Verschlüsselung aufsetzen
Hallo. Ich habe mir zwei Anleitungen für die Verschlüsselung der gesamten Root- Partition angeschaut, einschließlich /boot, und ich muß sagen, unter Ubuntu geht das *viel* einfacher. :-( Was mir nicht einleuchtet ist, daß so viel Wert darauf gelegt wird, den Kernel mit zu verschlüsseln. Der kann dann nicht mehr manipuliert werden, aber Grub, was dann als EFI-Applikation läuft, ist natürlich weiterhin angreifbar. Mit irgendwas muß man ja anfangen. Warum also? Weil es einfacher ist einen unverschlüsselten Kernel zu manipulieren, als eine EFI-Applikation? Bis dann, Volker
Nachtrag: Wenn ich mich recht entsinne, kann man unter Ubuntu aber keine verschlüsselte /boot-Partition anlegen. Tschüß V. Am Samstag, dem 05.10.2024 um 17:26 +0200 schrieb Volker Wysk:
Hallo.
Ich habe mir zwei Anleitungen für die Verschlüsselung der gesamten Root- Partition angeschaut, einschließlich /boot, und ich muß sagen, unter Ubuntu geht das *viel* einfacher. :-(
Was mir nicht einleuchtet ist, daß so viel Wert darauf gelegt wird, den Kernel mit zu verschlüsseln. Der kann dann nicht mehr manipuliert werden, aber Grub, was dann als EFI-Applikation läuft, ist natürlich weiterhin angreifbar. Mit irgendwas muß man ja anfangen.
Warum also? Weil es einfacher ist einen unverschlüsselten Kernel zu manipulieren, als eine EFI-Applikation?
Bis dann, Volker
On 05.10.24 17:26, Volker Wysk wrote:
Hallo.
Ich habe mir zwei Anleitungen für die Verschlüsselung der gesamten Root- Partition angeschaut, einschließlich /boot, und ich muß sagen, unter Ubuntu geht das *viel* einfacher. :-(
Wenigstens für Leap und Tumbleweed ist das doch auch ganz einfach beim Installieren auszuwählen, allerdings eben im Gegensatz zu Ubuntu nur so, dass das gesamte Disk Device verschlüsselt wird. Der Grund, /boot und /boot/efi nicht verschlüsselt haben zu wollen, ist für mich eigentlich nur, dass die Komplettverschlüsselung auf älteren Maschinen sehr lange braucht, bis der eigentliche Bootvorgang beginnt. Gefühlt bis zu einer Minute zum Beipiel bei einem 2019er Lenovo X1, und vermutlich noch viel länger bei meinem 2012er M92p. Zudem können die Leap- und Tumbleweed-Installer gleich eine ordentliche Swap-Partition für Suspend to Disk anlegen. Für Ubuntu gibt's komplizierte Anleitungen, das nachträglich zu ändern, es bietet standardmässig überhaupt nur Suspend to RAM an. -- Viele Grüße Michael
Am Samstag, dem 05.10.2024 um 20:50 +0200 schrieb Michael Behrens:
On 05.10.24 17:26, Volker Wysk wrote:
Hallo.
Ich habe mir zwei Anleitungen für die Verschlüsselung der gesamten Root- Partition angeschaut, einschließlich /boot, und ich muß sagen, unter Ubuntu geht das *viel* einfacher. :-(
Wenigstens für Leap und Tumbleweed ist das doch auch ganz einfach beim Installieren auszuwählen, allerdings eben im Gegensatz zu Ubuntu nur so, dass das gesamte Disk Device verschlüsselt wird.
Ja, Du hast recht.
Der Grund, /boot und /boot/efi nicht verschlüsselt haben zu wollen, ist für mich eigentlich nur, dass die Komplettverschlüsselung auf älteren Maschinen sehr lange braucht, bis der eigentliche Bootvorgang beginnt. Gefühlt bis zu einer Minute zum Beipiel bei einem 2019er Lenovo X1, und vermutlich noch viel länger bei meinem 2012er M92p. Zudem können die Leap- und Tumbleweed-Installer gleich eine ordentliche Swap-Partition für Suspend to Disk anlegen. Für Ubuntu gibt's komplizierte Anleitungen, das nachträglich zu ändern, es bietet standardmässig überhaupt nur Suspend to RAM an.
"Suspend to Disk" gibt's auch - da habe ich was Neues gelernt. Tschüß, Volker
Am 05.10.24 um 17:26 schrieb Volker Wysk: (...)
Ich habe mir zwei Anleitungen für die Verschlüsselung der gesamten Root- Partition angeschaut, einschließlich /boot, und ich muß sagen, unter Ubuntu geht das *viel* einfacher. :-(
Na dann, ... Das machst Du einfach während der Installation. Noch einfacher geht's kaum. Das waren 2 oder 3 Klicks. Wenn ich mich recht entsinne kann man sogar wählen ob man /boot getrennt verschlüsseln möchte. (Man muss dann allerdings später zwei Mal ein Passwort zur Entschlüsselung eingeben (oder sich die Anleitung (von Christian?) suchen wo er beschreibt wie/wo man den Schlüssel der Root-Partition in /boot ablegt um sie automatisch entschlüsseln zu lassen.) Du scheinst dich ja noch nicht so lange mit openSUSE zu beschäftigen, da ist natürlich Erstmal eine kleine Lernkurve (evtl. inkl. mehrerer (Neu-)Installationen) zu bewältigen. Vergiss den ganzen Ubuntu spezifischen Kram und versuche nicht den auf SUSE zu übertragen. (Hab' ich damals versucht, war Mist ;-) Bernd
Am Sonntag, dem 06.10.2024 um 09:21 +0200 schrieb bnacht:
Am 05.10.24 um 17:26 schrieb Volker Wysk: (...)
Ich habe mir zwei Anleitungen für die Verschlüsselung der gesamten Root- Partition angeschaut, einschließlich /boot, und ich muß sagen, unter Ubuntu geht das *viel* einfacher. :-(
Na dann, ... Das machst Du einfach während der Installation. Noch einfacher geht's kaum. Das waren 2 oder 3 Klicks.
Du hast recht. Ich hatte Tomaten auf den Augen. Aber trotzdem, was schreiben die denn da: ?? https://en.opensuse.org/SDB:Encrypted_root_file_system Das ist scheints veraltet. Die letzte Änderung der Seite ist jedoch vom Juli 2024...
Wenn ich mich recht entsinne kann man sogar wählen ob man /boot getrennt verschlüsseln möchte. (Man muss dann allerdings später zwei Mal ein Passwort zur Entschlüsselung eingeben (oder sich die Anleitung (von Christian?) suchen wo er beschreibt wie/wo man den Schlüssel der Root-Partition in /boot ablegt um sie automatisch entschlüsseln zu lassen.)
Du scheinst dich ja noch nicht so lange mit openSUSE zu beschäftigen, da ist natürlich Erstmal eine kleine Lernkurve (evtl. inkl. mehrerer (Neu-)Installationen) zu bewältigen. Vergiss den ganzen Ubuntu spezifischen Kram und versuche nicht den auf SUSE zu übertragen. (Hab' ich damals versucht, war Mist ;-)
Ich habe es jetzt drei mal in einer virtuellen Maschine installiert. Es ist wirklich einfach... Und es passiert viel mehr (automatisch) als bei Ubuntu. Es gab nur kleine Beanstandungen. Sieht sehr gut aus, bis jetzt. Tschüß, Volker
participants (3)
-
bnacht -
Michael Behrens -
Volker Wysk