verschlüsseltes System in unverschlüsseltes System umwandeln

[fee701]

Ich habe in diesem Jahr mein Debian neu aufgesetzt und wollte es diesmal mit verschlüsselten Partitionen haben. Dies erscheint mir jetzt aber für Mitnutzer zu kompliziert und deswegen suche ich nach einem kurzen Weg, wie ich einen Teil der verschlüsselten Daten (Basissystem und Benutzerkonten der anderen Nutzer) unverschlüsselt lasse und nur mein eigenes Benutzerkonto verschlüsselt lasse. Gibt es einen kurzen Weg oder muss ich den Rechner von Grundauf neu aufsetzen?
Derzeit habe ich zwei LUKS Partitionen, die eine wird bei der Dateiwurzel eingehängt, die andere bei home. Als Ziel sollte es vielleicht eher so aussehen, dass nur noch ein verschlüsselter Container da ist, der unter meinem Benutzernamen eingehängt wird. Würde dann überhaupt der Bootvorgang ohne Passwortabfrage laufen und erst bei meiner Anmeldung die Abfrage erfolgen?

[Rawbit]

Hi,

Du kannst mit cryptsetup/luks auch container anlegen, die Du bei Bedarf einhängen kannst, eben mit
einer Passphrase.
Weiter kannst Du eine crypt-Partition für einen user anlegen und unter /home/user mounten ...

Aber was spricht gegen ein fast vollverschlüsseltes System, das nur beim Booten eine Passphrase verlangt ?
Eine Verschlüsslung ist ja nur eine Sicherung, wenn der Rechner off ist.

Gruß

Rawbit

[fee701]

Na, ich hab leicht paranoid, wie empfohlen, mir ein ziemlich langes Passwort ausgedacht. Ich selbst habe es mir inzwischen gemerkt aber den anderen will ich es nicht zumuten. Alternative wäre natürlich das Passwort zu verkürzen, aber ganz glücklich wäre ich damit nicht.
Ich dachte so an einen Lösungsvorschlag, wie, die Daten aus dem entschlüsselten Container irgendwo sichern, im boot-Verzeichnis an irgendeiner Stelle einstellen, dass beim hochfahren nichts entschlüsselt werden braucht, sondern die gesicherten Daten die Quelle sind und dann - frag mich nicht wie - bei der Anmeldung des Benutzer bei mir die Passwortabfrage kommt.

[spiralnebelverdreher]

Na, ich hab leicht paranoid, wie empfohlen, mir ein ziemlich langes Passwort ausgedacht. Ich selbst habe es mir inzwischen gemerkt aber den anderen will ich es nicht zumuten. Alternative wäre natürlich das Passwort zu verkürzen, aber ganz glücklich wäre ich damit nicht.

Du kanns bei LUKS mehrere (bis zu acht) Passwörter parallel verwenden und einen weiteren User sein eigenes ausdenken lassen. Es ist natürlich klar, dass das schwächste Passwort die Untergrenze für den Aufwand einer Brute-Force-Attacke setzt.
Die Alternative, nur Teile des Systems zu verschlüsseln ist aber für paranoide Naturen auch nicht angenehm, da dur nie sicher bist ob nicht Fragmente deiner Dateien als Überbleibsel von temporären Dateien wiederherstellbar sind.

[Rawbit]

Hi,

sorry aber einen Tod musst Du sterben - entweder verschlüsseln oder nicht.
Eine weitere Möglichkeit ist die Entschlüsslung via USB-Stick, den der User als Schlüssel hat.
Einfacher gehts nimmer glaube ich.


Gruss

Rawbit

[wanne]

Verschlüsslung wieder los zu werden ist nicht ganz einfach. (geht aber) Du kannst aber einfach das leere passwort hinzufügen, dann genügt ein einfaches Enter, oder das passwort in plaintext auf /boot oder einem USB-Stick speichern. Hat beides den Nachteil, das man an eventuelle gelöschte daten dann dran kommt.

Sonst: daten von /dev/mpper/crypto_sdx auf eine unverschlüsselte Partition kopieren, fstab anpassen, grub und initrd neubauen.

Wenn du sagst was dir am meisten passt, kann ich ausführlicher beschreiben, wie das geht.

[fee701]

Danke für Eure Antworten schon erst mal. Das das nicht so einfach wird, hab ich geahnt... Die Frage ist für mich nun, wie kompliziert das neu basteln von grub und initrd ist. Also einfache Dateien editieren bekomme ich wohl hin. Wenns darüber hinaus geht, wird's schwierig. Also Programmierkennnisse gegen null und Hexadezimal und so wird mir, glaub ich, zu kompliziert. Also wenn Du meinst, wanne, das geht ohne, dann würd ich schon mal alle Daten entschlüsselt sichern und mich dann bei Dir melden.