[gelöst] SSD+HDD bzw 2 Festplatten mit einem Passwort

Alles rund um die Systemverwaltung, die Administration und Konfiguration Eures Linuxsystems

Moderator: Moderatoren

Antworten
ColdBlood
Newbie
Newbie
Beiträge: 43
Registriert: 11. Mär 2004, 18:41
Wohnort: Raunheim (Hessen)
Kontaktdaten:

[gelöst] SSD+HDD bzw 2 Festplatten mit einem Passwort

Beitrag von ColdBlood » 17. Dez 2013, 21:40

Hallo,

ich würde gerne meinen Laptop komplett verschlüsseln und wollte das jetzt bei der Installation der neuen openSuse 13.1 erledigen.

Mein Problem ist nur, dass ich jetzt nach mehrstündiger Recherche nicht unbedingt schlauer geworden bin, was die sinnvollste Lösung wäre.

Auf meinem Desktoprechner benutze ich LVM+LUKS (auf einer großen HDD). Das läuft auch soweit gut. Im Laptop habe ich aber eine SSD (am mSATA) und eine HDD. Bisher habe ich nur die HDD mit dm_crypt verschlüsselt und bei Bedarf gemountet. Die SSD ist ungeschützt, was mir nicht so zusagt, da ich in letzter Zeit doch öfters mit dem Laptop unterwegs bin und so Sachen wie meine Fotos, Kontoauszüge, eMails und Org-mode Dateien etc niemandem überlassen möchte.

Hardware ist ein Lenovo x231i mit einem i3 (leider ohne aes).

Aktuelle Partitionierung:
SSD: / und /home
HDD: /media/daten

Meine Anforderungen wären:

- Komplettverschlüsselung beider Platten
- (möglichst) nur ein Passwort eingeben müssen beim Booten


Möglichkeiten, die ich jetzt sehe wären:

1) Im Bios HDD Passwort setzen. Das wäre Performancemäßig wohl die beste Wahl da die SSD (M5 von Plextor) eine hardwareseiteige "Verschlüsselung" unterstützt. Gut die Sicherheit dieser Methode dürfte wohl nicht sehr hoch sein. Das könnte ich unter Umständen noch verschmerzen, wenn da außer irgendwelchen Behörden niemand rankäme. Was mir eher Sorgen macht ist dass ich wohl nicht mehr an meine Daten käme, wenn mir der Laptop abraucht. Sprich Festplatten im externen Gehäuse nicht benutzbar wären. Bzw die Platten Schrott wären und gar nicht mehr funktioniert. Die Informationen hierzu sind nicht so eindeutig.

2) LVM mit LUKS, wie ich es auf meinem Desktop einsetze. Ohne AES des i3 würde ich wohl mit gewissen Performanceeinbußen leben müssen. Ich frage mich hierbei nur, ob ich meine Partitionierung so in etwa behalten kann? Habe leider keine gute Dokumentation gefunden zu dem Thema.

z.B.: ein Volume Groupe auf SSD darin Logical Volumes für / und /home und eine VG auf der HDD mit einem LV für Daten?
Geht das so? Würde ich im Schadensfall an der SSD oder HDD an die jeweils andere Platte noch rankommen? Ich mein die die Partitionen bzw die LV erstrecken sich ja nicht über beide Laufwerke sonder sitzen auf dedizierten Festplatten? Würden sich jetzt mit zwei LV überhaupt beide mit einem Passwort beim Booten gleichzeitig öffnen können?

(LVM benutze ich auf dem Desktop nur, um nicht 10 Passwörter eingeben zu müssen. Die restlichen Funktionen nutze ich nicht)


3) Btrfs, wobei ich nicht weiß, ob das schon so stabil ist.


So ich weiß nicht, ob ich etwas wichtiges vergessen haben, hoffentlich nicht, sonst einfach Bescheid sagen.


Viele Grüße roman
Zuletzt geändert von ColdBlood am 5. Jan 2014, 20:09, insgesamt 1-mal geändert.

Werbung:
spoensche
Moderator
Moderator
Beiträge: 7261
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Re: SSD+HDD+LVM+LUKS bzw 2 Festplatten mit einem Passwort

Beitrag von spoensche » 18. Dez 2013, 20:32

Zur Hardwareverschlüsselung:

Die Hardwareverschlüsselung ist im SATA Standard definiert. Die Verschlüsselung lässt sich nur unter bestimmten Umständen umgehen.
Zu den Umständen gehört:

- Die HDD ohne Unterbrechung der Stromversorgung in einen anderen Rechner einbauen oder mit einem anderen System booten
- Wenn sich die Festplatte im Sleepmodus befindet, also Stromversorgung weg, dann kann der Schlüssel evtl. per Memory Dump ermittelt werden.

Fazit:

Um die genannten Umstände zu nutzen muss einiges an Know How vorhanden sein, um an die Daten zu kommen.

ColdBlood
Newbie
Newbie
Beiträge: 43
Registriert: 11. Mär 2004, 18:41
Wohnort: Raunheim (Hessen)
Kontaktdaten:

Re: SSD+HDD+LVM+LUKS bzw 2 Festplatten mit einem Passwort

Beitrag von ColdBlood » 19. Dez 2013, 00:50

Hallo spoensche,

danke schon mal für deine Antwort!

Wie geschrieben, von der Sicherheit wäre mir die Hardwareverschlüsselung vermutlich ausreichend. Damit wäre aber wohl nur meine SSD verschlüsselt (bei der wird eine 256bit Verschlüsselung beworben) bei der HDD konnte ich jetzt nichts finden (Western Digital WD5000LPVX)?

Weißt du wie das mit dem ATA Passwort funktioniert? Habe da viel widersprüchliches gelesen.

Ich hätte dann eigentlich nur drei Fragen, die mich noch davon abhalten:

1) Kann ich die verschlüsselte Platte an jedem beliebigen Rechner mit dem Passwort öffnen? (Teilweise hieß es das ginge, wenn beispielsweise das Mainboard abraucht, nur mit dem gleichen Bios+Mainboard) also z.B. auch mit Hdparm?

2) Solange ich das Masterpasswort habe müsste ich die Platte, bei Verlust des ATA Passworts (unter Verlust aller Daten) wenigstens wieder unlocken können oder? (auch mit hdparm?)

3) Würde ich nur ein Passwort eingeben müssen für beide Platten? Bzw was macht dann die Western Digital Platte? Verschlüsselt die auch etwas? (vielleicht den Controller?)


viele grüße roman

spoensche
Moderator
Moderator
Beiträge: 7261
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Re: SSD+HDD+LVM+LUKS bzw 2 Festplatten mit einem Passwort

Beitrag von spoensche » 22. Dez 2013, 21:31

ColdBlood hat geschrieben:Hallo spoensche,

danke schon mal für deine Antwort!

Wie geschrieben, von der Sicherheit wäre mir die Hardwareverschlüsselung vermutlich ausreichend. Damit wäre aber wohl nur meine SSD verschlüsselt (bei der wird eine 256bit Verschlüsselung beworben) bei der HDD konnte ich jetzt nichts finden (Western Digital WD5000LPVX)?

Code: Alles auswählen

hdparm -I /dev/sd(x)
Listet dir die Detail Informationen über eine Festplatte auf. In der Ausgabe sollte ein Abschnitt Security vorhanden sein und er gibt dir Auskunft darüber, ob die Verschlüsselung aktiv ist oder nicht.
ColdBlood hat geschrieben: Weißt du wie das mit dem ATA Passwort funktioniert? Habe da viel widersprüchliches gelesen.

Ich hätte dann eigentlich nur drei Fragen, die mich noch davon abhalten:

1) Kann ich die verschlüsselte Platte an jedem beliebigen Rechner mit dem Passwort öffnen? (Teilweise hieß es das ginge, wenn beispielsweise das Mainboard abraucht, nur mit dem gleichen Bios+Mainboard) also z.B. auch mit Hdparm?
Die Verschlüsselung ist Mainboard-und BIOS unabhängig. Das Mainboard muss nur den SATA Standard unterstützen. Die Verschlüsselung, der verwendete Algorithmus und die Passphrase wird vom Controller der Festplatte verwaltet.
ColdBlood hat geschrieben: 2) Solange ich das Masterpasswort habe müsste ich die Platte, bei Verlust des ATA Passworts (unter Verlust aller Daten) wenigstens wieder unlocken können oder? (auch mit hdparm?)

3) Würde ich nur ein Passwort eingeben müssen für beide Platten? Bzw was macht dann die Western Digital Platte? Verschlüsselt die auch etwas? (vielleicht den Controller?)
Die Festplatten haben i.d.R. ein Master Passwort, dass du allerdings nicht vergessen, verlieren etc. solltest, weil du danach keine Möglichkeit mehr hast an die Daten zu kommen.

Du musst für jede Festplatte ein Passwort eingeben.

Du könntest für die zweite Festplatte statt Hardwareverschlüsselung auch z.B. EcryptFS verwenden. Dann wird das Dateisystem anhand des Passworts deines Users bei der Anmeldung am Desktop entschlüsselt und eingebunden.

ColdBlood
Newbie
Newbie
Beiträge: 43
Registriert: 11. Mär 2004, 18:41
Wohnort: Raunheim (Hessen)
Kontaktdaten:

Re: SSD+HDD+LVM+LUKS bzw 2 Festplatten mit einem Passwort

Beitrag von ColdBlood » 5. Jan 2014, 20:07

Okay danke dir nochmal.

Hab es jetzt so gelöst:

Die SSD mit root und home ist hardwareverschlüsselt. Laut Plextor mit 256bit. Soweit ich das verstanden habe (nicht im speziellen bei dieser SSD) ist aber nur der Controller verschlüsselt, folglich wären die Speichermodule nicht verschlüsselt. Gut das reicht mir denke ich.
Ich muss jetzt beim Booten ein HDD Passwort eingeben. Bei dem Thinkpad kann man im Bios für jede Platte seperat ein HDD Passwort festlegen.

So und die HDD mit dmcrypt verschlüsselt. User-Passwort und dmcrypt-Passwort sind identisch. Mit pam_mount wird diese Platte beim Login automatisch und ohne zusätzliche Passwortabfrage gemountet.

Der letzte Punkt hat mir ein paar Tage Kopfzerbrechen bereitet, darum schreibe ich mal auf was ich gemacht habe, falls irgendwer vor ähnlichen Problemen steht:

Wie schon geschrieben das Login-Passwort und dmcrypt-Passwort müssen identisch sein.

In der Datei /etc/security/pam_mount.conf.xml am Ende vor dem </pam_mount> folgendes einfügen (und user, mountpoint sowie path anpassen):

Code: Alles auswählen

<volume user="roman" fstype="auto" path="/dev/sda1" mountpoint="/media/daten" options="fsck,noatime" />
<mkmountpoint enable="1" remove="true" />
Weiter gehts im Verzeichnis /etc/pam.d, wo in die Dateien login und xdm folgendes eingefügt wird:

Code: Alles auswählen

auth     optional       pam_mount.so
session  optional       pam_mount.so
Der letzte Punkt hat mich etwas verwirrt, da ja eigentlich kdm benutzt wird und ich nach einer Konfiguration hierfür gesucht habe. Mich hat zwar stutzig gemacht, dass in dem Verzeichnis keine kdm Datei lag (stattdessen eine xdm).
Hab ewig gesucht und alles mögliche rumprobiert, wobei arch und gentoo Lösungen aus Foren mir nicht weiter geholfen haben.
Hier: http://de.opensuse.org/SDB:Sicherheit_V ... _pam_mount steht es ja richtig drin :ops: ... warum einfach, wenns auch schwer geht :irre:

spoensche
Moderator
Moderator
Beiträge: 7261
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Re: [gelöst] SSD+HDD bzw 2 Festplatten mit einem Passwort

Beitrag von spoensche » 7. Jan 2014, 18:14

ColdBlood hat geschrieben: Weiter gehts im Verzeichnis /etc/pam.d, wo in die Dateien login und xdm folgendes eingefügt wird:

Code: Alles auswählen

auth     optional       pam_mount.so
session  optional       pam_mount.so
Der letzte Punkt hat mich etwas verwirrt, da ja eigentlich kdm benutzt wird und ich nach einer Konfiguration hierfür gesucht habe. Mich hat zwar stutzig gemacht, dass in dem Verzeichnis keine kdm Datei lag (stattdessen eine xdm).
Hab ewig gesucht und alles mögliche rumprobiert, wobei arch und gentoo Lösungen aus Foren mir nicht weiter geholfen haben.
Hier: http://de.opensuse.org/SDB:Sicherheit_V ... _pam_mount steht es ja richtig drin :ops: ... warum einfach, wenns auch schwer geht :irre:

Der letzte Punkt braucht dich nicht verwirren. PAM (Plugable Authentication Module) ist die Basis für die Benutzerauthentifizierung und legt die notwendigen Bedingungen fest.
D.h. so ziemlich jede Anwendung die etwas mit Benutzerauthentifizierung am Hut hat verwendet PAM für die eigentliche Authentifizierung.

In deinem /etc/pam.d existiert keine KDM Datei, weil KDM auf dem XDM (X-Display Manager) aufbaut bzw. teile davon selbst verwendet. Jede Datei unter /etc/pam.d entspricht der PAM Konfiguration für den jeweiligen Dienst. Z.B. /etc/pam.d/ssh ist für den SSHD. Aussnahmen sind z.B. KDM, die wie erwähnt auf einem anderen Dienst basieren.

Benutzeravatar
gehrke
Moderator
Moderator
Beiträge: 1725
Registriert: 10. Nov 2012, 11:00
Wohnort: Münsterland

Re: [gelöst] SSD+HDD bzw 2 Festplatten mit einem Passwort

Beitrag von gehrke » 14. Mär 2014, 14:28

ColdBlood hat geschrieben:ich würde gerne meinen Laptop komplett verschlüsseln und wollte das jetzt bei der Installation der neuen openSuse 13.1 erledigen.
[...]
Auf meinem Desktoprechner benutze ich LVM+LUKS (auf einer großen HDD). Das läuft auch soweit gut. Im Laptop habe ich aber eine SSD (am mSATA) und eine HDD. Bisher habe ich nur die HDD mit dm_crypt verschlüsselt und bei Bedarf gemountet. Die SSD ist ungeschützt, was mir nicht so zusagt, da ich in letzter Zeit doch öfters mit dem Laptop unterwegs bin und so Sachen wie meine Fotos, Kontoauszüge, eMails und Org-mode Dateien etc niemandem überlassen möchte.
[...]
2) LVM mit LUKS, wie ich es auf meinem Desktop einsetze. Ohne AES des i3 würde ich wohl mit gewissen Performanceeinbußen leben müssen. Ich frage mich hierbei nur, ob ich meine Partitionierung so in etwa behalten kann? Habe leider keine gute Dokumentation gefunden zu dem Thema.
Ich habe mich in einem ähnlichen Fall für den anderen (von Dir unter 2. genannten Weg) entschieden - siehe http://forum.linux-club.de/viewtopic.php?f=90&t=119008. Ich halte diese Lösung für besser, u.a. weil ich nicht einer mir unbekannten Crypt-Implementierung und dem Key-Management eines Hardware-Herstellers vertrauen muss.

Allerdings muss ich gleich darauf hinweisen, dass ich bislang noch keine wirklich zufriedenstellende Lösung für den Key der 2. Festplatte habe - ganz sauber ist das demnach noch nicht.

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste