[OT] NAS / Backup / verschlüsselte Partitionen
Hallo nochmal, allerseits! Wie ich schon letztes Mal geschrieben habe waren Eure zahlreichen Antworten auf meine "NAS für Backup" Frage sehr informativ. Danke nochmal! Durch die Beschäftigung mit diesem Themengebiet zeigt sich für mich immer mehr dass es an der Zeit ist, den Datenbestand in meinem SUSE-Server wahrscheinlich völlig neu zu organisieren. Dadurch ist jetzt auch noch das Thema "verschlüsselte Platten/Partitionen" dazu gekommen. Das ist völliges Neuland für mich und daher ergeben sich sogleich eine Menge Fragen: Wen eine Partition verschlüsselt ist muss doch jeder Zugriff ver-/entschlüselt werden. Ich nehme an, das müssen die filesystem-treiber im Kernel machen. Drückt das nicht enorm die performance ? Bzw. verursacht das nicht eine ziemliche CPU-Last? Oder wird Plattenverschlüsselung heutzutage schon von der Hardware (sATA Controller) unterstützt / übernommen? Weiters frage ich mich (Euch), wenn die ver/entschlüsselung funktionieren soll muss doch irgendwann nach einen Passwort/Schlüssel "gefragt" werden. Wann geschieht das? Beim mount der betreffenden Partition? Ich frage mich nämlich, ob eine Maschine, bei der einige Partitionen verschlüsselt sind, z.B. nach einem Stromausfall wieder selbständig vollständig booten kann, oder ob dann ein Mensch zur Konsole muss um ein Passwort (oder Ähnliches) einzugeben. Gibt's villeicht irgendwo im Netz ein "HOWTO" ? ('Tschuldigung wenn ich vielleicht einige mit diesen Anfängerfragen langweile). Grüße, Norbert -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 7. September 2011 23:00 schrieb Norbert Zawodsky
Gibt's villeicht irgendwo im Netz ein "HOWTO" ?
Nein, bestimmt nicht. Es gibt ja auch keine Suchmaschinen. Und Du bist der erste, der sich für das Thema interessiert. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Norbert Zawodsky, Mittwoch, 7. September 2011:
Wen eine Partition verschlüsselt ist muss doch jeder Zugriff ver-/entschlüselt werden. Ich nehme an, das müssen die filesystem-treiber im Kernel machen. Drückt das nicht enorm die performance ? Bzw. verursacht das nicht eine ziemliche CPU-Last?
Das tut es, allerdings ist die Last nicht übermäßig. Ein halbwegs aktueller Prozessor schafft das schon so, daß Du nicht viel davon merkst. Je nach Anwendung natürlich - Videobearbeitung mit hohem Datendurchsatz ist was anderes als ein paar Mails lesen.
Oder wird Plattenverschlüsselung heutzutage schon von der Hardware (sATA Controller) unterstützt / übernommen?
Nö.
Weiters frage ich mich (Euch), wenn die ver/entschlüsselung funktionieren soll muss doch irgendwann nach einen Passwort/Schlüssel "gefragt" werden. Wann geschieht das? Beim mount der betreffenden Partition?
Ja.
Ich frage mich nämlich, ob eine Maschine, bei der einige Partitionen verschlüsselt sind, z.B. nach einem Stromausfall wieder selbständig vollständig booten kann, oder ob dann ein Mensch zur Konsole muss um ein Passwort (oder Ähnliches) einzugeben.
Wenn die Kiste durch welchen Trick auch immer ohne Paßwort booten könnte, dann könntest Du Dir die Verschlüsselung gleich sparen.
Gibt's villeicht irgendwo im Netz ein "HOWTO" ?
Ja. Google hilft. Yast hilft beim Einrichten einer verschlüsselten Partition. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 08.09.2011 08:47, schrieb Andre Tann:
Ich frage mich nämlich, ob eine Maschine, bei der einige
Partitionen verschlüsselt sind, z.B. nach einem Stromausfall wieder selbständig vollständig booten kann, oder ob dann ein Mensch zur Konsole muss um ein Passwort (oder Ähnliches) einzugeben. Wenn die Kiste durch welchen Trick auch immer ohne Paßwort booten könnte, dann könntest Du Dir die Verschlüsselung gleich sparen.
Naja, z.B. wäre es ja sinnvoll den Schlüssel von nem USB-Stick (viele Notebooks haben ja auch SD-Slots) zu lesen. Kann man dann nach dem Booten den USB-Stick wieder abziehen ?? jm3c, weil ich bzgl. dieses Themas noch nicht nachgelesen habe... mir aber grad vorstelle, wie diese Problematik mit dem Schlüssel für mich sinnvoll wäre. -- Gruß Axel ------------------------------ -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 08.09.2011 09:43, schrieb Axel Birndt:
Am 08.09.2011 08:47, schrieb Andre Tann:
Ich frage mich nämlich, ob eine Maschine, bei der einige
Partitionen verschlüsselt sind, z.B. nach einem Stromausfall wieder selbständig vollständig booten kann, oder ob dann ein Mensch zur Konsole muss um ein Passwort (oder Ähnliches) einzugeben. Wenn die Kiste durch welchen Trick auch immer ohne Paßwort booten könnte, dann könntest Du Dir die Verschlüsselung gleich sparen.
Naja, z.B. wäre es ja sinnvoll den Schlüssel von nem USB-Stick (viele Notebooks haben ja auch SD-Slots) zu lesen.
Kann man dann nach dem Booten den USB-Stick wieder abziehen ??
jm3c, weil ich bzgl. dieses Themas noch nicht nachgelesen habe... mir aber grad vorstelle, wie diese Problematik mit dem Schlüssel für mich sinnvoll wäre.
Hallo Axel, wie Andre bereits sehr richtig bemerkte, wenn die Kiste ohne Passwort booten könnte kannst Du dir die Verschlüsselung gleich sparen. D.h., den Schlüüsel auf einem USB-Stick/SD bringt wohl überhaupt nix da der böse Mann, wenn er deinen Laptop klaut, die Schlüssel gleich mit klaut.... Für meinen Fall stelle ich es mir mal so vor: Die "Systempartition" (/) bleibt unverschlüsselt. Die Partitionen mit sensiblen Daten werden verschlüsselt. Wenn die Maschine mal unbeaufsichtigt starten muss (z.B. nach Stromausfall) werden die verschlüsselten Partitionen zwar nicht mehr automatisch gemounted, aber die Maschine kommt hoch. Ein Befugter, der die Passwörter kennt, kann sich dann mit ssh von wo auch immer verbinden und den mount händisch durchführen. Ich hoffe, ich überseh dabei nix... -- I know we've come a long way, We're changing day to day, But tell me, where do the children play? Yusuf Islam, Nov. 1970 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Axel Birndt, Donnerstag, 8. September 2011:
Naja, z.B. wäre es ja sinnvoll den Schlüssel von nem USB-Stick (viele Notebooks haben ja auch SD-Slots) zu lesen.
Wogegen soll die Verschlüsselung schützen? Wenn einer die Kiste klaut, dann klaut er den Stick gleich mit => booten => kein Problem, Daten sind da.
Kann man dann nach dem Booten den USB-Stick wieder abziehen ??
Wenn Du den Stick nach dem Booten wieder abziehst, dann kommt die Kiste nach dem Stromausfall ohne Benutzereingriff nicht mehr hoch. Dann aber kannst Du gleich ein Paßwort einrichten. Da kann das Abziehen wenigstens nicht vergessen werden. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Norbert Zawodsky meinte am Mittwoch, den 07.09.2011 um 23:00 Uhr wegen:[OT] NAS / Backup / verschlüsselte Partitionen
Gibt's villeicht irgendwo im Netz ein "HOWTO" ?
schau mal bei Opensuse und Luks Performanceprobleme gibt es nicht. Die Passphrase für die Rootpartition musst Du von Hand eintippen, den Rest kannst Du mittels lukskey erledigen. Aber es gibt verschiedene Möglichkeiten und Du musst Dich entscheiden was Du willst. -- Beste Grüße Christian Gut, das Audacious gerade von PAT BENATAR - WE BELONG spielt :music: -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (5)
-
Andre Tann -
Axel Birndt -
Christian Meseberg -
Martin Schröder -
Norbert Zawodsky