openSUSE und verschlüsseltes System
Moin moin, da mir ein paar nette Zeitgenossen (u.a.) meinen Laptop entwendet haben muss jetzt ein neuer her. Der neue kommt mit Win8 - das fliegt sofort runter (und kommt evtl. in eine Virtuelle Maschine - schaun wir mal). Aus Sicherheitsgründen (und weil der neue auch genügend CPU Power besitzt) soll der neue soweit wie möglich verschlüsselt werden (an meinem ebenfalls geklauten Handy werden die Kollegen aufgrund der Verschlüsselung an keine Daten kommen können!). Eine Suche hierzu bringt mir z.B. einen SDB Artikel - leider ziemlich alt. Frage daher: Was verschlüsselt man? (Der Laptop hat 'ne 240GB SSD) Ich möchte eigentlich nicht gross partitionieren - im Nachhinein ist aus Erfahrung genau das betroffene FS dann zu klein. Man braucht doch aber zum booten dann mindestens ein unverschlüsseltes /boot, oder? Wo kann man dazu etwas finden, was halbwegs aktuell ist und die Zusammen- hänge/Abläufe erklärt? Andreas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 7. April 2015 um 10:04 schrieb Kyek, Andreas, Vodafone DE
Was verschlüsselt man? (Der Laptop hat 'ne 240GB SSD) Ich möchte eigentlich nicht gross partitionieren - im Nachhinein ist aus Erfahrung genau das betroffene FS dann zu klein. Man braucht doch aber zum booten dann mindestens ein unverschlüsseltes /boot, oder?
Alles. Nimm LVM; dann sollte der Installer eine Option anbieten, um das mit LUKS zu verschlüsseln. Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Martin Schröder wrote:
Am 7. April 2015 um 10:04 schrieb Kyek, Andreas, Vodafone DE
: Was verschlüsselt man? (Der Laptop hat 'ne 240GB SSD) Ich möchte eigentlich nicht gross partitionieren - im Nachhinein ist aus Erfahrung genau das betroffene FS dann zu klein. Man braucht doch aber zum booten dann mindestens ein unverschlüsseltes /boot, oder?
Alles. Nimm LVM; dann sollte der Installer eine Option anbieten, um das mit LUKS zu verschlüsseln.
LVM kenne ich zwar (nutze ich auch im Server); aber: Nochmals - was wird verschlüsselt? GRUB[2] muss doch irgendetwas unverschlüsseltes lesen können, oder? Also brauche ich zumindest mal ein /boot unverschlüsselt. Oder liege ich da falsch? Ich würde dann meine restliche Platte in EIN weiteres LV packen; damit wäre bis auf die boot-Information alles verschlüsselt. Richtig? Ich würde ungerne diverse LVs anlegen, die auf der Platte für andere Teile Platz wegnehmen, den sie nicht brauchen. Oder packt man alles einfach unter /home, was an persönlichen Daten liegt (inkl. der zwischen den Nutzern gesharten Info; so was habe ich hier auch!) und verschlüsselt nur /home? (also ein LV fürs System und eins für Home verschlüsselt) Immer noch verwirrt Andreas
Am 7. April 2015 um 12:05 schrieb Kyek, Andreas, Vodafone DE
Nochmals - was wird verschlüsselt? GRUB[2] muss doch irgendetwas unverschlüsseltes lesen können, oder? Also brauche ich zumindest mal ein /boot unverschlüsselt. Oder liege ich da falsch?
Ich würde dann meine restliche Platte in EIN weiteres LV packen; damit wäre bis auf die boot-Information alles verschlüsselt. Richtig?
Ja. Hab ich irgendwann vor 13.1 mal eingerichtet; nach grub kommt direkt eine Passwortabfrage. Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Tue, 7 Apr 2015 12:27:23 +0200
schrieb Martin Schröder
Am 7. April 2015 um 12:05 schrieb Kyek, Andreas, Vodafone DE
: Nochmals - was wird verschlüsselt? GRUB[2] muss doch irgendetwas unverschlüsseltes lesen können, oder? Also brauche ich zumindest mal ein /boot unverschlüsselt. Oder liege ich da falsch?
Ich würde dann meine restliche Platte in EIN weiteres LV packen; damit wäre bis auf die boot-Information alles verschlüsselt. Richtig?
Ja. Hab ich irgendwann vor 13.1 mal eingerichtet; nach grub kommt direkt eine Passwortabfrage.
Ich verwende seit Jahren ein verschlüsseltes System mit SSD. Läuft prima. Nur bei OS läuft es ohne viel Gefummel bei der Installation. Z.Z läuft bei mir OS 13.2. /boot ist bei mir eine ext4 - Partition ( YaST will - glaube ich - bfrs) Der Rest liegt im LVM / und auch SWAP Auch hier bietet YaST brfs und Co an. Ich habe ext4. Ich habe je eine Partition für / , /home und SWAP mit ext4 Die Partitionen kann man wegen LVM per YaST anpassen. Gruß Heiner -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Heiner Kuhlmann wrote: [...]
Ich verwende seit Jahren ein verschlüsseltes System mit SSD. Läuft prima. Nur bei OS läuft es ohne viel Gefummel bei der Installation.
Z.Z läuft bei mir OS 13.2.
/boot ist bei mir eine ext4 - Partition ( YaST will - glaube ich - bfrs)
Der Rest liegt im LVM / und auch SWAP
Jetzt muss ich doch noch eine letzte Frage loswerden: Suspend to RAM funktioniert mit SWAP in verschlüsseltem LVM? Oder legt man swap dafür in einen unverschlüsselten Bereich? Obwohl - brauche ich bei 'ner SSD überhaupt Suspend to RAM - und soll ich wirklich mehr als 16GB SWAP spendieren damit die 16GB RAM da rein passen? Andreas
Am 7. April 2015 um 14:21 schrieb Kyek, Andreas, Vodafone DE
Suspend to RAM funktioniert mit SWAP in verschlüsseltem LVM?
Ja. Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Martin, hallo Andreas, hallo Leute, Am Dienstag, 7. April 2015 schrieb Martin Schröder:
Am 7. April 2015 um 14:21 schrieb Kyek, Andreas, Vodafone DE:
Suspend to RAM funktioniert mit SWAP in verschlüsseltem LVM?
Ja.
Äh, Suspend to _RAM_ funktioniert sogar ohne SWAP ;-) Hat jemand Infos, wie es mit Suspend to _disk_ aussieht? Gruß Christian Boltz -- I wish I knew enough C++ to produce a patch, but unfortunately I'm better at being annoying on the mailing list than I am at coding :-) ["C" in opensuse-factory] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Wed, 8 Apr 2015 00:39, Christian Boltz wrote:
Am Dienstag, 7. April 2015 schrieb Martin Schröder:
Am 7. April 2015 um 14:21 schrieb Kyek, Andreas, Vodafone DE:
Suspend to RAM funktioniert mit SWAP in verschlüsseltem LVM?
Ja.
Äh, Suspend to _RAM_ funktioniert sogar ohne SWAP ;-)
Hat jemand Infos, wie es mit Suspend to _disk_ aussieht?
Hintergrund, Booten zum Wiederaufwachen aus "Suspend to disk" Teil 1: Maschine an, BIOS/UEFI tun ihr Ding, Bootloader (meist Grub2) läd den Kernel des letzten Laufes (wichtig falls neuer Kernel installiert) Teil 2: Der Kernel initiert, läd die initrd / initramfs, läd die notwendigen Kernel module. Bis Hierher wurde nur aus der /boot Partion der Kernel und die initrd / initramfs gelesen, sonst noch keine der Partitonen angetasted. Nun guckt das modul von s2disk nach ob auf der mit resume=.... in der Kernel Befehlzeile angegebenen Partiton ein intaktes System schläft, wenn ja, wird diese geladen, und es geht weiter. Was ist beim Verschlüsselten System anders als beim Nicht versch.? Wenn das s2disk Modul auf eine Verschlüsselte Resume/Swap zugreifen will, meldet sich LUKS zu Word und will das Kennwort, erst danach wird die dann damit entschlüsselte Resume/Swap gelesen und es geht weiter. Hilft das als Erklärung? - Yamaban.
Am 08.04.2015 um 00:39 schrieb Christian Boltz:
Hallo Martin, hallo Andreas, hallo Leute,
Am Dienstag, 7. April 2015 schrieb Martin Schröder:
Am 7. April 2015 um 14:21 schrieb Kyek, Andreas, Vodafone DE:
Suspend to RAM funktioniert mit SWAP in verschlüsseltem LVM?
Ja.
Äh, Suspend to _RAM_ funktioniert sogar ohne SWAP ;-)
Hat jemand Infos, wie es mit Suspend to _disk_ aussieht?
Gruß
Christian Boltz
suspend to disk funktioniert auch, sofern swap nicht per Zufallsgenerator verschlüsselt wird (/dev/*random). Gruß, Hendrik -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Andreas, hallo Leute, Am Dienstag, 7. April 2015 schrieb Kyek, Andreas, Vodafone DE:
Ich würde ungerne diverse LVs anlegen, die auf der Platte für andere Teile Platz wegnehmen, den sie nicht brauchen. Oder packt man alles einfach unter /home, was an persönlichen Daten liegt (inkl. der zwischen den Nutzern gesharten Info; so was habe ich hier auch!) und verschlüsselt nur /home? (also ein LV fürs System und eins für Home verschlüsselt)
/home ist IMHO zu wenig - /tmp und /var sollte man auch verschlüsseln, weil da (zumindest zeitweise) auch alle möglichen persönliche Daten liegen können (von Tempfiles mit gerade bearbeiteten Texten bis hin zu Datenbanken). Bei mir sind /var/ und /tmp/ jeweils ein Symlink auf ein Verzeichnis in der verschlüsselten /home/ - das funktioniert weitgehend problemlos, außer dass die Symlinks AppArmor ein wenig aus der Kurve werfen. Das lässt sich aber mit Alias-Regeln oder mit bind-mounts statt Symlink lösen ;-) Eine Vollverschlüsselung hat IMHO ein Ziel mehr: neben "ich will meine persönlichen Daten schützen" kommt noch "ich will Manipulationen meiner Programme verhindern" dazu. <Paranoia> Wenn man das konsequent machen will, sollte man /boot und Grub extern (z. B. auf einem USB-Stick) haben und diesen USB-Stick sehr genau im Auge behalten. </Paranoia> Gruß Christian Boltz -- Weißt Du, man soll ja eigentlich keine Leute auf öffentlichen Mailinglisten beschimpfen, sie kratzen oder ihnen Tiernamen geben. Aber die traumwandlerische Sicherheit, mit der Du den relevanten Teil des Logs weggeschnitten hast, ist schon beeindruckend. Also, Du Hängebauchschwein, fühl Dich beschimpft und gekratzt ;-) [Stefan Förster in postfixbuch-users] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 07.04.2015 um 11:40 schrieb Martin Schröder:
Am 7. April 2015 um 10:04 schrieb Kyek, Andreas, Vodafone DE
: Was verschlüsselt man? (Der Laptop hat 'ne 240GB SSD) Ich möchte eigentlich nicht gross partitionieren - im Nachhinein ist aus Erfahrung genau das betroffene FS dann zu klein. Man braucht doch aber zum booten dann mindestens ein unverschlüsseltes /boot, oder?
Alles. Nimm LVM; dann sollte der Installer eine Option anbieten, um das mit LUKS zu verschlüsseln.
Gruß Martin
Ja, eine unverschlüsselte separate /boot und den ganzen Rest als verschlüsseltes LVM. Nur, so viel ich weiss kann der Installer von 13.2 das nicht mehr. Ich hatte deshalb (und auch weil 13.2 schändlicherweise reiserfs nicht mehr unterstützt) 12.3 installiert und von da mit zypper dup via 13.1 auf 13.2 upgegraded. Das ging mehr oder weniger problemlos (*). Daniel (*) Irgenwann zwischen diesen Versionen wechselt das Tastaturlayout der Passwort-Eingabe von US zum effektiv eingestellten. Deshalb unbedingt merken, welche Tasten in den entsprechenden Layouts welches Zeichen produzieren! -- Daniel Bauer photographer Basel Barcelona http://www.daniel-bauer.com room in Barcelona: https://www.airbnb.es/rooms/2416137 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo zusammen, Vodafone Kyek, Andreas meinte am Dienstag, den 07.04.2015 um 10:04 Uhr wegen:openSUSE und verschlüsseltes System
Wo kann man dazu etwas finden, was halbwegs aktuell ist und die Zusammen- hänge/Abläufe erklärt?
hat bis einschl. OS 13.1 prima funktioniert: https://de.opensuse.org/SDB:Sicherheit_Verschlüsselung_mit_LUKS http://wiki.linux-club.de/opensuse/Verschluesselung:_dm-crypt/luks_unter_ope... (Letzteres besonders für Swap) Ich bin von der Vollverschlüsselung des / abgekommen, weil der Bootvorgang bis zu 2 min brauchte. Hat aber sonst bestens funktioniert Ab 13.2 kann ich nichts sagen. Bei Vollverschlüsselung würde ich dann automatische Einwahl bevorzugen. Ich nutze pam_mount, bei dem die Platten über das User-Kennwort entschlüsselt werden. So braucht man den Schlüssel nur einmal einzugeben. Alle Daten sind verschlüsselt und m.E. ausreichend sicher. Wenn sich nicht gerade die NSA dafür interessiert ;) -- Beste Grüße Christian Schade, dass XMMS gerade nichts spielt :( -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (8)
-
Christian Boltz
-
Christian Meseberg
-
Daniel Bauer
-
Heiner Kuhlmann
-
Hendrik Woltersdorf
-
Kyek, Andreas, Vodafone DE
-
Martin Schröder
-
Yamaban