Hallo zusammen, da ich mein System doch noch einmal umbauen will, überlege ich nun das Rootverzeichnis doch mit Luks zu verschlüsseln. Was ich automatisieren möchte, ist die Eingabe der Passphrase. pam_mount kommt m.E. hierzu nicht in Frage oder Doch? Bei Eintrag der Partition in die /etc/cryptab wird während des Bootvorganges die Passphrase abgefragt. Ist man im Zeitfenster abwesend, wird dieses mit der Folge abgebrochen, dass die Partition nicht eingehängt wird. Damit ist ein Reboot fällig, was nervt und Streß in der Familie bereitet ;) An welcher Stelle werden für / und /swap die Passphrasen eingegeben? Kann dass an grub übergeben werden oder muss man beim Bootvorgang diese jeweils am Luks-Konsolen-Promt (sorry) getrennt eingeben und somit vorm Rechner Kaffee (auch Tee) trinkend abwarten? Der Abschnitt 8. Optional: Home-Keyfile auf verschlüsselter Root-Partition anlegen auf http://forum.ubuntuusers.de/topic/how-to:-komplett-verschluesselung-mit-cryp... irritiert mich etwas. Wenn ich das richtig verstand, wird die Passphrase in einem keyfile abgelegt und muss beim Booten nicht mehr eingegeben werden. Wo bleibt denn die Sicherheit, wenn der Rechner eben auch ohne die Eingabe der Passphrase bootet? Vorstellen (leider ist mein Wissen zu begrenzt) kann ich mir das allenfalls für /swap. Wenn ich Grub mit Passwort sichere, dann liegt dieses doch sicherlich auf /boot vergraben? Dann könnte ich mir den ganzen Aufwand und den Performanceverlust auch sparen? Danke fürs Mitdenken und schönen Sonntagabend noch ;) -- Beste Grüße Christian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag 18 Januar 2010 16:31:11 schrieb Christian Meseberg:
Hallo zusammen,
da ich mein System doch noch einmal umbauen will, überlege ich nun das Rootverzeichnis doch mit Luks zu verschlüsseln. Was ich automatisieren möchte, ist die Eingabe der Passphrase. pam_mount kommt m.E. hierzu nicht in Frage oder Doch? Bei Eintrag der Partition in die /etc/cryptab wird während des Bootvorganges die Passphrase abgefragt. Ist man im Zeitfenster abwesend, wird dieses mit der Folge abgebrochen, dass die Partition nicht eingehängt wird. Damit ist ein Reboot fällig, was nervt und Streß in der Familie bereitet ;)
weshalb machst Du es Dir so kompliziert? Partitionierer in Yast öffnen, Häkchen bei Verschlüsseln, Passphrase eingeben und schon wird die Passphrase beim Booten abgefragt. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Thomas Schirrmacher meinte am Montag, den 18.01.2010 um 16:59 Uhr wegen:Root- und Swap verschlüsseln
Am Montag 18 Januar 2010 16:31:11 schrieb Christian Meseberg:
Hallo zusammen,
da ich mein System doch noch einmal umbauen will, überlege ich nun das Rootverzeichnis doch mit Luks zu verschlüsseln. Was ich automatisieren möchte, ist die Eingabe der Passphrase. pam_mount kommt m.E. hierzu nicht in Frage oder Doch? Bei Eintrag der Partition in die /etc/cryptab wird während des Bootvorganges die Passphrase abgefragt. Ist man im Zeitfenster abwesend, wird dieses mit der Folge abgebrochen, dass die Partition nicht eingehängt wird. Damit ist ein Reboot fällig, was nervt und Streß in der Familie bereitet ;)
weshalb machst Du es Dir so kompliziert? Partitionierer in Yast öffnen, Häkchen bei Verschlüsseln, Passphrase eingeben und schon wird die Passphrase beim Booten abgefragt.
ok, dass hatte ich ja erkannt, steht oben. Nur möchte ich nicht immer neben dem Rechner sitzen bleiben, bis dazu die Eingabeaufforderung kommt. Kann ich irgendwo die Eingabezeit auf unbegrenzt setzen, damit dieses bei Abwesenheit nicht übersprungen wird? -- Beste Grüße Christian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag 18 Januar 2010 18:21:36 schrieb Christian Meseberg:
ok, dass hatte ich ja erkannt, steht oben. Nur möchte ich nicht immer neben dem Rechner sitzen bleiben, bis dazu die Eingabeaufforderung kommt. Kann ich irgendwo die Eingabezeit auf unbegrenzt setzen, damit dieses bei Abwesenheit nicht übersprungen wird?
mein Verständnis von der Eingabe eines Passwortes oder einer Passphrase ist, dass man dieses manuell eingibt. Dazu muss man zwangsläufig vor dem Rechner sitzen. Alles andere macht ja auch keinen Sinn. Wenn Du beim Starten des Rechners feststellst, Dir doch erst nen Kaffee aufzusetzen, dann bin ich überzeugt, dass Du das nacheinander hinbekommst -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Christian Meseberg wrote:
ok, dass hatte ich ja erkannt, steht oben. Nur möchte ich nicht immer neben dem Rechner sitzen bleiben, bis dazu die Eingabeaufforderung kommt. Kann ich irgendwo die Eingabezeit auf unbegrenzt setzen, damit dieses bei Abwesenheit nicht übersprungen wird?
man crypttab timeout=sec Time out interactive password prompts after sec seconds. HTH, Joachim -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Joachim Marx meinte am Dienstag, den 19.01.2010 um 14:40 Uhr wegen:Root- und Swap verschlüsseln
man crypttab timeout=sec Time out interactive password prompts after sec seconds.
das wars ;) danke, an Alle die geholfen haben !! -- Beste Grüße Christian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 18.01.2010, Christian Meseberg wrote:
Wenn ich das richtig verstand, wird die Passphrase in einem keyfile abgelegt und muss beim Booten nicht mehr eingegeben werden. Wo bleibt denn die Sicherheit, wenn der Rechner eben auch ohne die Eingabe der Passphrase bootet?
Um die root Partition zu verschluesseln, muss (natuerlich) /boot auf einer extra Partition liegen. Das Abfragen der Passphrase des verschl. root erfolgt via initrd, d.h. /boot ist immer unverschluesselt. Du kannst dann z.B. fuer swap und /home ein keyfile auf / ablegen, welches dann nach dem Entschluesseln von root automatisch die genannten Partitionen oeffnet. Der Rechner bootet keinesfalls ohne die Angabe der korrekten Passphrase. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
2010/1/18 Heinz Diehl
On 18.01.2010, Christian Meseberg wrote:
Wenn ich das richtig verstand, wird die Passphrase in einem keyfile abgelegt und muss beim Booten nicht mehr eingegeben werden. Wo bleibt denn die Sicherheit, wenn der Rechner eben auch ohne die Eingabe der Passphrase bootet?
Um die root Partition zu verschluesseln, muss (natuerlich) /boot auf einer extra Partition liegen. Das Abfragen der Passphrase des verschl. root erfolgt via initrd, d.h. /boot ist immer unverschluesselt.
Du kannst dann z.B. fuer swap und /home ein keyfile auf / ablegen, welches dann nach dem Entschluesseln von root automatisch die genannten Partitionen oeffnet.
Der Rechner bootet keinesfalls ohne die Angabe der korrekten Passphrase.
Genauso mache ich das auch, kleine /boot-Partition mit Kernel und initrd und dann root-Partition verschluesselt mit Passphrase. Die anderen Partitionen haben Keys, die dann in der verschluesselten root-Partition liegen. Die lokalen Backup-Platten habe auch alle Keys in der root-Partition (und zusaetzlich Passphrases), waehrend meine Offsite-Backup-Platte (so eine kleine 2.5"-USB-Platte zum Rumtragen) natuerlich eine Passphrase hat. Kann man alles wunderbar mit LUKS/cryptconfig einrichten. kk -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (5)
-
Christian Meseberg -
Heinz Diehl -
Joachim Marx -
Karsten Künne -
Thomas Schirrmacher