• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Festplattenverschluesselung - nach der Installation

I

innersoul

Newbie
Hallo, ich bin neu hier und neu in Linux (seit ca. 6 Monaten), daher vergebt mir meine Ignoranz ;)

Ich habe opensuse 10.2 laufen.
Ich habe leider bei der Installation die Chance "verpasst", die Festplatten zu verschluesseln.
Ich moechte nun gerne nachtraeglich mein System weitgehend verschluesseln (z.B. wg. Sicherheit von meinen Kundendaten im Falle eines Diebstahls des Laptops).

(Wenn man bei der Installation verschluesselt, kann man dann gleich das ganze System (inkl. /root und /swap) verschluesseln? Ich scheue mich eigentlich nur, neu zu installieren, weil ich die Liste der nachtraeglich installierten Programme nicht habe.. Meine Daten sind alle auf einer separaten /home Partition, das waere also kein Problem. Ich will nur nicht wieder alle Programme und Aenderungen neu installieren/konfigurieren]


Gibt es inzwischen eine all-in-one Verschluesselungsloesung fuer opensuse (vergleichbar Compusec oder Drivecrypt fuer Windows)?
Ich kenne das Tutorial auf opensuse.org, das soll aber nur unter 10.1 gescheit funktionieren, stand in einem Forum. ( http://en.opensuse.org/Encrypted_Root_File_System_with_SUSE_HOWTO )
Kennt jemand also eine relative einfache Methode, sein Notebook zu verschluesseln? Am besten mit opensuse boardmitteln, so dass ein Update problemlos moeglich ist?

Ich hatte mal angefangen, /home nachtraeglich zu verschluesseln, habe aber Probleme:

1. bestehende /home (/dev/hda7/) partition per partedmagic cd verkleinert
2. reboot, neue partition im yast partitioner erstellt (/dev/hda8/), encrypt partition angeklickt, als /home1 gemounted
3. als su die relevanten daten von /home nach /home1 kopiert
4. im yast partitioner /dev/hda7/ als /home2 gemounted, und /dev/hda8/ als /home gemounted
5. reboot, da erfolgt passwortabfrage fuer /dev/hda8

Jetzt sagt er (mein Linux hat ein Geschlecht) mir aber, er koenne auf /home nicht schreiben....
Was habe ich falsch gemacht?
Muss ich ausser dem Erstellen der verschluesselten Partition im Partitioner noch andere Schritte unternehmen (losetup)?

Danke!
 
W

whois

Ultimate Guru
Hi

Ich habe vor einigen Wochen mal Truecrypt getestet zwar unter Ubuntu aber du kannst dir die Links ja mal ansehen. :wink:

http://www.truecrypt.org/
http://wiki.ubuntuusers.de/TrueCrypt/
http://www.linux-club.de/faq/Festplatten_verschlüsselt_mit_Linux_und_Windows_nutzen

cu
 
J

joka

Member
innersoul schrieb:
Ich habe opensuse 10.2 laufen.
Ich habe leider bei der Installation die Chance "verpasst", die Festplatten zu verschluesseln.
Ich moechte nun gerne nachtraeglich mein System weitgehend verschluesseln (z.B. wg. Sicherheit von meinen Kundendaten im Falle eines Diebstahls des Laptops).
Zum Vergrößern anklicken....
Ich benutze für die Verschlüsselung meines Homeverzeichnis unter openSUSE 10.2 DM-CRYPT/LUKS und das automatische Mounten beim Login. Das kann zwar man nicht mit yast konfigurieren, ist aber im WIKI von mir beschrieben (nach einem c't Artikel): Verschlüsselte Partition beim Login einbinden.

Joachim
 
OP
I

innersoul

Newbie
Danke fuer die Links. Es waere aber nett, wenn ihr auch eine Meinung abgeben wuerdet. Was spricht fuer das eine oder gegen das andere?
  • Truecrypt finde ich nicht so spannend, weil es nicht so 'integriert' ist. Ich haette gerne eine Loesung, die quasi von Suse so vorgesehen ist und die komplett ins System integriert ist (Abfrage beim Login etc.). Zudem soll es als Teil des Systems automatisch upgradebar sein, auch wenn eine neue Distribution rauskommt. Truecrypt ist ein von der Distribution unabhaengiges Programm - kann es da nicht zu Komplikationen kommen?
  • Was ist der Vorteil von dmcrypt/LUKS gegenueber der im System vorhandenen Verschluesselung?
  • Wie ich im ersten Post gefragt habe, gibt es eine Loesung, das komplette System zu verschluesseln, die relativ einfacht ist? Was wuerdet ihr empfehlten?
  • Wie gesagt, ich habe bereits eine verschluesselte Home Partition erstellt, indem ich die bestehende alte /home verkleinert habe, eine neue /home verschluesselt erstellt habe, Daten rueberkopiert und mountpoints entsprechend angepasst habe. Ich wuerde jetzt gerne die alte (unverschluesselte) /home loeschen und die verschluesselte neue /home entsprechend vergroessern. Was nehme ich dazu am besten? Der yast partitioner bietet mir keine Optionen fuer das vergroessern an, ebensowenig die partedmagic CD....
 
Burner

Burner

Member
Bei Debian 4.0 ist dmcrypt/LUKS schon im Kernel integriert und somit auch update/upgrade bar. Denke/hoffe mal das dass auch in OpenSuse 10.3 integriert sein wird.
Du kannst eigentlich alle Partitionen verschluesseln ausser /boot. Diese muss offen bleiben.
Bei eben besagten Debian bietet das der Installer gleich mit an. Dabei kannst du eben noch waehlen ob du fuer jeden Mountpoint unterhalb / eine eigene Partition anlegen willst oder nur /home auf einer Platte etc. Danach wirst du gefragt ob du diese Verschluesseln willst.

Gruss Burner
 
J

joka

Member
innersoul schrieb:
Danke fuer die Links. Es waere aber nett, wenn ihr auch eine Meinung abgeben wuerdet. Was spricht fuer das eine oder gegen das andere?
Zum Vergrößern anklicken....
  • Truecrypt finde ich nicht so spannend, weil es nicht so 'integriert' ist. Ich haette gerne eine Loesung, die quasi von Suse so vorgesehen ist und die komplett ins System integriert ist (Abfrage beim Login etc.). Zudem soll es als Teil des Systems automatisch upgradebar sein, auch wenn eine neue Distribution rauskommt. Truecrypt ist ein von der Distribution unabhaengiges Programm - kann es da nicht zu Komplikationen kommen?
Zum Vergrößern anklicken....

  • Ich hatte die gleichen Bedenken.
    Was ist der Vorteil von dmcrypt/LUKS gegenueber der im System vorhandenen Verschluesselung?
    Zum Vergrößern anklicken....
    Yast verwendet das cryptoloop-Verfahren, das in manchen Diskussionen als veraltet oder kryptographisch angreifbar gilt. Ob das wirklich relevant für den Schutz der Daten bei Diebstahl ist, sei dahingestellt.
    Vorteil einer dm-crypt/luks-Partition ist jedenfalls, dass sie neben einem Master-Key bis zu 8 Passwörter für dessen Dechiffrierung enthält. Damit ist es möglich, das Passwort zu ändern oder auch bis zu 7 Nutzern Zugang zur selben Cryptopartition zu geben oder ein Reserve-Passwort zu hinterlegen. Das erleichtert auch die Analyse von Mount-Problemen (falsches Passwort oder Partition beschädigt?). DM-Crypt ist auch direkt im Device-Mapper des Kernels integriert und hat bei Blockoperationen die beste Performance im Vergleich zu anderen Cryptoverfahren (Linux-Magazin 10/06).
    Übrigens ist ab openSUSE 10.2 dm-crypt/luks in der Distribution enthalten, es fehlt nur die Unterstützung durch yast oder andere GUIs.
    Wie ich im ersten Post gefragt habe, gibt es eine Loesung, das komplette System zu verschluesseln, die relativ einfacht ist? Was wuerdet ihr empfehlten?
    Zum Vergrößern anklicken....
    Eine einfache Lösung wird es wohl nicht geben. Für Ubuntu gibt es z.B. dieses HOWTO
    Grundsätzlich hätte ich bei einem vollständig verschlüsseltem Linux Angst, dass eine kleine Unachtsamkeit die ganze Installation unbrauchbar macht.
    Ich wuerde jetzt gerne die alte (unverschluesselte) /home loeschen und die verschluesselte neue /home entsprechend vergroessern. Was nehme ich dazu am besten? Der yast partitioner bietet mir keine Optionen fuer das vergroessern an, ebensowenig die partedmagic CD....
    Zum Vergrößern anklicken....
Meines Wissens ist es nicht möglich, eine mit cryptoloop verschlüsselte Partition oder Containerdatei zu vergrößern. Das wäre ein weiterer Vorteil von dm-crypt/luks.
 
OP
I

innersoul

Newbie
joka schrieb:
Yast verwendet das cryptoloop-Verfahren, das in manchen Diskussionen als veraltet oder kryptographisch angreifbar gilt. Ob das wirklich relevant für den Schutz der Daten bei Diebstahl ist, sei dahingestellt.
Vorteil einer dm-crypt/luks-Partition ist jedenfalls, dass sie neben einem Master-Key bis zu 8 Passwörter für dessen Dechiffrierung enthält. Damit ist es möglich, das Passwort zu ändern oder auch bis zu 7 Nutzern Zugang zur selben Cryptopartition zu geben oder ein Reserve-Passwort zu hinterlegen. Das erleichtert auch die Analyse von Mount-Problemen (falsches Passwort oder Partition beschädigt?). DM-Crypt ist auch direkt im Device-Mapper des Kernels integriert und hat bei Blockoperationen die beste Performance im Vergleich zu anderen Cryptoverfahren (Linux-Magazin 10/06).
Zum Vergrößern anklicken....
ok, danke. jetzt kann ich mir ein bild machen!
joka schrieb:
Meines Wissens ist es nicht möglich, eine mit cryptoloop verschlüsselte Partition oder Containerdatei zu vergrößern. Das wäre ein weiterer Vorteil von dm-crypt/luks.
Zum Vergrößern anklicken....
ok. was ist dann wohl die beste strategie, home mit dm-crypt/luks zu verschluesseln, wenn man keine Daten auslagern kann (sprich: mit der methode, mit der ich es versuchen wollte)? in den links habe ich bisher nicht gefunden, wie man die partition vergroessern kann...

[offtopic]
manchmal verstehe ich Distributionen nicht... Sollte sowas nicht in einem System, dass so um Sicherheit bemueht ist, Standard sein? Inzwischen ist der Marktanteil von Laptops so hoch, dass das ein relevantes Thema ist...
Auf Windows geht per Zusatzsoftware alles sehr einfach und schon seit Jahren, in Vista inzwischen auch ohne Zusatz. Warum sich ausgerechnet in diesem Bereich vom unsicheren Windows den Rang ablaufen lassen?
[/offtopic]
 
J

joka

Member
innersoul schrieb:
in den links habe ich bisher nicht gefunden, wie man die partition vergroessern kann...
Zum Vergrößern anklicken....
Ja, das fehlt noch im Wiki. Hier als Beispiel die Aufrufe für eine LVM-Partition mit dem XFS-Filesystem, das um 500MByte vergrößert wird. Im Gegensatz zu ext2/3 muss XFS im gemounteten Zustand vergrößert werden. (Der erste Befehl "mount.crypt" entfällt natürlich, wenn die Home-Partition schon gemountet ist).
Code: 
# mount.crypt /dev/system/test-luke /home/luke 
Enter LUKS passphrase: 
key slot 0 unlocked.
Command successful.
# lvextend -L +500M /dev/system/test-luke
  Extending logical volume test-luke to 1000,00 MB
  Logical volume test-luke successfully resized
# cryptsetup --verbose resize  _dev_system_test-luke
# xfs_growfs /home/luke 
... data blocks changed from 127736 to 255743
lvextend vergrößert die LVM-Partition, cryptsetup resize passt den Device-Mapper /dev/mapper/dev_system_test-luke an die neue Größe an und xfs_growfs schließlich vergrößert das Filesystem. Das funktioniert natürlich auch mit einer Festplattenpartition die statt "/dev/system/test-luke" einen Namen wie z.B. /dev/hda9 hätte.

Auf der Original-Seite von Saout gibt es ein Beispiel für die Vergrößerung eines ext3-Filesystems einer LVM-Partition.
 
OP
I

innersoul

Newbie
sorry, ich verstehe es noch nicht ganz. LVM ist der Logical Volume Manager - benoetige ich den auch fuer die Verschluesselung? Ich dachte, der legt mehr so mehrere Partitionen zusammen, so dass sie als eine behandelt werden kann...?
wenn ich den nicht benoetige, sind die Befehle trotzdem dieselben?
Ich weiss, eigentlich sollte ich selbst ausprobieren, aber wenn es zu sowas empfindlichen wie Partitionierung kommt, will ich 100% tig sicher sein...

Danke,

innersoul
 
OP
I

innersoul

Newbie
joka schrieb:
Übrigens ist ab openSUSE 10.2 dm-crypt/luks in der Distribution enthalten, es fehlt nur die Unterstützung durch yast oder andere GUIs.
Zum Vergrößern anklicken....
Hab gerade das entdeckt: cryptomaster
Hat jemand erfahrungen damit?
http://profile.az-lantech.de/projects/Project_Cryptomaster/
 
J

joka

Member
innersoul schrieb:
sorry, ich verstehe es noch nicht ganz. LVM ist der Logical Volume Manager - benoetige ich den auch fuer die Verschluesselung? Ich dachte, der legt mehr so mehrere Partitionen zusammen, so dass sie als eine behandelt werden kann...?
wenn ich den nicht benoetige, sind die Befehle trotzdem dieselben?
Zum Vergrößern anklicken....
LVM managed sozusagen virtuelle Partitionen ("Volumes") auf einer virtuellen Platte ("Volume Group"), die im einfachsten Fall auf einer physischen Festplattenpartion installiert ist. LVM wird für Verschlüsselung nicht benötigt.
Mein Beispiel würde für eine Partition /dev/hda8 gemountet auf /home mit dem Filesystem XFS so aussehen:
Code: 
<Partition /dev/hda8 mit yast oder parted vergröpßern>
# mount.crypt /dev/hda8 /home
# cryptsetup --verbose resize  _dev_hda8_home
# xfs_growfs /home
Ich weiss, eigentlich sollte ich selbst ausprobieren, aber wenn es zu sowas empfindlichen wie Partitionierung kommt, will ich 100% tig sicher sein...l
Zum Vergrößern anklicken....
Ich kann natürlich nicht garantieren, dass alles problemlos funktioniert, nur auf die möglichen Kommandos hinweisen.

Im Gegensatz zu Platten-Partitionen können LVM-Partitionen mit einfachen Kommandos im laufenden Betrieb angelegt, vergrößert und gelöscht werden. Deshalb verwende ich sie für meine Beispiele.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben