Hallo Heinz,
Eine Verschluesselung von /home mit umgeleitetem/verschl. swap und tmp wuerde mich ehrlich gesagt in der heutigen Zeit nicht mehr ruhig schlafen lassen, auch nicht im Beispiel 2. Es ist naemlich schnell mal nach dem Passwort auf den unverschl. Teilen des Systems gesucht, es gibt dazu einige freie Tools (von John the ripper ueber was weiss ich noch alles..). Will meinen: auch der einfache Dieb denkt sich vielleicht: hmm, nettes Laptop, mal sehen, was da alles drauf ist. Ups, /home ist verschluesselt, also lass' mal Google nach ein paar Prograemmchen suchen, die z.B. geloeschte Dateien wieder herstellen, alle zugaenglichen Daten als Datenbank fuer einen bruteforce Angriff benutzen usw. usw. Alles das geht recht schnell, ohne allzuviel Ahnung, und es ist kostenlos. Vielleicht ist da ja doch noch eine Zugangskennung fuer das online banking...
Vollkommen richtig. Wenn man LUKS in Kombination mit pam_mount nutzen will und den komfortablen Weg wählt ist ja das Nutzerpasswort gleiche dem LUKS-Passwort somit steht das Passwort in der /etc/shadow wo ich dann mit Brute-Force Angriffen das eventuell ermitteln kann.
Ich bin außer meiner Freundin der einzige der dieses Notebook nutzen wird und vor ihr will ich und brauche ich auch keine Daten zu verstecken. (Falls das auch noch benötigt werden würde, wäre meiner Meinung auch ecryptfs besser, da hier immer auch nur das jeweilige Home-Verzeichnis des Benutzers eingebunden wird und nicht wie bei LUKS die Home-Partition aller Usern eingehangen wird!?).
LUKS/dmcrypt kann alles das auch, es kommt darauf an, wie du es benutzt. Du kannst auch nur dein eigenes /home/nutzer in einen container packen.
Klar Container gehen natürlich auch, habe nur gesehen das ecryptfs unter Ubuntu die Container dynamisch erstellt. D.h ich brauche keinen Container fixer Größe anzulegen.
Ein komplett verschlüsseltes System wäre einheitlicher und Suspend to Disk sollte wohl damit auch möglich sein.
Dazu brauchst du aber swapspace mindestens in Groesse des Hauptspeichers, denn der Speicherinhalt muss ja auf die Platte geschrieben werden koennen.
Klar das habe ich bereits.
Fuer S2D und aehnliches empfehle ich dir auch unbedingt, cryptsetup mindestens in Version 1.1.0-rc3 oder aktuell aus dem svn repository zu benutzen:
liesel:/home/htd # cryptsetup --version cryptsetup 1.1.0-rc3
luksSuspend <name>
suspends active device (all IO operations are frozen) and wipes encryption key from kernel. Kernel version 2.6.19 or later is required. After that operation you have to use luksResume to reinstate encryption key (and resume device) or luksClose to remove mapped device.
WARNING: never try to suspend device where is the cryptsetup binary itself.
luksResume <name>
Resumes suspended device and reinstates encryption key. You will need provide passphrase identical to luksOpen command (using prompting or key file).
Okay, warscheinlich muss ich dann die Hibernate-Skripte noch anpassen oder? Allerdings finde ich bei Google: ================================== luksSuspend <name> suspends active device (all IO operations are frozen) and wipes encryption key from kernel. Kernel version 2.6.19 or later is required. After that operation you have to use \fIluksResume\fR to reinstate encryption key (and resume device) or \fIluksClose\fR to remove mapped device. WARNING: never try to suspend device where is the cryptsetup binary itself. luksResume <name> Resumes suspended device and reinstates encryption key. You will need provide passphrase identical to luksOpen command (using prompting or key file). ------- This feature provides a way to implement secure hibernation without having to use an encrypted swap partition. It should be used in ubuntu's hibernation scripts as soon as a new stable version of cryptsetup is released. ================================== Braucht man das nur wenn man SWAP nicht mit verschlüsselt? Gruss Patrick -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org