Mailinglist Archive: opensuse-de (1546 mails)

< Previous Next >
Re: Swap-Partition mit Zufallsschlüssel versc hlüsseln bei jedem Bootvorgang
  • From: Patrick Klaus <patrick.klaus@xxxxxxxx>
  • Date: Fri, 25 Dec 2009 10:57:32 +0100
  • Message-id: <4B348C8C.9000206@xxxxxxxx>
Hallo Heinz,

Eine Verschluesselung von /home mit umgeleitetem/verschl. swap und tmp
wuerde mich ehrlich gesagt in der heutigen Zeit nicht mehr ruhig schlafen
lassen, auch nicht im Beispiel 2. Es ist naemlich schnell mal nach dem
Passwort auf den unverschl. Teilen des Systems gesucht, es gibt dazu
einige freie Tools (von John the ripper ueber was weiss ich noch alles..).
Will meinen: auch der einfache Dieb denkt sich vielleicht: hmm, nettes
Laptop, mal sehen, was da alles drauf ist. Ups, /home ist verschluesselt,
also lass' mal Google nach ein paar Prograemmchen suchen, die z.B.
geloeschte Dateien wieder herstellen, alle zugaenglichen Daten als
Datenbank fuer einen bruteforce Angriff benutzen usw. usw. Alles das geht
recht schnell, ohne allzuviel Ahnung, und es ist kostenlos. Vielleicht ist
da ja doch noch eine Zugangskennung fuer das online banking...

Vollkommen richtig. Wenn man LUKS in Kombination mit pam_mount nutzen
will und den komfortablen Weg wählt ist ja das Nutzerpasswort gleiche
dem LUKS-Passwort somit steht das Passwort in der /etc/shadow wo ich
dann mit Brute-Force Angriffen das eventuell ermitteln kann.

Ich bin außer meiner Freundin der einzige der
dieses Notebook nutzen wird und vor ihr will ich und brauche ich auch
keine Daten zu verstecken. (Falls das auch noch benötigt werden würde,
wäre meiner Meinung auch ecryptfs besser, da hier immer auch nur das
jeweilige Home-Verzeichnis des Benutzers eingebunden wird und nicht wie
bei LUKS die Home-Partition aller Usern eingehangen wird!?).

LUKS/dmcrypt kann alles das auch, es kommt darauf an, wie du es benutzt.
Du kannst auch nur dein eigenes /home/nutzer in einen container packen.

Klar Container gehen natürlich auch, habe nur gesehen das ecryptfs unter
Ubuntu die Container dynamisch erstellt. D.h ich brauche keinen
Container fixer Größe anzulegen.

Ein komplett verschlüsseltes System wäre einheitlicher und Suspend to Disk
sollte
wohl damit auch möglich sein.

Dazu brauchst du aber swapspace mindestens in Groesse des Hauptspeichers,
denn der Speicherinhalt muss
ja auf die Platte geschrieben werden koennen.

Klar das habe ich bereits.

Fuer S2D und aehnliches
empfehle ich dir auch unbedingt, cryptsetup mindestens in Version
1.1.0-rc3 oder aktuell aus dem svn repository zu benutzen:

liesel:/home/htd # cryptsetup --version
cryptsetup 1.1.0-rc3

luksSuspend <name>

suspends active device (all IO operations are frozen) and
wipes encryption key from kernel. Kernel version 2.6.19 or later is
required. After that operation you have to use luksResume to reinstate
encryption key (and resume device) or luksClose to remove mapped device.

WARNING: never try to suspend device where is the cryptsetup
binary itself.

luksResume <name>

Resumes suspended device and reinstates encryption key. You will
need provide passphrase identical to luksOpen command (using
prompting or key file).

Okay, warscheinlich muss ich dann die Hibernate-Skripte noch anpassen oder?

Allerdings finde ich bei Google:
==================================
luksSuspend <name>
suspends active device (all IO operations are frozen) and wipes
encryption key from kernel. Kernel version 2.6.19 or later is required.

After that operation you have to use \fIluksResume\fR to reinstate
encryption key (and resume device) or \fIluksClose\fR to remove mapped
device.

WARNING: never try to suspend device where is the cryptsetup binary itself.

luksResume <name>
Resumes suspended device and reinstates encryption key. You will need
provide passphrase identical to luksOpen command (using prompting or key
file).
-------

This feature provides a way to implement secure hibernation without
having to use an encrypted swap partition. It should be used in ubuntu's
hibernation scripts as soon as a new stable version of cryptsetup is
released.
==================================

Braucht man das nur wenn man SWAP nicht mit verschlüsselt?

Gruss
Patrick
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx

< Previous Next >
Follow Ups