• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Linux HD zukünftig besser verschlüsseln bei parallelem Windows?

gorgonz

Hacker
Unter Windows 10 soll ja demnächst ein Treiber kommen, um auch Linux Partitionen lesen zu können. Mir persönlich gefällt das nicht, weil ich nicht mehr so sicher sein kann, dass Malware auch unter Linux abgespeichert werden kann.

Wie geht ihr damit um?

Ich selber überlege, ob ich die Linux Platten jetzt besser verschlüsseln sollte, fürchte aber etwas den Verlust an Performance bzw. der Daten, wenn da mal was schief geht ;-). Hatte das schlicht bisher noch nie gemacht

Gibt es vielleicht noch andere Möglichkeiten, die Linux Partitionen vor Windows zu verbergen?
 
Du willst wegen Windows Linux ändern? Das ist wohl der verkehrte Weg.
Der Zugriff auf ein Linux FS ist nicht trivial. Das gesamte Journaling muß von Windows bei Änderungen im FS nachgezogen werden,
sonst wird das Zielsystem beschädigt. (nicht bei btrfs). Das wird ohne WSL - eine Art Pseudo VM von Microsoft für Linux - kaum möglich sein.
Ansehen ohne WSL ja aber Ändern, nein, vor allem bei ext4 ohne Risken kaum möglich.
Diesen ziemlich aufwendigen Mechanismus unter Window abzuschalten, wird sicher kein Problem sein.

Gruß
Gräfin Klara
 

marce

Guru
Doofe Frage: selbst wenn Windows einen Linux-Filesystemtreiber (welches denn?) bekommen sollte - Du brauchst ja die entsprechenden Partitionen im Dateisystemmanager nicht einbinden / konfigurieren - und damit sind sie erst mal ohne administative Aktion nicht im System verfügbar.
 
OP
G

gorgonz

Hacker
ich fürchte, dass ich missverstanden wurde.

Im Moment wird bei Microsoft daran gearbeitet, dass Windows 10 einen Treiber erhält, der es jedem Windows Benutzer ermöglicht, auf Linux Partitionen lesend/schreibend zugreifen zu können. Das ist, was mir nicht gefällt. Ich möchte mein Linux vor dem Zugriff von Windows Benutzern schützen ;-).
 
gorgonz schrieb:
ich fürchte, dass ich missverstanden wurde.

Im Moment wird bei Microsoft daran gearbeitet, dass Windows 10 einen Treiber erhält ...
Du wurdest nicht missverstanden.
Dieser "Treiber", der möglicherweise irgendwo versteckt vor sich hinarbeitet und alles unter Linux ermöglicht, das sind fake news.
Es ist nicht möglich mit einem simplen windows driver schreibend auf ein Unix FS zuzugreifen, ohne dieses zu beschädigen.
Dafür braucht es ein System wie WSL oder Teile davon und die sind komplex. Auf Grund dieser Komplexität wird dieser Zugriff immer
abschaltbar sein, egal ob Microsoft das so vorsieht oder nicht.
 
OP
G

gorgonz

Hacker
Danke Dir für die Klarstellung Gräfin Klara, das klingt doch erst mal beruhigend :)

Hab schon gerade nach dem Artikel gesucht, leider nicht sofort wieder gefunden. Aber ich glaube es war tatsächlich im Zusammenhang mit WSL. Ich werde es sicher in meinem parallelen Windows nicht aktivieren, es scheint aber nur ein bis zwei Powershell Kommandos zu brauchen, um das zu ändern. Ich kenne mich leider nicht gut genug in Windows 10 aus, um einschätzen zu können, ob das Subsystem zukünftig immer dabei sein wird und lediglich aktiviert werden muss.

Hmm, inzwischen habe ich sogar den Eindruck, dass dieses WSL nur mit einem Linux arbeiten kann, das in dessen VM installiert wird - und damit nur in einer gekapselten Umgebung. Dann wären ja meine Partitionen wieder sicher.

Stimmt das so?

Sorry, dass ich hier etwas NOOB Fragen stellen muss
 
gorgonz schrieb:
..
Hmm, inzwischen habe ich sogar den Eindruck, dass dieses WSL nur mit einem Linux arbeiten kann, das in dessen VM installiert wird - und damit nur in einer gekapselten Umgebung. Dann wären ja meine Partitionen wieder sicher.

Stimmt das so?
Zur Zeit stimmt das so, Aber ... Microsoft hat vor, Teile von WSL oder das gesamte WSL dafür zu verwenden, um aus dieser "sandbox"
ausbrechen zu können, damit sie auf dein Linux FS Zugriff erhalten. Doch Microsoft wird niemals ein zweites System - WSL ist ein System -
in ihr eigentliches OS integrieren. Das wäre dumm weil viel zu riskant und dumm sind die nicht.
Deshalb: Installiere es nicht ODER aktiviere es nicht ODER nimm es außer Betrieb.
Es wird in jedem Fall die Möglichkeit geben, diese Verbindung zu deinem Linux zuverlässig zu kappen. Das kann Microsoft nicht verhindern.

Was ist ein NOOB?
 

gehrke

Administrator
Teammitglied
Wenn Du dich nicht auf solch beruhigenden Worte verlassen willst: encrypt it all.

Ich weiß gar nicht, was anno 2020 dagegen sprechen sollte, seine Systeme mit LUKS gegen diverse Angriffsvektoren abzusichern. Einfach als Standard.
 
OP
G

gorgonz

Hacker
Vielen Dank für den vielen Input, Gräfin Klara & gehrke :)

Ich werde da gerade wieder etwas gelassener. Den Tipp generell auf Verschlüsselung zu gehen, finde ich bedenkenswert. Muss mal etwas recherchieren, was es mich an Performance kosten wird. Da ich gerne leise Rechner habe, verwende ich Daten-Festplatten mit 5400 U/min, fürs OS natürlich schon SSD ;-).

NOOB: https://de.wiktionary.org/wiki/Noob ;-)
 
OP
G

gorgonz

Hacker
gehrke schrieb:
Es würde mich schwer wundern, wenn Du es überhaupt bemerken würdest.
Ok, wenn das so ist :). Da ich auch noch SW-RAID1 unter Linux haben werde, habe ich zwar eine weitere Bremse, aber die ist ja in jedem Fall dabei, I will give it a try :D
 

abgdf

Guru
Die sensibleren Daten habe ich unter Linux in einem verschlüsselten Container. Bzw. mehreren.
Wie man sowas auf meinem älteren SuSE-13.1-System erstellt, hatte ich hier beschrieben. Ob die Informationen so noch gültig sind, oder ob man das auf neueren Systemen anders macht, erfahre ich, wenn ich einen neuen Computer kaufe und dann ein solches neueres System installiere.

Prinzipiell halte ich schon für möglich, daß ein gebootetes Windows mit einem entsprechenden Treiber im Hintergrund ungefragt eine Linux-Partition einbindet, daraus Daten liest und diese "nach Hause" schickt.
Wenn ich z.B. meinen Rechner von einer Puppy-(2.14x)-Linux-CD boote, bekomme ich sogar root-Zugriff auf meine SuSE-Partition auf der Festplatte - ohne Passwort. Wenn Microsoft z.B. diesen Mechanismus in Windows integrieren würde (man kann Puppy auch nur als Datei auf einer Windows-Partition speichern, aber man müßte es halt booten), könnte Windows Zugriff bekommen.

Um andere Windows-User wäre ich weniger besorgt. Um die von der Linux-Partition fernzuhalten, wird Windows sicherlich eine Option bereitstellen.
 

gehrke

Administrator
Teammitglied
Ich habe mehrere Systeme seit vielen Jahren mit dieser Konstellation: LUKS+mdadm+LVM

Edit: Die Reihenfolge müsste natürlich sein: mdadm+LUKS+LVM
 
OP
G

gorgonz

Hacker
hey, klingt gut, also ich mach das, gehrke. Danke Dir :). jetzt muss ich nur noch auf die Lieferung der FPs warten ,,, ;-)
 

marce

Guru
Gräfin Klara schrieb:
Du wurdest nicht missverstanden.
Dieser "Treiber", der möglicherweise irgendwo versteckt vor sich hinarbeitet und alles unter Linux ermöglicht, das sind fake news.
Es ist nicht möglich mit einem simplen windows driver schreibend auf ein Unix FS zuzugreifen, ohne dieses zu beschädigen.
Dafür braucht es ein System wie WSL oder Teile davon und die sind komplex. Auf Grund dieser Komplexität wird dieser Zugriff immer
abschaltbar sein, egal ob Microsoft das so vorsieht oder nicht.
Sorry, aber das ist Bullshit.

Mit der Argumentation könnte Linux ja auch nicht auf FAT, NTFS oder andere Systeme zugreifen.

Es ist für ein OS überhaupt kein Problem, einen fremden Dateisystemtreiber zu integrieren - und da braucht es auch keine komplexe Schicht drumherum. Das ist ein popeliges Stück Software. Mehr nicht.
 
marce schrieb:
Gräfin Klara schrieb:
Du wurdest nicht missverstanden.
Dieser "Treiber", der möglicherweise irgendwo versteckt vor sich hinarbeitet und alles unter Linux ermöglicht, das sind fake news.
Es ist nicht möglich mit einem simplen windows driver schreibend auf ein Unix FS zuzugreifen, ohne dieses zu beschädigen.
Dafür braucht es ein System wie WSL oder Teile davon und die sind komplex. Auf Grund dieser Komplexität wird dieser Zugriff immer
abschaltbar sein, egal ob Microsoft das so vorsieht oder nicht.
Sorry, aber das ist Bullshit.
Mit der Argumentation könnte Linux ja auch nicht auf FAT, NTFS oder andere Systeme zugreifen.
Du kannst doch nicht wirklich der Meinung sein, weil der Zugriff von Linux auf Windows Filesysteme so
einfach möglich ist, dass es in die andere Richtung auch so sein muß? Ist das dein Wissen um Unix Filesysteme?

FAT und NTFS sind sich - abgesehen von der Security Policy - sehr ähnlich.
Beides sind fragmentierte Filesysteme und werden entweder in der Master File Table
oder in der File Allocation Table verwaltet. Änderungen in diesen Files werden in diesen
Tabellen vermerkt und damit ist der Vorgang einer Veränderung im Filesystem erledigt.
Das ist aus Richtung Linux einfach zu realisieren.

Von Richtung Windows nach Linux ist das keineswegs so simpel. Unix Filesysteme müssen als ein System
gesehen werden. Jede Änderung betrifft das gesamte Filesystem und nicht nur eine Tabelle.
Rechte, Zeitstempel, Besitz von Dateien, usw. können nicht wie unter NTFS einfach ignoriert werden.
Diese Parameter (für Journailing noch einige mehr) müssen bei jeder Dateiänderungen in das Filesystem
übertragen werden und nicht nur in eine Tabelle. Passiert das nicht, wird das Filesystem beschädigt.

Microsoft löst das Problem so, dass unter WSL ein eigener Server das gesamte Linux Filesystem lädt,
jede Dateiänderung wird von diesem Server nachvollzogen und erst danach erfolgt ein Update auf eine Linux Partition.
Ein direktes Schreiben auf ein Linux FS mit Hilfe z.b. eines Windows drivers ist unmöglich!

marce schrieb:
Es ist für ein OS überhaupt kein Problem, einen fremden Dateisystemtreiber zu integrieren - und da braucht es auch keine komplexe Schicht drumherum. Das ist ein popeliges Stück Software. Mehr nicht.
Rich Turner, ein Microsoft Programmierer der an WSL arbeitet, beschreibt die Problematik folgend:

https://devblogs.microsoft.com/commandline/do-not-change-linux-files-using-windows-apps-and-tools/

Du solltest deine seltsame Meinung an Rich Turner richten. Schreib ihm, dass seine Ansichten "Bullshit" sind
und seine Arbeiten an WSL ersetzt werden können durch ein "popeliges Stück Software".
Deine Expertise wird ihn mit Sicherheit erheitern.


Gruß
Gräfin Klara
 
mkossmann schrieb:
Gräfin Klara schrieb:
Es ist nicht möglich mit einem simplen windows driver schreibend auf ein Unix FS zuzugreifen, ohne dieses zu beschädigen.

Gegenbeispiel: https://www.paragon-software.com/de/home/linuxfs-windows/
Was soll das sein? Soll das ein Beispiel sein für einen windows driver?

Paragon ist nichts anderes als eine Softwareschnittstelle zwischen Dokan und dem User.

http://dokan-dev.github.io/

Dokan arbeitet, ähnlich wie WSL, als ein eigener Server, der ein Filesystem nachbilden kann.
Die Beziehung zwischen Paragon und Dokan ist in etwa vergleichbar mit Firefox und einem Add-on.
Das eine ist eine eigenständige Applikation, das andere eine Erweiterung dieser Applikation.
Willst du eine Applikation neuerdings als einen windows driver bezeichnen?
 
Oben