Swap-Partition mit Zufallsschlüssel verschlüsseln bei jedem Bootvorgang
Hallo Leute, suche einen Weg für meine Swap-Partition beim booten automatisch ohne Kennworteingabe zu verschlüsseln. Auf "Suspend to Disk" kann ich gerne verzichten. Wenn ich folgendes in die /etc/crypttab eintrage: swap /dev/sda8 /dev/urandom swap,cipher=aes-cbc-essiv:sha256 bleibt der Bootvorgang stehen mit folgender Meldung stehen: Warning: exhausting read requested, but key file is not a regular file, function might never return Auf: http://en.opensuse.org/Talk:Encrypted_Root_File_System wird beschrieben wie das durchgeführt werden kann wenn man /(Root) auch verschlüsselt hat. Das ist bei mir aber nicht der Fall. Gibts sonst noch Möglichkeiten dies zu erreichen? Danke Gruss Patrick -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Patrick, Am Dienstag 22 Dezember 2009 15:29:17 schrieb Patrick Klaus:
Hallo Leute,
suche einen Weg für meine Swap-Partition beim booten automatisch ohne Kennworteingabe zu verschlüsseln. Auf "Suspend to Disk" kann ich gerne verzichten.
geh mal nach dieser Anleitung vor: http://tinyurl.com/ylp7nfe Falls Du damit nicht weiter kommst, melde Dich per PM; ich tippe Dir dann ne Beschreibung aus einer Linux Zeitschrift aus dem Jahre 2006 ab. Viele Grüße Thomas
Danke
Gruss Patrick
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Thomas, über diesen Artikel bin ich auch schon gestolpert. Allerdings klappt das wohl unter SuSE 11.2 nicht:
Falls Du damit nicht weiter kommst, melde Dich per PM; ich tippe Dir dann ne Beschreibung aus einer Linux Zeitschrift aus dem Jahre 2006 ab.
bei mir kommt: /etc/init.d/boot.crypto start Activating crypto devices using /etc/crypttab ... swap0: swap does not exist Gruss Patrick -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Patrick, Am Dienstag 22 Dezember 2009 16:03:51 schrieb Patrick Klaus:
Falls Du damit nicht weiter kommst, melde Dich per PM; ich tippe Dir dann ne Beschreibung aus einer Linux Zeitschrift aus dem Jahre 2006 ab.
okay, dann von mir auch ne kurz abgetipperte Anleitung: Geheime Swap-Partition Wer ganz auf Nummer Sicher gehen möchte, kann auch seine Swap-Partition verschlüsseln. Dort können unter Umständen auch nach einem Neustart unver- schlüsselte Dateifragmente, sogar Passwörter im Klartext erhalten bleiben. cryptoloop verschlüsselt die Swap-Partition ohne Passwort- eingabe. Ermitteln Sie die Partitionsbezeichnung Ihrer Swap-Partition asl root mit cat /etc/fstab | grep swap Schalten Sie nun zuerst als root mit swapoff -a den Swap-Bereich aus. Danach überschreiben Sie den Inhalt mit dd if=/dev/zero of=/dev/<Partition> bs=64k conv=notrunc Die Fehlermeldung "Auf dem Gerät ist kein Speicherplatz mehr verfügbar" können Sie ignorieren. Erstellen Sie dann den Swap-Bereich mit mkswap /dev/<Partitionsbezeichnung> neu. In der Datei /etc/fstab ergänzen Sie die Optionen in der Zeile, in der die Swap-Partition mit "loop=/dev/loop7,encryption=aes" definiert wird, um sie an das letzte Loop-Device zu binden. Die Zeile könnte dann beispielsweise folgendermaßen aussehen: /dev/<Partitionsbezeichnung> none swap sw, loop=/dev/loop7, encryption=aes 0 0 Schließlich schalten Sie die Swap-Partition mit: swapon -a wieder ein. Beim nächsten Systemstart wird die Swap-Partition ohne Passworteingabe automatisch geladen und verschlüsselt Viele Grüße Thomas
Gruss Patrick
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Thomas,
Geheime Swap-Partition
Wer ganz auf Nummer Sicher gehen möchte, kann auch seine Swap-Partition verschlüsseln.
Dort können unter Umständen auch nach einem Neustart unver- schlüsselte Dateifragmente, sogar Passwörter im Klartext erhalten bleiben.
cryptoloop verschlüsselt die Swap-Partition ohne Passwort- eingabe.
Ermitteln Sie die Partitionsbezeichnung Ihrer Swap-Partition asl root mit
cat /etc/fstab | grep swap
Schalten Sie nun zuerst als root mit
swapoff -a
den Swap-Bereich aus. Danach überschreiben Sie den Inhalt mit
dd if=/dev/zero of=/dev/<Partition> bs=64k conv=notrunc
Die Fehlermeldung "Auf dem Gerät ist kein Speicherplatz mehr verfügbar" können Sie ignorieren.
Erstellen Sie dann den Swap-Bereich mit
mkswap /dev/<Partitionsbezeichnung>
neu.
In der Datei /etc/fstab ergänzen Sie die Optionen in der Zeile, in der die Swap-Partition mit
"loop=/dev/loop7,encryption=aes" definiert wird, um sie an das letzte Loop-Device zu binden. Die Zeile könnte dann beispielsweise folgendermaßen aussehen:
/dev/<Partitionsbezeichnung> none swap sw, loop=/dev/loop7, encryption=aes 0 0
Schließlich schalten Sie die Swap-Partition mit:
swapon -a
auch hier klappts irgendwie leider nicht. cat /proc/swaps Filename Type Size Used Priority /dev/sda8 partition 8867840 0 -1 hier müsste doch /dev/loop7 stehen oder? "losetup -a", zeigt mir auch keinen Eintrag. Gruss Patrick -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Patrick, Am Dienstag 22 Dezember 2009 16:42:29 schrieb Patrick Klaus:
swapon -a
auch hier klappts irgendwie leider nicht.
cat /proc/swaps Filename Type Size Used Priority /dev/sda8 partition 8867840 0 -1
hier müsste doch /dev/loop7 stehen oder?
sind denn die entsprechenden Module geladen? Mal in Yast -> System, Editor für /etc/sysconfig-Dateien unter: System,Kernel,MODULES_LOADED_ON_BOOT schauen, ob dort cryptoloop und aes eingetragen sind. Jeweils mit einem Leerzeichen getrennt eintragen falls nicht vorhanden Gruß Thomas
"losetup -a", zeigt mir auch keinen Eintrag.
Gruss Patrick
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo,
sind denn die entsprechenden Module geladen?
Mal in Yast -> System, Editor für /etc/sysconfig-Dateien
unter: System,Kernel,MODULES_LOADED_ON_BOOT
schauen, ob dort cryptoloop und aes eingetragen sind.
das Verhalten ändert sich hier leider auch nicht. Gruss Patrick -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Tuesday 22 December 2009 15:29:17, Patrick Klaus wrote:
Hallo Leute,
suche einen Weg für meine Swap-Partition beim booten automatisch ohne Kennworteingabe zu verschlüsseln. Patrick
Hallo Ptarick, so hab ichs gemacht (die /dev/... musst du natürlich so schreiben, wie's bei dir ist), bei mir hats funktioniert ;-) - swap abstellen: swapoff /dev/sda1 - eine neue Schlüsseldatei mit einem zufälligen Schlüssel erzeugen: touch /etc/crypt-swap.key head -c 2048 /dev/urandom > /etc/crypt-swap.key chmod go-rwx /etc/crypt-swap.key - die verschlüsselte swap-Partition initialisieren: cryptsetup -v --key-size 256 luksFormat /dev/sda1 /etc/crypt-swap.key - eine Datei /etc/crypttab erstellen: da hineinschreiben: cr_sda1 /dev/disk/by-id/blabla /etc/crypt-swap.key swap (wobei das /dev/disk/by-id/blabla aus /etc/fstab für den Eintrag der Swap-Disk kopiert werden kann) - /etc/fstab ändern: die bisherige swap-disk auskommentieren (# and den Anfang der Zeile) und /dev/mapper/cr_sda1 swap swap defaults 0 0 einfügen - Das Crypto-Script einschalten: chkconfig boot.crypto on - testen mit: /etc/init.d/boot.crypto start swapon -a free Gruss Daniel -- Daniel Bauer photographer Basel Barcelona professional photography: http://www.daniel-bauer.com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Daniel,
so hab ichs gemacht (die /dev/... musst du natürlich so schreiben, wie's bei dir ist), bei mir hats funktioniert ;-)
- swap abstellen: swapoff /dev/sda1
- eine neue Schlüsseldatei mit einem zufälligen Schlüssel erzeugen: touch /etc/crypt-swap.key head -c 2048 /dev/urandom > /etc/crypt-swap.key chmod go-rwx /etc/crypt-swap.key
- die verschlüsselte swap-Partition initialisieren: cryptsetup -v --key-size 256 luksFormat /dev/sda1 /etc/crypt-swap.key
- eine Datei /etc/crypttab erstellen: da hineinschreiben: cr_sda1 /dev/disk/by-id/blabla /etc/crypt-swap.key swap (wobei das /dev/disk/by-id/blabla aus /etc/fstab für den Eintrag der Swap-Disk kopiert werden kann)
- /etc/fstab ändern: die bisherige swap-disk auskommentieren (# and den Anfang der Zeile) und /dev/mapper/cr_sda1 swap swap defaults 0 0 einfügen
- Das Crypto-Script einschalten: chkconfig boot.crypto on
- testen mit: /etc/init.d/boot.crypto start swapon -a free
Hallo Daniel, danke für deine Antwort. Bei deiner Lösung wir aber immer ein fester Key benutzt wenn ich das so richtig sehe und verstanden habe (/etc/crypt-swap.key). Das macht meiner Meinung eigentlich nur Sinn wenn man das Root-Filesystem auch verschlüsselt hat, sonst käme man relativ problemlos an den Key. Suche eigentlich den Weg, der bei jedem Boot eine Zufallskey generiert und diesen nutzt. Gruss Patrick -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 22.12.2009, Patrick Klaus wrote:
Warning: exhausting read requested, but key file is not a regular file, function might never return
Luks/dmcrypt braucht einen definierten Key, keinen stream. Das kann so nicht funktionieren. Deswegen die Fehlermeldung.
Gibts sonst noch Möglichkeiten dies zu erreichen?
Generiere einen Key, lege ihn auf eine verschluesselte Partition und benutze den. Wie du schreibst, so ist die root Partition nicht verschluesselt, und mit dem Gedanken an eine verschluesselte swap Partition bei gleichzeitig unverschluesselter root Partition solltest du zunaechst dein Konzept genau hinterfragen. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Heinz,
Warning: exhausting read requested, but key file is not a regular file, function might never return
Luks/dmcrypt braucht einen definierten Key, keinen stream. Das kann so nicht funktionieren. Deswegen die Fehlermeldung.
Gibts sonst noch Möglichkeiten dies zu erreichen?
Generiere einen Key, lege ihn auf eine verschluesselte Partition und benutze den. Wie du schreibst, so ist die root Partition nicht verschluesselt, und mit dem Gedanken an eine verschluesselte swap Partition bei gleichzeitig unverschluesselter root Partition solltest du zunaechst dein Konzept genau hinterfragen.
gerne diskutiere ich über auch über das Konzept (bin vielleicht auf dem Holzweg). Grundgedanke war, dass die Benutzerdaten eigentlich immer im /home-Verzeichnis liegen, die ich auch mit LUKS verschlüsselt habe und mit pam_mount entsprechend einbinde. Das Verzeichnis /tmp wird bei mir bei jedem Booten geleert, daher sollte nichts wichtiges drin sein. Die Swap-Partition ist aber mehr oder weniger ein Teil des Arbeitsspeichers und kann doch somit sensible Daten beinhalten. Die Daten bleiben doch meiner Meinung auch beim runterfahren noch bestehen oder sehe ich das falsch? Sicher man könnte auch das ganze System verschlüsseln, allerdings mache ich mir hier sorgen um die Performance und außerdem liegt außerhalb /home größtenteils nur die Installationspakete. Ich gehe auch von aus das in /var nichts kritisches liegt. Wie denks Du darüber? Danke Gruss Patrick -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 22.12.2009, Patrick Klaus wrote:
gerne diskutiere ich über auch über das Konzept (bin vielleicht auf dem Holzweg). Grundgedanke war, dass die Benutzerdaten eigentlich immer im /home-Verzeichnis liegen, die ich auch mit LUKS verschlüsselt habe und mit pam_mount entsprechend einbinde.
Gut, denn das erscheint mir bereits im Ansatz zu schwach. Ich interpretiere, dass du nicht willst, dass die Daten von /home jemand anderem als dir selbst zugaenglich werden.
Das Verzeichnis /tmp wird bei mir bei jedem Booten geleert, daher sollte nichts wichtiges drin sein.
Im Verzeichnis /tmp kannst du u.U. prima mindestens 50-80% aller deiner Dokumente wiederfinden, auf jeden Fall aber ausgelagerte Teile davon. Ein einfaches Loeschen reicht bei weitem nicht aus, die Daten koennen beinahe problemfrei wieder hergestellt werden. Damit ist eine Verschluesselung von /home und swap nicht ausreichend.
Die Swap-Partition ist aber mehr oder weniger ein Teil des Arbeitsspeichers und kann doch somit sensible Daten beinhalten. Die Daten bleiben doch meiner Meinung auch beim runterfahren noch bestehen oder sehe ich das falsch?
Nein, das ist richtig.
Sicher man könnte auch das ganze System verschlüsseln, allerdings mache ich mir hier sorgen um die Performance und außerdem liegt außerhalb /home größtenteils nur die Installationspakete. Ich gehe auch von aus das in /var nichts kritisches liegt.
/var/tmp?
Wie denks Du darüber?
Ich sehe genau 2 Wege: entweder verschluesselst du einzelne Dateien (z.B. mittels gpg) oder du brauchst eine Verschluesselung aller Partitionen. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Dienstag, 22. Dezember 2009 schrieb Heinz Diehl:
(...). Ich sehe genau 2 Wege: entweder verschluesselst du einzelne Dateien (z.B. mittels gpg) oder du brauchst eine Verschluesselung aller Partitionen.
Wo ist der Vorteil von 1. gegenüber einer Verschlüsselung der Home- Verzeichnisse und der Swap-Partition (falls man Swap überhaupt nutzt)? Gruß Jan -- It's not easy taking problems one at a time, when they refuse to get in line. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 24.12.2009, Jan Ritzerfeld wrote:
Wo ist der Vorteil von 1. gegenüber einer Verschlüsselung der Home- Verzeichnisse und der Swap-Partition (falls man Swap überhaupt nutzt)?
Ich habe mich etwas zu kurz gefasst ausgedrueckt: ich meinte damit, wenn es nur 1-2 Dateien gibt, die es wert genug sind verschluesselt zu werden, dann kann man den noetigen Aufwand um die Spuren zu vernichten (wipe etc.) einfach selber "per Hand" durchfuehren. Wenn es sich um viele Daten handelt, dann geht das natuerlich nicht, und es bleibt vernuenftigerweise nur eine Vollverschluesselung (die auch nur ein Teil der Kette ist). -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Donnerstag, 24. Dezember 2009 schrieb Heinz Diehl:
On 24.12.2009, Jan Ritzerfeld wrote:
Wo ist der Vorteil von 1. gegenüber einer Verschlüsselung der Home- Verzeichnisse und der Swap-Partition (falls man Swap überhaupt nutzt)?
Ich habe mich etwas zu kurz gefasst ausgedrueckt: ich meinte damit, wenn es nur 1-2 Dateien gibt, die es wert genug sind verschluesselt zu werden, dann kann man den noetigen Aufwand um die Spuren zu vernichten (wipe etc.) einfach selber "per Hand" durchfuehren.
Das war mir auf die Dauer zu nervig, daher habe ich dann mein komplettes Home verschlüsselt.
Wenn es sich um viele Daten handelt, dann geht das natuerlich nicht, und es bleibt vernuenftigerweise nur eine Vollverschluesselung (die auch nur ein Teil der Kette ist).
Mit Kette meinst du insbesondere Backups? Gruß Jan -- Get yours while there's still some left. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 24.12.2009, Jan Ritzerfeld wrote:
Mit Kette meinst du insbesondere Backups?
Nein, das ganze Konzept. Backup, evtl. physikalische Sicherungen, alles. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Tuesday 22 December 2009 18:04:26, Patrick Klaus wrote:
Generiere einen Key, lege ihn auf eine verschluesselte Partition und benutze den. Wie du schreibst, so ist die root Partition nicht verschluesselt, und mit dem Gedanken an eine verschluesselte swap Partition bei gleichzeitig unverschluesselter root Partition solltest du zunaechst dein Konzept genau hinterfragen.
...
Sicher man könnte auch das ganze System verschlüsseln, allerdings mache ich mir hier sorgen um die Performance ...
Patrick, ich habe alle meine PCs und Laptops vollständig verschlüsselt, also alle Partitionen, ausser einer ganz kleinen boot-Partition. Ich sehe keinerlei Performance-Probleme... Ok, ich habe nichts gemessen und das ist reine "Gefühlsangabe", aber sogar auf meinem ältesten PC habe ich keinen Unterschied bemerkt, nachdem ich seine Disks das erste mal verschlüsselte. Ich arbeite übrigens mit verschiedensten Dateien: kleine Texte, Scripts, ooo- Dateien, riesige Fotodateien (gerne mal über 150MB), schiebe ständig wild hin und her, auch übers lokale Netz von einem PC auf den anderen oder auf ebenfalls verschlüsselte externe HDs. Alles kein Problem. Ich muss allerdings beim Booten natürlich einmal ein Passwort eingeben. Dazu habe ich der entsprechenden Partition ein zweites Passwort gegeben, das nicht so lang ist, wie der eigentliche Schlüssel. Ich finde es lohnt sich und ich fühle mich sehr viel ruhiger, seit Einbrecher höchstens Material klauen könnten, aber nicht z.B. die Daten meiner Kundschaft, die wirklich niemanden was angehen.... Gruss Daniel -- Daniel Bauer photographer Basel Barcelona professional photography: http://www.daniel-bauer.com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 22.12.2009, Daniel Bauer wrote:
ich habe alle meine PCs und Laptops vollständig verschlüsselt, also alle Partitionen, ausser einer ganz kleinen boot-Partition. Ich sehe keinerlei Performance-Probleme...
"All security involves trade-offs". Die Performance wird geringer, selbstverstaendlich. Man kann ca. mit 25% weniger Durchsatz rechnen. Ich habe die Erfahrung gemacht, dass auf Intel CPUs AES am Schnellsten ist, und auf AMD CPUs Twofish.
Ich muss allerdings beim Booten natürlich einmal ein Passwort eingeben. Dazu habe ich der entsprechenden Partition ein zweites Passwort gegeben, das nicht so lang ist, wie der eigentliche Schlüssel.
Das ist schlecht, denn dann haettest du auch den Schluessel entsprechend kuerzer machen koennen, und somit mehr Performance erhalten.
Ich finde es lohnt sich und ich fühle mich sehr viel ruhiger, seit Einbrecher höchstens Material klauen könnten, aber nicht z.B. die Daten meiner Kundschaft, die wirklich niemanden was angehen....
Das kann ich zu 100% nachvollziehen, kommt mir bekannt vor :-) -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Daniel,
ich habe alle meine PCs und Laptops vollständig verschlüsselt, also alle Partitionen, ausser einer ganz kleinen boot-Partition. Ich sehe keinerlei Performance-Probleme... Ok, ich habe nichts gemessen und das ist reine "Gefühlsangabe", aber sogar auf meinem ältesten PC habe ich keinen Unterschied bemerkt, nachdem ich seine Disks das erste mal verschlüsselte.
Ich arbeite übrigens mit verschiedensten Dateien: kleine Texte, Scripts, ooo- Dateien, riesige Fotodateien (gerne mal über 150MB), schiebe ständig wild hin und her, auch übers lokale Netz von einem PC auf den anderen oder auf ebenfalls verschlüsselte externe HDs. Alles kein Problem.
Ich muss allerdings beim Booten natürlich einmal ein Passwort eingeben. Dazu habe ich der entsprechenden Partition ein zweites Passwort gegeben, das nicht so lang ist, wie der eigentliche Schlüssel.
Ich finde es lohnt sich und ich fühle mich sehr viel ruhiger, seit Einbrecher höchstens Material klauen könnten, aber nicht z.B. die Daten meiner Kundschaft, die wirklich niemanden was angehen....
danke für deinen Erfahrungsbericht. ;-) Gruss Patrick -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Dienstag, 22. Dezember 2009 schrieb Patrick Klaus:
(...). Das Verzeichnis /tmp wird bei mir bei jedem Booten geleert, daher sollte nichts wichtiges drin sein. (...).
Du könntest /tmp per tmpfs ins RAM legen, dann ist nach einem Neustart höchstwahrscheinlich wirklich nichts mehr drin. Gruß Jan -- It's easier said than done. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Jan,
(...). Das Verzeichnis /tmp wird bei mir bei jedem Booten geleert, daher sollte nichts wichtiges drin sein. (...).
Du könntest /tmp per tmpfs ins RAM legen, dann ist nach einem Neustart höchstwahrscheinlich wirklich nichts mehr drin.
ja das klingt auch interessant. Danke für den Tip. Gruss Patrick -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 23.12.2009, Jan Ritzerfeld wrote:
Du könntest /tmp per tmpfs ins RAM legen, dann ist nach einem Neustart höchstwahrscheinlich wirklich nichts mehr drin.
Es ist auch durchaus moeglich, /tmp woanders hin zu verlinken, z.B. auf eine verschl. Partition. Das loest aber das konzeptionelle Problem keinesfalls. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Mittwoch, 23. Dezember 2009 schrieb Heinz Diehl:
On 23.12.2009, Jan Ritzerfeld wrote:
Du könntest /tmp per tmpfs ins RAM legen, dann ist nach einem Neustart höchstwahrscheinlich wirklich nichts mehr drin.
Es ist auch durchaus moeglich, /tmp woanders hin zu verlinken, z.B. auf eine verschl. Partition.
Wenn root nicht verschlüsselt ist und sonst nur die Home-Verzeichnisse via pam_mount, dann ist das IMHO keine Option.
Das loest aber das konzeptionelle Problem keinesfalls.
Welches denn genau? /var/tmp sehe ich nicht als so kritisch an. Ich habe dort jedenfalls noch keine sensiblen Daten entdecken können. Außer vielleicht vi.recover, da ich vi aber nicht nutze ... Oder meinst du, daß ohne verschlüsseltes root jeder die Installation in der Weise manipulieren kann, daß die Paßwörter oder/und entschlüsselten Daten abgegriffen werden können? Gruß Jan -- The best laid plans of mice and men are usually equal. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 24.12.2009, Jan Ritzerfeld wrote:
Wenn root nicht verschlüsselt ist und sonst nur die Home-Verzeichnisse via pam_mount, dann ist das IMHO keine Option.
Natuerlich nicht, es ist aber immer noch besser als das Loeschen beim Hoch- oder Runterfahren.
Das loest aber das konzeptionelle Problem keinesfalls.
Welches denn genau?
Das Konzept der Sicherheit sollte auf den Kriterien des Benutzers basiert sein. Wenn also jemand, angenommen, alle Daten in /home als soweit kritisch betrachtet, dass absolut niemand dazu Zugriff haben soll, dann bedeutet das Konzept: so viel Sicherheit wie technisch moeglich. konkret: Vollverschluesselung mit Kopie aller unverschl. Sektoren (MBR, /boot etc.) auf einem externen Medium. Ueberwachung des Rechners mit Video 24h in einem mit Stahltuer und Codeschloss gesicherten Raum. Usw. usw. .... Wenn es z.B. darum geht, dass alle Daten in /home in soweit sensibel sind, als das der Bruder und die Mutter beim Rumsuchen auf dem Rechner nicht die netten kleinen Pornofilmchen und Tittenbilder sehen sollen, dann reicht eine Veschluesselung von /home und loeschen von /tmp problemlos aus. Evtl. sogar ein guten Passwort im BIOS. Usw usw. ...
/var/tmp sehe ich nicht als so kritisch an. Ich habe dort jedenfalls noch keine sensiblen Daten entdecken können. Außer vielleicht vi.recover, da ich vi aber nicht nutze ...
Das kommt auf das Konzept an. Keiner kann dir garantieren, dass nicht irgendein Programm die Daten sonstwohin auslagert/schreibt.
Oder meinst du, daß ohne verschlüsseltes root jeder die Installation in der Weise manipulieren kann, daß die Paßwörter oder/und entschlüsselten Daten abgegriffen werden können?
Waere durchaus moeglich. Wer so viel Energie aufwendet, um forensisch vorzugehen, der hat auch noch ganz andere Moeglichkeiten. Und es gibt auch noch keylogger, Minikameras etc. etc. Es kommt ganz auf das Konzept an, wie viel Sicherheit man wie und warum haben will. Ich persoenlich sichere meine Rechner nur mit Passwort, bis auf eine Maschine an meinem Arbeitsplatz, die sensible Kundendaten enthaelt, und meinen Laptop, da habe ich keine Lust dass ein Dieb an meine Passwoerter fuer das online banking etc. kommt. Der Rechner auf der Arbeit steht in meinem Buero, da habe nur ich Zugang, er ist vollverschluesselt, hat ein BIOS Passwort und die Tuer zu meinem Buero hat ein gutes Sicherheitsschloss und nur einer den Schluessel. Das reicht mir in diesem Falle dicke aus, da ich nur erreichen will, dass keiner an die Kundendaten kommt. Ich rechne hier nicht damit, dass jemand mehr kriminelle Energie aufbringen wird, denn das haette mehr als ernste Folgen (Einbruch, evtl. Diebstahl...). Fuer den Fall der Faelle, das doch mal eingebrochen wird und der Rechner verschwindet, sind alle Daten verschluesselt. Mehr Sicherheit brauche ich nicht, denn um einen keylogger zu installieren oder sonstwieauchimmer zu intervenieren muss man erstmal an den Rechner, und das geht nur durch Einbruch. Der faellt auf, und ich sehe das System dann als korrupt an. Der Laptop ist vollverschluesselt, ohne weiteren Firlefanz. Um ein evtl. Manipulieren von /boot, des MBR usw. mache ich mir keine Gedanken, da es nur meiner Familie und mir zugaenglich ist, und ich es unterwegs immer bei mir habe. Das sind meine Konzepte, und die reichen fuer meine Beduerfnisse aus. Ich muss mich nicht gegen Behoerden oder irgendwelche Geheimdienste absichern, sondern bin sehr gluecklich darueber, dass ich so die Moeglichkeit habe, bei Diebstahl ruhig schlafen zu koennen und keinen Skandal befuerchten muss. Kurz: ich meine, bevor man an die Umsetzung geht, sollte man sich sehr klar darueber werden, was man an Sicherheit benoetigt, und was sich davon auch reell umsetzen laesst. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Donnerstag, 24. Dezember 2009 schrieb Heinz Diehl:
(...). Kurz: ich meine, bevor man an die Umsetzung geht, sollte man sich sehr klar darueber werden, was man an Sicherheit benoetigt, und was sich davon auch reell umsetzen laesst.
Vielen Dank für den ausführlichen Artikel. So sehe ich das auch. Gruß Jan -- Digital circuits are made from analog parts. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Heinz und Jan,
Das Konzept der Sicherheit sollte auf den Kriterien des Benutzers basiert sein. Wenn also jemand, angenommen, alle Daten in /home als soweit kritisch betrachtet, dass absolut niemand dazu Zugriff haben soll, dann bedeutet das Konzept: so viel Sicherheit wie technisch moeglich. konkret:
Vollverschluesselung mit Kopie aller unverschl. Sektoren (MBR, /boot etc.) auf einem externen Medium. Ueberwachung des Rechners mit Video 24h in einem mit Stahltuer und Codeschloss gesicherten Raum. Usw. usw. ....
Wenn es z.B. darum geht, dass alle Daten in /home in soweit sensibel sind, als das der Bruder und die Mutter beim Rumsuchen auf dem Rechner nicht die netten kleinen Pornofilmchen und Tittenbilder sehen sollen, dann reicht eine Veschluesselung von /home und loeschen von /tmp problemlos aus. Evtl. sogar ein guten Passwort im BIOS.
[...]
Kurz: ich meine, bevor man an die Umsetzung geht, sollte man sich sehr klar darueber werden, was man an Sicherheit benoetigt, und was sich davon auch reell umsetzen laesst.
um noch mal die Anforderung genau festzusetzen. Ich habe ein kleines mobiles Notebook was ich immer im Zug zur Arbeit und sonst wo mitnehmen will. Bei Verlust des Geräts sei es durch Diebstahl oder Verlust will ich erreichen, dass keiner an meine Daten kommt die in meiner Home-Partition liegt. Ich bin außer meiner Freundin der einzige der dieses Notebook nutzen wird und vor ihr will ich und brauche ich auch keine Daten zu verstecken. (Falls das auch noch benötigt werden würde, wäre meiner Meinung auch ecryptfs besser, da hier immer auch nur das jeweilige Home-Verzeichnis des Benutzers eingebunden wird und nicht wie bei LUKS die Home-Partition aller Usern eingehangen wird!?). So wie ich jetzt diesen Thread verfolgt habe, habe ich folgendes in Erfahrung gebracht. Die Daten die in /var/tmp oder /tmp liegen, sind nicht zu verachten, da diese Teile meiner Dokumente im /home-Verzeichnis besitzen könnten. Ein leeren der beiden Verzeichnisse beim booten bringt nicht, da erstens die Daten wiederhergestellt werden könnten und zweitens beim Verlust des Gerätes der Löschvorgang ja erst beim Booten ausgeführt wird (eventuell zu spät). Also entweder benutze ich gar kein SWAP und lege /var/tmp und /tmp in den RAM oder verschlüssele das ganze System. Ein komplett verschlüsseltes System wäre einheitlicher und Suspend to Disk sollte wohl damit auch möglich sein. Danke für die zahlreichen Antworten und frohe Weihnachten ;) Gruss Patrick -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Patrick, Am Donnerstag 24 Dezember 2009 13:14:35 schrieb Patrick Klaus:
Also entweder benutze ich gar kein SWAP und lege /var/tmp und /tmp in den RAM oder verschlüssele das ganze System. Ein komplett verschlüsseltes System wäre einheitlicher und Suspend to Disk sollte wohl damit auch möglich sein.
im Prinzip schon alles richtig was Jan und Heinz erläutert haben. Ein Aspekt sollte bei einer Komplettverschlüsselung allerdings auch beachtet werden: Verschlüsselst Du das ganze System, kommst Du im Notfall niemals nie wieder an Deine Daten ran. Ich möchte jetzt nicht erläutern, was alles dazu führen kann, dass Du plötzlich keinen Zugriff mehr aufs System haben könntest. Zu /var/tmp kann ich folgendes beitragen: Angenommen Du hast 34000 Bilder von Pamela Anderson und willst irgendwann mal mit den Kipi-Plugins nach doppelten Bildern suchen lassen, landen Miniaturdoubletten in /var/tmp und werden durch nichts automatisch gelöscht. Für einen fast ausschließlich mobilen Einsatz wäre noch in Erwägung zu ziehen, /home ganz einfach getrennt auf einen Stick mitzuführen; die gibt es ja schon mit 16 oder 32GB Fröhliche Weihnachtstage Gruß Thomas
Danke für die zahlreichen Antworten und frohe Weihnachten ;)
Gruss Patrick
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 24.12.2009, Thomas Schirrmacher wrote:
Verschlüsselst Du das ganze System, kommst Du im Notfall niemals nie wieder an Deine Daten ran.
Das kann dir auch ebenso mit einem unverschl. System passieren. Dafuer gibt es backups. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 24.12.2009, Patrick Klaus wrote:
um noch mal die Anforderung genau festzusetzen. Ich habe ein kleines mobiles Notebook was ich immer im Zug zur Arbeit und sonst wo mitnehmen will. Bei Verlust des Geräts sei es durch Diebstahl oder Verlust will ich erreichen, dass keiner an meine Daten kommt die in meiner Home-Partition liegt.
Ok. Jetzt stellt sich da noch die Frage, wie wichtig dir die Daten sind, und wie wichtig sie evtl. anderen sein koennten. Genauer gesagt: wie wahrscheinlich ist es vor und nach einem Abhandenkommen deines Laptops, dass da jemand mehr Aufwand betreiben koennte, um an die Daten zu kommen? Beispiel: wuerde jemand das Laptop mit dem Ziel stehlen, um an deine Daten zu kommen? Falls ja, dann reicht eine Vollverschluesselung nicht aus. Das Laptop sollte dann niemals unter Fremdzugriff fallen, denn es koennte jemand Hardware installieren, die deine Passphrase aufzeichnet, die er nach dem Stehlen dann verwenden koennte. Oder eine manipulierte initrd aufspielen. Oder einen logger im MBR verbergen. Oder oder... Dene du verstehst was ich sagen will. Beispiel 2: das Laptop wuerde nicht wegen der Daten darauf, sondern wegen dem "Wiederverkaufswert" gestohlen werden. Dann reicht eine Vollverschluesselung prima aus. Eine Verschluesselung von /home mit umgeleitetem/verschl. swap und tmp wuerde mich ehrlich gesagt in der heutigen Zeit nicht mehr ruhig schlafen lassen, auch nicht im Beispiel 2. Es ist naemlich schnell mal nach dem Passwort auf den unverschl. Teilen des Systems gesucht, es gibt dazu einige freie Tools (von John the ripper ueber was weiss ich noch alles..). Will meinen: auch der einfache Dieb denkt sich vielleicht: hmm, nettes Laptop, mal sehen, was da alles drauf ist. Ups, /home ist verschluesselt, also lass' mal Google nach ein paar Prograemmchen suchen, die z.B. geloeschte Dateien wieder herstellen, alle zugaenglichen Daten als Datenbank fuer einen bruteforce Angriff benutzen usw. usw. Alles das geht recht schnell, ohne allzuviel Ahnung, und es ist kostenlos. Vielleicht ist da ja doch noch eine Zugangskennung fuer das online banking...
Ich bin außer meiner Freundin der einzige der dieses Notebook nutzen wird und vor ihr will ich und brauche ich auch keine Daten zu verstecken. (Falls das auch noch benötigt werden würde, wäre meiner Meinung auch ecryptfs besser, da hier immer auch nur das jeweilige Home-Verzeichnis des Benutzers eingebunden wird und nicht wie bei LUKS die Home-Partition aller Usern eingehangen wird!?).
LUKS/dmcrypt kann alles das auch, es kommt darauf an, wie du es benutzt. Du kannst auch nur dein eigenes /home/nutzer in einen container packen.
So wie ich jetzt diesen Thread verfolgt habe, habe ich folgendes in Erfahrung gebracht. Die Daten die in /var/tmp oder /tmp liegen, sind nicht zu verachten, da diese Teile meiner Dokumente im /home-Verzeichnis besitzen könnten.
Genau. Und jedes Programm kann ganz nach Belieben seine Daten da hin auslagern, wo es gerade will und Rechte dazu hat. Also auch irgendwo unter /usr, /opt odr sonstwo. Habe ich alles schon gesehen. Ein crash koennte Daten auf die Platte dumpen uvm. ...
Ein leeren der beiden Verzeichnisse beim booten bringt nicht, da erstens die Daten wiederhergestellt werden könnten und zweitens beim Verlust des Gerätes der Löschvorgang ja erst beim Booten ausgeführt wird (eventuell zu spät).
Ja.
Also entweder benutze ich gar kein SWAP und lege /var/tmp und /tmp in den RAM oder verschlüssele das ganze System.
Der aufwand mit den tmp Verzeichnissen ist unsicher und lohnt nicht. Eine Vollverschluesselung ist stabil und umgeht alle generellen Fallstricke.
Ein komplett verschlüsseltes System wäre einheitlicher und Suspend to Disk sollte wohl damit auch möglich sein.
Dazu brauchst du aber swapspace mindestens in Groesse des Hauptspeichers, denn der Speicherinhalt muss ja auf die Platte geschrieben werden koennen. Fuer S2D und aehnliches empfehle ich dir auch unbedingt, cryptsetup mindestens in Version 1.1.0-rc3 oder aktuell aus dem svn repository zu benutzen: liesel:/home/htd # cryptsetup --version cryptsetup 1.1.0-rc3 luksSuspend <name> suspends active device (all IO operations are frozen) and wipes encryption key from kernel. Kernel version 2.6.19 or later is required. After that operation you have to use luksResume to reinstate encryption key (and resume device) or luksClose to remove mapped device. WARNING: never try to suspend device where is the cryptsetup binary itself. luksResume <name> Resumes suspended device and reinstates encryption key. You will need provide passphrase identical to luksOpen command (using prompting or key file).
Danke für die zahlreichen Antworten und frohe Weihnachten ;)
Gerne geschehen. Frohes Fest :-) -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Heinz,
Eine Verschluesselung von /home mit umgeleitetem/verschl. swap und tmp wuerde mich ehrlich gesagt in der heutigen Zeit nicht mehr ruhig schlafen lassen, auch nicht im Beispiel 2. Es ist naemlich schnell mal nach dem Passwort auf den unverschl. Teilen des Systems gesucht, es gibt dazu einige freie Tools (von John the ripper ueber was weiss ich noch alles..). Will meinen: auch der einfache Dieb denkt sich vielleicht: hmm, nettes Laptop, mal sehen, was da alles drauf ist. Ups, /home ist verschluesselt, also lass' mal Google nach ein paar Prograemmchen suchen, die z.B. geloeschte Dateien wieder herstellen, alle zugaenglichen Daten als Datenbank fuer einen bruteforce Angriff benutzen usw. usw. Alles das geht recht schnell, ohne allzuviel Ahnung, und es ist kostenlos. Vielleicht ist da ja doch noch eine Zugangskennung fuer das online banking...
Vollkommen richtig. Wenn man LUKS in Kombination mit pam_mount nutzen will und den komfortablen Weg wählt ist ja das Nutzerpasswort gleiche dem LUKS-Passwort somit steht das Passwort in der /etc/shadow wo ich dann mit Brute-Force Angriffen das eventuell ermitteln kann.
Ich bin außer meiner Freundin der einzige der dieses Notebook nutzen wird und vor ihr will ich und brauche ich auch keine Daten zu verstecken. (Falls das auch noch benötigt werden würde, wäre meiner Meinung auch ecryptfs besser, da hier immer auch nur das jeweilige Home-Verzeichnis des Benutzers eingebunden wird und nicht wie bei LUKS die Home-Partition aller Usern eingehangen wird!?).
LUKS/dmcrypt kann alles das auch, es kommt darauf an, wie du es benutzt. Du kannst auch nur dein eigenes /home/nutzer in einen container packen.
Klar Container gehen natürlich auch, habe nur gesehen das ecryptfs unter Ubuntu die Container dynamisch erstellt. D.h ich brauche keinen Container fixer Größe anzulegen.
Ein komplett verschlüsseltes System wäre einheitlicher und Suspend to Disk sollte wohl damit auch möglich sein.
Dazu brauchst du aber swapspace mindestens in Groesse des Hauptspeichers, denn der Speicherinhalt muss ja auf die Platte geschrieben werden koennen.
Klar das habe ich bereits.
Fuer S2D und aehnliches empfehle ich dir auch unbedingt, cryptsetup mindestens in Version 1.1.0-rc3 oder aktuell aus dem svn repository zu benutzen:
liesel:/home/htd # cryptsetup --version cryptsetup 1.1.0-rc3
luksSuspend <name>
suspends active device (all IO operations are frozen) and wipes encryption key from kernel. Kernel version 2.6.19 or later is required. After that operation you have to use luksResume to reinstate encryption key (and resume device) or luksClose to remove mapped device.
WARNING: never try to suspend device where is the cryptsetup binary itself.
luksResume <name>
Resumes suspended device and reinstates encryption key. You will need provide passphrase identical to luksOpen command (using prompting or key file).
Okay, warscheinlich muss ich dann die Hibernate-Skripte noch anpassen oder? Allerdings finde ich bei Google: ================================== luksSuspend <name> suspends active device (all IO operations are frozen) and wipes encryption key from kernel. Kernel version 2.6.19 or later is required. After that operation you have to use \fIluksResume\fR to reinstate encryption key (and resume device) or \fIluksClose\fR to remove mapped device. WARNING: never try to suspend device where is the cryptsetup binary itself. luksResume <name> Resumes suspended device and reinstates encryption key. You will need provide passphrase identical to luksOpen command (using prompting or key file). ------- This feature provides a way to implement secure hibernation without having to use an encrypted swap partition. It should be used in ubuntu's hibernation scripts as soon as a new stable version of cryptsetup is released. ================================== Braucht man das nur wenn man SWAP nicht mit verschlüsselt? Gruss Patrick -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 25.12.2009, Patrick Klaus wrote:
Braucht man das nur wenn man SWAP nicht mit verschlüsselt?
Die suspend/resume Routinen sind das einzige, das ich mir noch nicht naeher im Quellcode angesehen habe, und selber benutze ich kein suspend/resume. Kurz: mangels genauer Kenntnis kann ich deine Frage leider nicht beantworten. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Heinz,
On 25.12.2009, Patrick Klaus wrote:
Braucht man das nur wenn man SWAP nicht mit verschlüsselt?
Die suspend/resume Routinen sind das einzige, das ich mir noch nicht naeher im Quellcode angesehen habe, und selber benutze ich kein suspend/resume. Kurz: mangels genauer Kenntnis kann ich deine Frage leider nicht beantworten.
ich werde es demnächst mal ausprobieren und berichten. Gruss Patrick -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Heinz,
Braucht man das nur wenn man SWAP nicht mit verschlüsselt?
Die suspend/resume Routinen sind das einzige, das ich mir noch nicht naeher im Quellcode angesehen habe, und selber benutze ich kein suspend/resume. Kurz: mangels genauer Kenntnis kann ich deine Frage leider nicht beantworten.
ich werde es demnächst mal ausprobieren und berichten.
hiermit nochmal vielen vielen Dank für die Tipps, Anleitung und die Hilfe. Ich habe mich aber nun jetzt doch für einen anderen Weg entschlossen, und zwar war mir nicht bewusst, dass eine komplette Verschlüsselung inklusive Swap (ohne /boot natürlich) bereits bei der Installation von openSuSE 11.2 mehr oder weniger indirekt angeboten wird. Ich habe daher bei der Neuinstallation nun a) eine seperate Boot-Partition erstellt b) ein LVM-Partition erstellt, die ich mit DM-Crypt/LUKS verschlüssele (muss man einfach nur den Haken setzen) c) darin dann eine Physical Volume erstellt und in dieser dann drei Logical Volumes für die Partition Root, Home und Swap-Partition. Das klappt bisher sehr gut. Passwort wird direkt beim Booten abgefragt und Suspend To Disk klappt direkt auf Anhieb. Eine Kernelupdate hat die /boot/grub/menu.lst auch nicht kaputtgeschrieben. Der einzige Stolperstein war, das beim Passwort eingegeben immer nur "US-Keyboard" aktiviert ist. Das etwas längere Booten durch suchen der LVM-Volumes kann ich verschmerzen. Siehe auch den folgenden Thread dazu. https://features.opensuse.org/305633 Danke nochmals. Gruss Patrick -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Dienstag, 22. Dezember 2009 schrieb Heinz Diehl:
On 22.12.2009, Patrick Klaus wrote:
Warning: exhausting read requested, but key file is not a regular file, function might never return
Luks/dmcrypt braucht einen definierten Key, keinen stream. Das kann so nicht funktionieren. Deswegen die Fehlermeldung. (...).
Richtig für luks, steht auch so in man crypttab: | The third column KEY specifies a file containing the raw binary key to use | for decrypting the encrypted data of DEVICE. The key file can also be a | device name (e.g. /dev/urandom, which is useful for encrypted swap | devices). | [...] | Warning: luks does not support infinite streams (like /dev/urandom), it | requires a fixed size key. Typically one uses none for luks. Man beachte aber, daß das generell durchaus vorgesehen ist, einschließlich der Verschlüsselung von Swap-Partitionen, aber das mit luks eben nicht funktioniert. Wie und wozu auch bräuchte man auch ein "Linux Unified *Key* Setup" ohne Schlüssel? Gruß Jan -- You are better off not knowing how sausages and laws are made. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Dienstag, 22. Dezember 2009 schrieb Patrick Klaus:
(...). Gibts sonst noch Möglichkeiten dies zu erreichen?
Vielleicht geht das noch so: http://lists.opensuse.org/opensuse-security/2007-12/msg00012.html HTH Jan -- When regard for the truth has been broken down or even slightly weakened, all things remain doubtful. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (5)
-
Daniel Bauer
-
Heinz Diehl
-
Jan Ritzerfeld
-
Patrick Klaus
-
Thomas Schirrmacher