Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Festplattenverschluesselung - nach der Installation

Alles rund um die Systemverwaltung, die Administration und Konfiguration Eures Linuxsystems

Moderator: Moderatoren

Antworten
innersoul
Newbie
Newbie
Beiträge: 10
Registriert: 15. Jun 2007, 09:31

Festplattenverschluesselung - nach der Installation

Beitrag von innersoul » 15. Jun 2007, 09:47

Hallo, ich bin neu hier und neu in Linux (seit ca. 6 Monaten), daher vergebt mir meine Ignoranz ;)

Ich habe opensuse 10.2 laufen.
Ich habe leider bei der Installation die Chance "verpasst", die Festplatten zu verschluesseln.
Ich moechte nun gerne nachtraeglich mein System weitgehend verschluesseln (z.B. wg. Sicherheit von meinen Kundendaten im Falle eines Diebstahls des Laptops).

(Wenn man bei der Installation verschluesselt, kann man dann gleich das ganze System (inkl. /root und /swap) verschluesseln? Ich scheue mich eigentlich nur, neu zu installieren, weil ich die Liste der nachtraeglich installierten Programme nicht habe.. Meine Daten sind alle auf einer separaten /home Partition, das waere also kein Problem. Ich will nur nicht wieder alle Programme und Aenderungen neu installieren/konfigurieren]


Gibt es inzwischen eine all-in-one Verschluesselungsloesung fuer opensuse (vergleichbar Compusec oder Drivecrypt fuer Windows)?
Ich kenne das Tutorial auf opensuse.org, das soll aber nur unter 10.1 gescheit funktionieren, stand in einem Forum. ( http://en.opensuse.org/Encrypted_Root_F ... SUSE_HOWTO )
Kennt jemand also eine relative einfache Methode, sein Notebook zu verschluesseln? Am besten mit opensuse boardmitteln, so dass ein Update problemlos moeglich ist?

Ich hatte mal angefangen, /home nachtraeglich zu verschluesseln, habe aber Probleme:

1. bestehende /home (/dev/hda7/) partition per partedmagic cd verkleinert
2. reboot, neue partition im yast partitioner erstellt (/dev/hda8/), encrypt partition angeklickt, als /home1 gemounted
3. als su die relevanten daten von /home nach /home1 kopiert
4. im yast partitioner /dev/hda7/ als /home2 gemounted, und /dev/hda8/ als /home gemounted
5. reboot, da erfolgt passwortabfrage fuer /dev/hda8

Jetzt sagt er (mein Linux hat ein Geschlecht) mir aber, er koenne auf /home nicht schreiben....
Was habe ich falsch gemacht?
Muss ich ausser dem Erstellen der verschluesselten Partition im Partitioner noch andere Schritte unternehmen (losetup)?

Danke!

Werbung:
Benutzeravatar
whois
Administrator
Administrator
Beiträge: 16603
Registriert: 11. Okt 2004, 08:50
Wohnort: Aachen
Kontaktdaten:

Beitrag von whois » 15. Jun 2007, 11:43

Hi

Ich habe vor einigen Wochen mal Truecrypt getestet zwar unter Ubuntu aber du kannst dir die Links ja mal ansehen. :wink:

http://www.truecrypt.org/
http://wiki.ubuntuusers.de/TrueCrypt/
http://www.linux-club.de/faq/Festplatte ... ows_nutzen

cu

joka
Member
Member
Beiträge: 94
Registriert: 17. Mai 2005, 23:33
Wohnort: München

Re: Festplattenverschluesselung - nach der Installation

Beitrag von joka » 15. Jun 2007, 19:16

innersoul hat geschrieben:Ich habe opensuse 10.2 laufen.
Ich habe leider bei der Installation die Chance "verpasst", die Festplatten zu verschluesseln.
Ich moechte nun gerne nachtraeglich mein System weitgehend verschluesseln (z.B. wg. Sicherheit von meinen Kundendaten im Falle eines Diebstahls des Laptops).
Ich benutze für die Verschlüsselung meines Homeverzeichnis unter openSUSE 10.2 DM-CRYPT/LUKS und das automatische Mounten beim Login. Das kann zwar man nicht mit yast konfigurieren, ist aber im WIKI von mir beschrieben (nach einem c't Artikel): Verschlüsselte Partition beim Login einbinden.

Joachim
MacBook 2,1: CD 2.16GHz / Intel 945GM / 2GB RAM / 160GB HDD / OS X 10.6 / Scientific Linux 6 (GNOME2)
EeePC 701: Scientific Linux 6 (Server & WLAN-Router)

b3ll3roph0n
Moderator
Moderator
Beiträge: 3669
Registriert: 4. Dez 2005, 13:17
Kontaktdaten:

Beitrag von b3ll3roph0n » 16. Jun 2007, 09:53

Gruß b3ll3roph0n
--
Denken hilft!

Ich beantworte keine Support-Anfragen per PN.
Für alle meine Beiträge gelten, außer bei Zitaten, die Creative Commons.

innersoul
Newbie
Newbie
Beiträge: 10
Registriert: 15. Jun 2007, 09:31

Beitrag von innersoul » 18. Jun 2007, 09:27

Danke fuer die Links. Es waere aber nett, wenn ihr auch eine Meinung abgeben wuerdet. Was spricht fuer das eine oder gegen das andere?
  • Truecrypt finde ich nicht so spannend, weil es nicht so 'integriert' ist. Ich haette gerne eine Loesung, die quasi von Suse so vorgesehen ist und die komplett ins System integriert ist (Abfrage beim Login etc.). Zudem soll es als Teil des Systems automatisch upgradebar sein, auch wenn eine neue Distribution rauskommt. Truecrypt ist ein von der Distribution unabhaengiges Programm - kann es da nicht zu Komplikationen kommen?
  • Was ist der Vorteil von dmcrypt/LUKS gegenueber der im System vorhandenen Verschluesselung?
  • Wie ich im ersten Post gefragt habe, gibt es eine Loesung, das komplette System zu verschluesseln, die relativ einfacht ist? Was wuerdet ihr empfehlten?
  • Wie gesagt, ich habe bereits eine verschluesselte Home Partition erstellt, indem ich die bestehende alte /home verkleinert habe, eine neue /home verschluesselt erstellt habe, Daten rueberkopiert und mountpoints entsprechend angepasst habe. Ich wuerde jetzt gerne die alte (unverschluesselte) /home loeschen und die verschluesselte neue /home entsprechend vergroessern. Was nehme ich dazu am besten? Der yast partitioner bietet mir keine Optionen fuer das vergroessern an, ebensowenig die partedmagic CD....

Benutzeravatar
Burner
Member
Member
Beiträge: 189
Registriert: 4. Feb 2004, 16:58
Wohnort: RucksackBerliner
Kontaktdaten:

Beitrag von Burner » 18. Jun 2007, 11:28

Bei Debian 4.0 ist dmcrypt/LUKS schon im Kernel integriert und somit auch update/upgrade bar. Denke/hoffe mal das dass auch in OpenSuse 10.3 integriert sein wird.
Du kannst eigentlich alle Partitionen verschluesseln ausser /boot. Diese muss offen bleiben.
Bei eben besagten Debian bietet das der Installer gleich mit an. Dabei kannst du eben noch waehlen ob du fuer jeden Mountpoint unterhalb / eine eigene Partition anlegen willst oder nur /home auf einer Platte etc. Danach wirst du gefragt ob du diese Verschluesseln willst.

Gruss Burner
Achte auf deine Gedanken - sie sind der Anfang deiner Taten.

jengelh
Guru
Guru
Beiträge: 4039
Registriert: 20. Nov 2004, 17:42
Kontaktdaten:

Beitrag von jengelh » 18. Jun 2007, 12:52

dm-crypt ist schon lange bei SUSE drin.

joka
Member
Member
Beiträge: 94
Registriert: 17. Mai 2005, 23:33
Wohnort: München

Beitrag von joka » 18. Jun 2007, 19:37

innersoul hat geschrieben:Danke fuer die Links. Es waere aber nett, wenn ihr auch eine Meinung abgeben wuerdet. Was spricht fuer das eine oder gegen das andere?
  • Truecrypt finde ich nicht so spannend, weil es nicht so 'integriert' ist. Ich haette gerne eine Loesung, die quasi von Suse so vorgesehen ist und die komplett ins System integriert ist (Abfrage beim Login etc.). Zudem soll es als Teil des Systems automatisch upgradebar sein, auch wenn eine neue Distribution rauskommt. Truecrypt ist ein von der Distribution unabhaengiges Programm - kann es da nicht zu Komplikationen kommen?
Ich hatte die gleichen Bedenken.
Was ist der Vorteil von dmcrypt/LUKS gegenueber der im System vorhandenen Verschluesselung?
Yast verwendet das cryptoloop-Verfahren, das in manchen Diskussionen als veraltet oder kryptographisch angreifbar gilt. Ob das wirklich relevant für den Schutz der Daten bei Diebstahl ist, sei dahingestellt.
Vorteil einer dm-crypt/luks-Partition ist jedenfalls, dass sie neben einem Master-Key bis zu 8 Passwörter für dessen Dechiffrierung enthält. Damit ist es möglich, das Passwort zu ändern oder auch bis zu 7 Nutzern Zugang zur selben Cryptopartition zu geben oder ein Reserve-Passwort zu hinterlegen. Das erleichtert auch die Analyse von Mount-Problemen (falsches Passwort oder Partition beschädigt?). DM-Crypt ist auch direkt im Device-Mapper des Kernels integriert und hat bei Blockoperationen die beste Performance im Vergleich zu anderen Cryptoverfahren (Linux-Magazin 10/06).
Übrigens ist ab openSUSE 10.2 dm-crypt/luks in der Distribution enthalten, es fehlt nur die Unterstützung durch yast oder andere GUIs.
Wie ich im ersten Post gefragt habe, gibt es eine Loesung, das komplette System zu verschluesseln, die relativ einfacht ist? Was wuerdet ihr empfehlten?
Eine einfache Lösung wird es wohl nicht geben. Für Ubuntu gibt es z.B. dieses HOWTO
Grundsätzlich hätte ich bei einem vollständig verschlüsseltem Linux Angst, dass eine kleine Unachtsamkeit die ganze Installation unbrauchbar macht.
Ich wuerde jetzt gerne die alte (unverschluesselte) /home loeschen und die verschluesselte neue /home entsprechend vergroessern. Was nehme ich dazu am besten? Der yast partitioner bietet mir keine Optionen fuer das vergroessern an, ebensowenig die partedmagic CD....[/list]
Meines Wissens ist es nicht möglich, eine mit cryptoloop verschlüsselte Partition oder Containerdatei zu vergrößern. Das wäre ein weiterer Vorteil von dm-crypt/luks.
MacBook 2,1: CD 2.16GHz / Intel 945GM / 2GB RAM / 160GB HDD / OS X 10.6 / Scientific Linux 6 (GNOME2)
EeePC 701: Scientific Linux 6 (Server & WLAN-Router)

innersoul
Newbie
Newbie
Beiträge: 10
Registriert: 15. Jun 2007, 09:31

Beitrag von innersoul » 19. Jun 2007, 07:41

joka hat geschrieben:Yast verwendet das cryptoloop-Verfahren, das in manchen Diskussionen als veraltet oder kryptographisch angreifbar gilt. Ob das wirklich relevant für den Schutz der Daten bei Diebstahl ist, sei dahingestellt.
Vorteil einer dm-crypt/luks-Partition ist jedenfalls, dass sie neben einem Master-Key bis zu 8 Passwörter für dessen Dechiffrierung enthält. Damit ist es möglich, das Passwort zu ändern oder auch bis zu 7 Nutzern Zugang zur selben Cryptopartition zu geben oder ein Reserve-Passwort zu hinterlegen. Das erleichtert auch die Analyse von Mount-Problemen (falsches Passwort oder Partition beschädigt?). DM-Crypt ist auch direkt im Device-Mapper des Kernels integriert und hat bei Blockoperationen die beste Performance im Vergleich zu anderen Cryptoverfahren (Linux-Magazin 10/06).
ok, danke. jetzt kann ich mir ein bild machen!
joka hat geschrieben:Meines Wissens ist es nicht möglich, eine mit cryptoloop verschlüsselte Partition oder Containerdatei zu vergrößern. Das wäre ein weiterer Vorteil von dm-crypt/luks.
ok. was ist dann wohl die beste strategie, home mit dm-crypt/luks zu verschluesseln, wenn man keine Daten auslagern kann (sprich: mit der methode, mit der ich es versuchen wollte)? in den links habe ich bisher nicht gefunden, wie man die partition vergroessern kann...

[offtopic]
manchmal verstehe ich Distributionen nicht... Sollte sowas nicht in einem System, dass so um Sicherheit bemueht ist, Standard sein? Inzwischen ist der Marktanteil von Laptops so hoch, dass das ein relevantes Thema ist...
Auf Windows geht per Zusatzsoftware alles sehr einfach und schon seit Jahren, in Vista inzwischen auch ohne Zusatz. Warum sich ausgerechnet in diesem Bereich vom unsicheren Windows den Rang ablaufen lassen?
[/offtopic]

joka
Member
Member
Beiträge: 94
Registriert: 17. Mai 2005, 23:33
Wohnort: München

Beitrag von joka » 19. Jun 2007, 23:45

innersoul hat geschrieben:in den links habe ich bisher nicht gefunden, wie man die partition vergroessern kann...
Ja, das fehlt noch im Wiki. Hier als Beispiel die Aufrufe für eine LVM-Partition mit dem XFS-Filesystem, das um 500MByte vergrößert wird. Im Gegensatz zu ext2/3 muss XFS im gemounteten Zustand vergrößert werden. (Der erste Befehl "mount.crypt" entfällt natürlich, wenn die Home-Partition schon gemountet ist).

Code: Alles auswählen

# mount.crypt /dev/system/test-luke /home/luke 
Enter LUKS passphrase: 
key slot 0 unlocked.
Command successful.
# lvextend -L +500M /dev/system/test-luke
  Extending logical volume test-luke to 1000,00 MB
  Logical volume test-luke successfully resized
# cryptsetup --verbose resize  _dev_system_test-luke
# xfs_growfs /home/luke 
... data blocks changed from 127736 to 255743
lvextend vergrößert die LVM-Partition, cryptsetup resize passt den Device-Mapper /dev/mapper/dev_system_test-luke an die neue Größe an und xfs_growfs schließlich vergrößert das Filesystem. Das funktioniert natürlich auch mit einer Festplattenpartition die statt "/dev/system/test-luke" einen Namen wie z.B. /dev/hda9 hätte.

Auf der Original-Seite von Saout gibt es ein Beispiel für die Vergrößerung eines ext3-Filesystems einer LVM-Partition.
MacBook 2,1: CD 2.16GHz / Intel 945GM / 2GB RAM / 160GB HDD / OS X 10.6 / Scientific Linux 6 (GNOME2)
EeePC 701: Scientific Linux 6 (Server & WLAN-Router)

innersoul
Newbie
Newbie
Beiträge: 10
Registriert: 15. Jun 2007, 09:31

Beitrag von innersoul » 20. Jun 2007, 11:00

sorry, ich verstehe es noch nicht ganz. LVM ist der Logical Volume Manager - benoetige ich den auch fuer die Verschluesselung? Ich dachte, der legt mehr so mehrere Partitionen zusammen, so dass sie als eine behandelt werden kann...?
wenn ich den nicht benoetige, sind die Befehle trotzdem dieselben?
Ich weiss, eigentlich sollte ich selbst ausprobieren, aber wenn es zu sowas empfindlichen wie Partitionierung kommt, will ich 100% tig sicher sein...

Danke,

innersoul

innersoul
Newbie
Newbie
Beiträge: 10
Registriert: 15. Jun 2007, 09:31

Beitrag von innersoul » 20. Jun 2007, 13:32

joka hat geschrieben:Übrigens ist ab openSUSE 10.2 dm-crypt/luks in der Distribution enthalten, es fehlt nur die Unterstützung durch yast oder andere GUIs.
Hab gerade das entdeckt: cryptomaster
Hat jemand erfahrungen damit?
http://profile.az-lantech.de/projects/P ... ptomaster/

joka
Member
Member
Beiträge: 94
Registriert: 17. Mai 2005, 23:33
Wohnort: München

Beitrag von joka » 20. Jun 2007, 18:10

innersoul hat geschrieben:sorry, ich verstehe es noch nicht ganz. LVM ist der Logical Volume Manager - benoetige ich den auch fuer die Verschluesselung? Ich dachte, der legt mehr so mehrere Partitionen zusammen, so dass sie als eine behandelt werden kann...?
wenn ich den nicht benoetige, sind die Befehle trotzdem dieselben?
LVM managed sozusagen virtuelle Partitionen ("Volumes") auf einer virtuellen Platte ("Volume Group"), die im einfachsten Fall auf einer physischen Festplattenpartion installiert ist. LVM wird für Verschlüsselung nicht benötigt.
Mein Beispiel würde für eine Partition /dev/hda8 gemountet auf /home mit dem Filesystem XFS so aussehen:

Code: Alles auswählen

<Partition /dev/hda8 mit yast oder parted vergröpßern>
# mount.crypt /dev/hda8 /home
# cryptsetup --verbose resize  _dev_hda8_home
# xfs_growfs /home
Ich weiss, eigentlich sollte ich selbst ausprobieren, aber wenn es zu sowas empfindlichen wie Partitionierung kommt, will ich 100% tig sicher sein...l
Ich kann natürlich nicht garantieren, dass alles problemlos funktioniert, nur auf die möglichen Kommandos hinweisen.

Im Gegensatz zu Platten-Partitionen können LVM-Partitionen mit einfachen Kommandos im laufenden Betrieb angelegt, vergrößert und gelöscht werden. Deshalb verwende ich sie für meine Beispiele.
MacBook 2,1: CD 2.16GHz / Intel 945GM / 2GB RAM / 160GB HDD / OS X 10.6 / Scientific Linux 6 (GNOME2)
EeePC 701: Scientific Linux 6 (Server & WLAN-Router)

Antworten