzugeben. Ich hatte zwar noch eine weitere Alternative für "Key-Verschlüsselung", aber die hat auch immer wieder mal Haken ... Möglichkeiten gibt es ja viele.
Ein Beispiel für "mitten durch die Brust ins Auge": Man nehme eine konstante Webseite (die sich selten bis nie ändert), nehme dort ein Bild oder eine Logo (was schon ewig existiert), und schreibe folgendes Skript:
per wget Bild herunter laden (https) per dd einen Teil des Bildes als Schlüssel nehmen per dd und Pipe den Schlüssel zum entschlüsseln der Platten entsprechend an LUKS weiter reichen per shred die herunter geladene Datei wieder löschen *gg*
Blöd nur, dass man dazu immer eine Internetverbindung braucht *gg*
Gruß Maddin
Am 26.08.2013 11:54, schrieb morphium:
Hi!
Am 26.08.2013 11:38, schrieb Martin Schuchardt:
Warum habe ich das ganze System nicht komplett verschlüsselt? Weil ich meinen Rechner auch mal per Netzwerk aus der Ferne starte und ohne Passwort-Eingabe das System nicht hochgefahren bekomme. Ich müsste also bei einer kompletten Verschlüsselung immer vor dem Rechner sitzen, und das wollte ich vermeiden.
Das klingt so, als ob der Stick immer ran steckt. Dann kannst du dir das mit dem Verschlüsseln aber auch sparen.
Aber: Auch selbst wenn er nicht immer dran steckt, ist er wohl in der Nähe / an deinem Schlüsselbund / ... und damit eigtl. auch relativ sinnlos, da dann z.B. im Falle einer Hausdurchsuchung der Staat trotzdem alles hat, was er benötigt, um an deine Daten zu kommen.
Ich setze auch viel Verschlüsselung ein, aber zum Entschlüsseln braucht man auch immer etwas, was ich weiss, nicht nur etwas, was ich habe.
Grüße! morphium
_______________________________________________ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Hallo Martin,
On Mon, Aug 26, 2013 at 12:36:08 +0200, Martin Schuchardt wrote:
Das Problem ist / war, dass ich zwar gern verschlüsseln wollte, aber eben meinen Rechner immer noch aus der Ferne starten möchte / muss.
Ein Bekannter setzt fuer diesen Fall folgenden Hack ein: Beim Booten wird bereits im initramfs das Netzwerk eingerichtet und eine dropbear-Instanz gestartet. Der dropbear ist so konfiguriert, dass man sich nur mit SSH-Key anmelden kann. Ist das passiert, gibt man ueber diesen verschluesselten Kanal die Passphrase vom Krytofilesystem ein und setzt den Bootvorgang fort.
Gruss, Chris
Am Montag, den 26.08.2013, 11:54 +0200 schrieb morphium:
Hi!
Hallo,
Am 26.08.2013 11:38, schrieb Martin Schuchardt:
Warum habe ich das ganze System nicht komplett verschlüsselt? Weil ich meinen Rechner auch mal per Netzwerk aus der Ferne starte und ohne Passwort-Eingabe das System nicht hochgefahren bekomme. Ich müsste also bei einer kompletten Verschlüsselung immer vor dem Rechner sitzen, und das wollte ich vermeiden.
Das klingt so, als ob der Stick immer ran steckt. Dann kannst du dir das mit dem Verschlüsseln aber auch sparen.
USB-Key nur temporär zum starten ( gegebenenfalls auch ne Smartcard )
Aber: Auch selbst wenn er nicht immer dran steckt, ist er wohl in der Nähe / an deinem Schlüsselbund / ... und damit eigtl. auch relativ sinnlos, da dann z.B. im Falle einer Hausdurchsuchung der Staat trotzdem alles hat, was er benötigt, um an deine Daten zu kommen.
Es geht ja auch mal um Rechner die z.B. außer Haus stehen (Werkstatt / Büro) und vielleicht über Nacht oder am Wochenende geklaut werden.
Notebooks die plötzlich verschwunden sind etc. (Messen / Veranstaltungen / Reisen )
Ich setze auch viel Verschlüsselung ein, aber zum Entschlüsseln braucht man auch immer etwas, was ich weiss, nicht nur etwas, was ich habe.
Na, ja man startet ja sein Notebook auch mal wenn andere Leute zuschauen, oder in Bereichen wo Kameras installiert sind (Bahnhof / Flughafen und was weiß ich wo sonst noch, wer da zuschaut und was die sehen können ?)
Aber man kann ja zum Glück die Passwörter auch hin und wieder aml ändern.
MfG Gerd
Grüße! morphium
Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Am Montag, den 26.08.2013, 11:54 +0200 schrieb morphium:
Hi!
Hallo,
Am 26.08.2013 11:38, schrieb Martin Schuchardt:
Warum habe ich das ganze System nicht komplett verschlüsselt? Weil ich meinen Rechner auch mal per Netzwerk aus der Ferne starte und ohne Passwort-Eingabe das System nicht hochgefahren bekomme. Ich müsste also bei einer kompletten Verschlüsselung immer vor dem Rechner sitzen, und das wollte ich vermeiden.
Das klingt so, als ob der Stick immer ran steckt. Dann kannst du dir das mit dem Verschlüsseln aber auch sparen.
USB-Key nur temporär zum starten ( gegebenenfalls auch ne Smartcard )
Aber: Auch selbst wenn er nicht immer dran steckt, ist er wohl in der Nähe / an deinem Schlüsselbund / ... und damit eigtl. auch relativ sinnlos, da dann z.B. im Falle einer Hausdurchsuchung der Staat trotzdem alles hat, was er benötigt, um an deine Daten zu kommen.
Es geht ja auch mal um Rechner die z.B. außer Haus stehen (Werkstatt / Büro) und vielleicht über Nacht oder am Wochenende geklaut werden.
Notebooks die plötzlich verschwunden sind etc. (Messen / Veranstaltungen / Reisen )
Ich setze auch viel Verschlüsselung ein, aber zum Entschlüsseln braucht man auch immer etwas, was ich weiss, nicht nur etwas, was ich habe.
Na, ja man startet ja sein Notebook auch mal wenn andere Leute zuschauen, oder in Bereichen wo Kameras installiert sind (Bahnhof / Flughafen und was weiß ich wo sonst noch, wer da zuschaut und was die sehen können ?)
Aber man kann ja zum Glück die Passwörter auch hin und wieder aml ändern.
MfG Gerd
Grüße! morphium
Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Am Montag, den 26.08.2013, 11:38 +0200 schrieb Martin Schuchardt:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Hallöchen Gerd,
Hallo Martin,
Warum habe ich das ganze System nicht komplett verschlüsselt? Weil ich meinen Rechner auch mal per Netzwerk aus der Ferne starte und ohne Passwort-Eingabe das System nicht hochgefahren bekomme. Ich müsste also bei einer kompletten Verschlüsselung immer vor dem Rechner sitzen, und das wollte ich vermeiden.
Gruß Maddin
Es gibt auch Rechner die in einem Rechenzentrum stehen und nur gemietet sind. Für den Fall hab ich schon mal gelesen das man das rootfs auch per ssh login entspeeren können soll.
Voraussetzung man packt busybox und dropbear in die initramfs und der Kernel bekommt über den Parameter ip= auch eine adresse die erreichbar ist.
Da hier die Rechner z.Z. meist durch jemanden eingeschaltet werden, ist das für mich derzeit nicht ganz so vordergründig aber durchaus auch von Interesse.
Benutzt jemand diese Variante schon aktiv ? Erfahrungswerte ? Fehler und Probleme ?
MfG Gerd
Hi!
Am 26.08.2013 13:58, schrieb Gerd Göhler:
Es gibt auch Rechner die in einem Rechenzentrum stehen und nur gemietet sind. Für den Fall hab ich schon mal gelesen das man das rootfs auch per ssh login entspeeren können soll.
Dort mach ich das so, dass meine Root-Partition nicht gecrypted ist. Das Device, wo die VMs drauf sind ist dann gecrypted, und ich kann mich also per SSH auf den Hypervisor einloggen, alles ranmounten und die VMs starten.
(Ich lass nix mehr direkt aufm Metall laufen - viel zu umständlich, wenn mans mal woanders hin schieben will)
Grüße! morphium
Hej Gerd!
Hatte mal vor Jahren das ganze System verschlüsselt. Das ganze hatte - vier Kernen zum Trotz - einen merklichen, nervigen Negativ-Impact auf die Performance,
Wenn du nur $home verschlüsseln willst, dann nimm Ubuntu, das bietet dir diese Option an und kümmert sich selbst um alles.
In puncto Ganzsystemverschlüsselung zu bedenken: Wogegen willst du dich eigentlich schützen? Wenn du dich dagegen schützen willst, dass jemand mit HW-Zugriff einen Trojaner/Rootkit in dein System integrieren kann, dann reicht ihm ein offenes /boot dafür völlig aus. Oder der klassische Tastaturlogger erspäht dein Passwort.
Beste Grüße Fabian
lug-dd@mailman.schlittermann.de
-
Christian Perle -
Fabian Hänsel -
Gerd Göhler -
Gerd Göhler -
Martin Schuchardt -
morphium