Martin Schröder wrote:

Am 7. April 2015 um 10:04 schrieb Kyek, Andreas, Vodafone DE :

...

Was verschlüsselt man? (Der Laptop hat 'ne 240GB SSD) Ich möchte eigentlich nicht gross partitionieren - im Nachhinein ist aus Erfahrung genau das betroffene FS dann zu klein. Man braucht doch aber zum booten dann mindestens ein unverschlüsseltes /boot, oder?

Alles. Nimm LVM; dann sollte der Installer eine Option anbieten, um das mit LUKS zu verschlüsseln.

LVM kenne ich zwar (nutze ich auch im Server); aber: Nochmals - was wird verschlüsselt? GRUB[2] muss doch irgendetwas unverschlüsseltes lesen können, oder? Also brauche ich zumindest mal ein /boot unverschlüsselt. Oder liege ich da falsch? Ich würde dann meine restliche Platte in EIN weiteres LV packen; damit wäre bis auf die boot-Information alles verschlüsselt. Richtig? Ich würde ungerne diverse LVs anlegen, die auf der Platte für andere Teile Platz wegnehmen, den sie nicht brauchen. Oder packt man alles einfach unter /home, was an persönlichen Daten liegt (inkl. der zwischen den Nutzern gesharten Info; so was habe ich hier auch!) und verschlüsselt nur /home? (also ein LV fürs System und eins für Home verschlüsselt) Immer noch verwirrt Andreas

Am Tue, 7 Apr 2015 12:27:23 +0200 schrieb Martin Schröder :

Am 7. April 2015 um 12:05 schrieb Kyek, Andreas, Vodafone DE :

...

Nochmals - was wird verschlüsselt? GRUB[2] muss doch irgendetwas unverschlüsseltes lesen können, oder? Also brauche ich zumindest mal ein /boot unverschlüsselt. Oder liege ich da falsch?

Ich würde dann meine restliche Platte in EIN weiteres LV packen; damit wäre bis auf die boot-Information alles verschlüsselt. Richtig?

Ja. Hab ich irgendwann vor 13.1 mal eingerichtet; nach grub kommt direkt eine Passwortabfrage.

Ich verwende seit Jahren ein verschlüsseltes System mit SSD. Läuft prima. Nur bei OS läuft es ohne viel Gefummel bei der Installation. Z.Z läuft bei mir OS 13.2. /boot ist bei mir eine ext4 - Partition ( YaST will - glaube ich - bfrs) Der Rest liegt im LVM / und auch SWAP Auch hier bietet YaST brfs und Co an. Ich habe ext4. Ich habe je eine Partition für / , /home und SWAP mit ext4 Die Partitionen kann man wegen LVM per YaST anpassen. Gruß Heiner -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Am 7. April 2015 um 14:21 schrieb Kyek, Andreas, Vodafone DE :

Suspend to RAM funktioniert mit SWAP in verschlüsseltem LVM?

Ja. Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

On Wed, 8 Apr 2015 00:39, Christian Boltz wrote:

Am Dienstag, 7. April 2015 schrieb Martin Schröder:

...

Am 7. April 2015 um 14:21 schrieb Kyek, Andreas, Vodafone DE:

...

Suspend to RAM funktioniert mit SWAP in verschlüsseltem LVM?

Ja.

Äh, Suspend to _RAM_ funktioniert sogar ohne SWAP ;-)

Hat jemand Infos, wie es mit Suspend to _disk_ aussieht?

Hintergrund, Booten zum Wiederaufwachen aus "Suspend to disk" Teil 1: Maschine an, BIOS/UEFI tun ihr Ding, Bootloader (meist Grub2) läd den Kernel des letzten Laufes (wichtig falls neuer Kernel installiert) Teil 2: Der Kernel initiert, läd die initrd / initramfs, läd die notwendigen Kernel module. Bis Hierher wurde nur aus der /boot Partion der Kernel und die initrd / initramfs gelesen, sonst noch keine der Partitonen angetasted. Nun guckt das modul von s2disk nach ob auf der mit resume=.... in der Kernel Befehlzeile angegebenen Partiton ein intaktes System schläft, wenn ja, wird diese geladen, und es geht weiter. Was ist beim Verschlüsselten System anders als beim Nicht versch.? Wenn das s2disk Modul auf eine Verschlüsselte Resume/Swap zugreifen will, meldet sich LUKS zu Word und will das Kennwort, erst danach wird die dann damit entschlüsselte Resume/Swap gelesen und es geht weiter. Hilft das als Erklärung? - Yamaban.

Hallo Andreas, hallo Leute, Am Dienstag, 7. April 2015 schrieb Kyek, Andreas, Vodafone DE:

Ich würde ungerne diverse LVs anlegen, die auf der Platte für andere Teile Platz wegnehmen, den sie nicht brauchen. Oder packt man alles einfach unter /home, was an persönlichen Daten liegt (inkl. der zwischen den Nutzern gesharten Info; so was habe ich hier auch!) und verschlüsselt nur /home? (also ein LV fürs System und eins für Home verschlüsselt)

/home ist IMHO zu wenig - /tmp und /var sollte man auch verschlüsseln, weil da (zumindest zeitweise) auch alle möglichen persönliche Daten liegen können (von Tempfiles mit gerade bearbeiteten Texten bis hin zu Datenbanken). Bei mir sind /var/ und /tmp/ jeweils ein Symlink auf ein Verzeichnis in der verschlüsselten /home/ - das funktioniert weitgehend problemlos, außer dass die Symlinks AppArmor ein wenig aus der Kurve werfen. Das lässt sich aber mit Alias-Regeln oder mit bind-mounts statt Symlink lösen ;-) Eine Vollverschlüsselung hat IMHO ein Ziel mehr: neben "ich will meine persönlichen Daten schützen" kommt noch "ich will Manipulationen meiner Programme verhindern" dazu. <Paranoia> Wenn man das konsequent machen will, sollte man /boot und Grub extern (z. B. auf einem USB-Stick) haben und diesen USB-Stick sehr genau im Auge behalten. </Paranoia> Gruß Christian Boltz -- Weißt Du, man soll ja eigentlich keine Leute auf öffentlichen Mailinglisten beschimpfen, sie kratzen oder ihnen Tiernamen geben. Aber die traumwandlerische Sicherheit, mit der Du den relevanten Teil des Logs weggeschnitten hast, ist schon beeindruckend. Also, Du Hängebauchschwein, fühl Dich beschimpft und gekratzt ;-) [Stefan Förster in postfixbuch-users] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org