Hallo Liste Ich habe folgendes vor zu realisieren. Eine Festplatte in einem SuSE 9.1 Server soll ein Verschlüsseltes Reiserfs bekommen, Da aber der Server nicht rund um die Uhr rennt, sondern jeden Morgen brav eingeschaltet wird und abend, wieder aus, möchte ich nciht immer das Passwort für die Festplatte eingegen müssen, ich würd es gerne so haben, dass es in der Konfiguration von alleine geht, nur wenn die Platte aus dem Rechner entfernt wird soll das PW abgefragt werden, ich stelle mir das so vor, dass das PW auf der anderen HDD (nicht verschlüsselt) abgelegt wird und beim Mounten der verschlüsselten das pw aus einer Datei gelesen wird, ist diese Datei nciht vorhanden, soll eben eine Abfrage kommen. Da ich noch nciht sehr viel mit der verschlüsselung zu tun hatte ist meine Frage ob das so möglich ist und wenn ja wie man das realisieren kann. --- Mit freundlichen Grüßen BJ-IT Services * Berko Jantz * Im Bremmenkamp 11 * D- 47178 Duisburg Tel.: 0203-6001424 * Mobil: 0174-8498620 Web: www.bj-itservice.de * Mail: info@bj-itservice.de
Hallo Berko, On Tue, Oct 26, 2004 at 11:03:00AM +0200, Berko Jantz wrote:
Eine Festplatte in einem SuSE 9.1 Server soll ein Verschlüsseltes Reiserfs bekommen, Da aber der Server nicht rund um die Uhr rennt, sondern jeden Morgen brav eingeschaltet wird und abend, wieder aus, möchte ich nciht immer das Passwort für die Festplatte eingegen müssen, ich würd es gerne so haben, dass es in der Konfiguration von alleine geht, nur wenn die Platte aus dem Rechner entfernt wird soll das PW abgefragt werden, ich stelle mir das so vor, dass das PW auf der anderen HDD (nicht verschlüsselt) abgelegt wird und beim Mounten der verschlüsselten das pw aus einer Datei gelesen wird, ist diese Datei nciht vorhanden, soll eben eine Abfrage kommen. Da ich noch nciht sehr viel mit der verschlüsselung zu tun hatte ist meine Frage ob das so möglich ist und wenn ja wie man das realisieren kann.
Dir ist schon klar, dass das Setup ziemlich sinnfrei ist? Warum sollte der Eindringling sich die Mühe machen eine Platte auszubauen wenn er für den gleichen Preis nen kompletten Rechner bekommt? Und warum soll er (wenn er sich denn die Mühe macht) nur eine Festplatte mitnehmen? Evtl. Kannst du aber trotzdem ein ähnliches Setup fahren, wenn der Rechner USB unterstützt. Dann musst du einfach nur sicherstellen, dass beim hochfahren ein USB Stick mit Schlüsseldatei eingesteckt ist. Diesen nach dem Hochfahren wieder entfernen und gut ist. Auf dem USB Stick einfach 2 Partitionen anlegen. 1. Daten (primär id c) 2. Schlüssel (primär id 83) dd if=/dev/urandom of=/dev/sda2 (zweite Partition auf dem Stick) und beim hochfahren kommst du über ein cat oder dd wieder an deinen Schlüssel. Dann nur noch ein kleines Skript das losetup mit dem Passwort (der Partition) füttert und gut ist. Vielleicht noch folgende Punkte: [ ] Du hast auch an ein verschlüsseltes Backup gedacht? [ ] Du bist dir darüber im klaren, dass der USB Stick nicht ewig hält. [ ] Du weisst, dass das System recht aufwändig ist. [ ] Du weisst, dass das System nur ausgeschaltet "sicher" ist. [ ] Ein steckender USB Stick bedeutet Sicherheit = 0; [ ] Das Nutzen/Aufwand Verhältnis ist (IMHO) eindeutig zu klein für das Setup, das ich mir jetzt aufgrund deine Beschreibung vorstelle. Greetings Daniel -- wer glaubt wird selig, wer Wein trinkt fröhlich...
Hallo Berko,
On Tue, Oct 26, 2004 at 11:03:00AM +0200, Berko Jantz wrote:
Eine Festplatte in einem SuSE 9.1 Server soll ein Verschlüsseltes Reiserfs bekommen, Da aber der Server nicht rund um die Uhr rennt, sondern jeden Morgen brav eingeschaltet wird und abend, wieder aus, möchte ich nciht immer das Passwort für die Festplatte eingegen müssen, ich würd es gerne so haben, dass es in der Konfiguration von alleine geht, nur wenn die Platte aus dem Rechner entfernt wird soll das PW abgefragt werden, ich stelle mir das so vor, dass das PW auf der anderen HDD (nicht verschlüsselt) abgelegt wird und beim Mounten der verschlüsselten das pw aus einer Datei gelesen wird, ist diese Datei nciht vorhanden, soll eben eine Abfrage kommen. Da ich noch nciht sehr viel mit der verschlüsselung zu tun hatte ist meine Frage ob das so möglich ist und wenn ja wie man das realisieren kann.
Dir ist schon klar, dass das Setup ziemlich sinnfrei ist?
Warum sollte der Eindringling sich die Mühe machen eine Platte auszubauen wenn er für den gleichen Preis nen kompletten Rechner bekommt?
Und warum soll er (wenn er sich denn die Mühe macht) nur eine Festplatte mitnehmen?
Evtl. Kannst du aber trotzdem ein ähnliches Setup fahren, wenn der Rechner USB unterstützt. Dann musst du einfach nur sicherstellen, dass beim hochfahren ein USB Stick mit Schlüsseldatei eingesteckt ist. Diesen nach dem Hochfahren wieder entfernen und gut ist. Auf dem USB Stick einfach 2 Partitionen anlegen. 1. Daten (primär id c) 2. Schlüssel (primär id 83)
dd if=/dev/urandom of=/dev/sda2 (zweite Partition auf dem Stick)
und beim hochfahren kommst du über ein cat oder dd wieder an deinen Schlüssel. Dann nur noch ein kleines Skript das losetup mit dem Passwort (der Partition) füttert und gut ist.
Vielleicht noch folgende Punkte: [ ] Du hast auch an ein verschlüsseltes Backup gedacht? [ ] Du bist dir darüber im klaren, dass der USB Stick nicht ewig hält. [ ] Du weisst, dass das System recht aufwändig ist. [ ] Du weisst, dass das System nur ausgeschaltet "sicher" ist. [ ] Ein steckender USB Stick bedeutet Sicherheit = 0; [ ] Das Nutzen/Aufwand Verhältnis ist (IMHO) eindeutig zu klein für das Setup, das ich mir jetzt aufgrund deine Beschreibung vorstelle.
Greetings Daniel
Hallo Die Idee gefällt mir, muss ich mich mal durcharbeiten. Der Hintergrund ist folgender. Platte eins: Allgemeine Boot und kram Platte Platte 2 : Firmendaten Den USB Stick kann man bequem nach Feierabend mitnehmen. Die Firmendaten hätte ich aber gerne gesichert, falls dochmal wer auf die Idee kommt sehen zu wollen was sich auf derPlatte befindet. So sieht man nix und das lässt mich besser schlafen :) 1. Ja hab ich :) 2. Ich bin einer von der Sorte der immer nen Backup vom Backup zur Hand hat :) Ergo, der Usb stick wird gebackupt :) 3. Ich hoffe ich bekomm das hin :) 4. Der Server wird bei Feierabend abgeschaltet. 5. Siehe oben 6. owei... ich hab ja sonst nix zu tun :) --- Mit freundlichen Grüßen BJ-IT Services * Berko Jantz * Im Bremmenkamp 11 * D- 47178 Duisburg Tel.: 0203-6001424 * Mobil: 0174-8498620 Web: www.bj-itservice.de * Mail: info@bj-itservice.de
Berko Jantz schrieb am 10/26/2004 11:03 AM:
Eine Festplatte in einem SuSE 9.1 Server soll ein Verschlüsseltes Reiserfs bekommen, Da aber der Server nicht rund um die Uhr rennt, sondern jeden Morgen brav eingeschaltet wird und abend, wieder aus, möchte ich nciht immer das Passwort für die Festplatte eingegen müssen, ich würd es gerne so haben, dass es in der Konfiguration von alleine geht, nur wenn die Platte aus dem Rechner entfernt wird soll das PW abgefragt werden, ich stelle mir das so vor, dass das PW auf der anderen HDD (nicht verschlüsselt) abgelegt wird und beim Mounten der verschlüsselten das pw aus einer Datei gelesen wird, ist diese Datei nciht vorhanden, soll eben eine Abfrage kommen. Da ich noch nciht sehr viel mit der verschlüsselung zu tun hatte ist meine Frage ob das so möglich ist und wenn ja wie man das realisieren kann.
Eins vorweg: In dem Fall sehe ich den Sinn der Verschluesselung nicht, das ist ungefaehr so wie das Notieren der PIN direkt auf der EC-Karte. Es kam ja schon der Vorschlag mit dem USB-Stick... Fuer die Verschluesselung selbst wuerde ich dm-crypt verwenden, nach Aussagen der Kernel-Entwickler ist das die Verschluesselung der Zukunft, cryptloop wird nicht mehr weiterentwickelt. Weiterfuehrende Informationen findest Du unter http://www.saout.de/misc/dm-crypt/ speziell unter http://www.saout.de/tikiwiki/tiki-index.php sind einige interessante How-Tos. Falls Du evtl. Dein gesamtes System verschluesseln moechtest, gibt es hier (fuer Gentoo, aber fuer SuSE adaptierbar --> siehe mein frueheres Posting vor einigen Wochen) sehr ausfuehrliche Informationen - allerdings wird dort noch cryptoloop/loop-AES verwendet: http://forums.gentoo.org/viewtopic.php?t=108162 http://forums.gentoo.org/viewtopic.php?t=191052 MfG, Michael.
Berko Jantz schrieb am 10/26/2004 11:03 AM:
Eine Festplatte in einem SuSE 9.1 Server soll ein Verschlüsseltes Reiserfs bekommen, Da aber der Server nicht rund um die Uhr rennt, sondern jeden Morgen brav eingeschaltet wird und abend, wieder aus, möchte ich nciht immer das Passwort für die Festplatte eingegen müssen, ich würd es gerne so haben, dass es in der Konfiguration von alleine geht, nur wenn die Platte aus dem Rechner entfernt wird soll das PW abgefragt werden, ich stelle mir das so vor, dass das PW auf der anderen HDD (nicht verschlüsselt) abgelegt wird und beim Mounten der verschlüsselten das pw aus einer Datei gelesen wird, ist diese Datei nciht vorhanden, soll eben eine Abfrage kommen. Da ich noch nciht sehr viel mit der verschlüsselung zu tun hatte ist meine Frage ob das so möglich ist und wenn ja wie man das realisieren kann.
Eins vorweg: In dem Fall sehe ich den Sinn der Verschluesselung nicht, das ist ungefaehr so wie das Notieren der PIN direkt auf der EC-Karte. Es kam ja schon der Vorschlag mit dem USB-Stick...
Fuer die Verschluesselung selbst wuerde ich dm-crypt verwenden, nach Aussagen der Kernel-Entwickler ist das die Verschluesselung der Zukunft, cryptloop wird nicht mehr weiterentwickelt.
Weiterfuehrende Informationen findest Du unter
http://www.saout.de/misc/dm-crypt/
speziell unter http://www.saout.de/tikiwiki/tiki-index.php sind einige interessante How-Tos.
Falls Du evtl. Dein gesamtes System verschluesseln moechtest, gibt es hier (fuer Gentoo, aber fuer SuSE adaptierbar --> siehe mein frueheres Posting vor einigen Wochen) sehr ausfuehrliche Informationen - allerdings wird dort noch cryptoloop/loop-AES verwendet:
http://forums.gentoo.org/viewtopic.php?t=108162 http://forums.gentoo.org/viewtopic.php?t=191052
MfG,
Michael.
Hallo Also danke erstmal für eure Hilfe, ich habe mir diese beiden Beiträge einmal zu gemüte geführt und habe beschlossen das sie zu hoch für mich sind. :) ich habe jetzt testweise auf einer (testmaschine) eine twofish verschlüsste partition angelegt. Wie einen Beitrag vorher zu lesen ist muss ich der Kiste beim booten nur noch beibringen den Key vom usb stick zu lesen. das soll mit [dd] funktionieren bzw losetup Wenn ich das also richtig verstehe kommt das script welches das passwort übergibt mit auf dem Stick als "autostart". Die mans zu dd und losetup bringen mich ehrlich gesagt nicht wirklich weiter. Ich habe mit dd und losetup bis jetzt nicht abeiten (müssen) können.. --- Mit freundlichen Grüßen BJ-IT Services * Berko Jantz * Im Bremmenkamp 11 * D- 47178 Duisburg Tel.: 0203-6001424 * Mobil: 0174-8498620 Web: www.bj-itservice.de * Mail: info@bj-itservice.de
participants (3)
-
Berko Jantz
-
Daniel Lord
-
Michael Schachtebeck