Neuinstallation und Verschlüsselung

[Celica]

Hallo,

ich bin gerade dabei den Laptop (Lenovo Thinkpad T440) meiner Frau mit Debian auszustatten.
Vorweg möchte ich etwas zu dem Einsatzzweck des Laptops sagen.
Dieser soll als Arbeitslaptop fungieren und wird daher mobil genutzt.
Das wird der tägliche Einsatz im Firmenfahrzeug sein, Präsentationen beim Kunden (Lapi => Beamer), Büroarbeit zu Hause.

Wegen des mobilen Einsatzes auch die Verschlüsselung der Festplatte (512 GB SSD).
Auf dem Rechner werden Kundendaten sein, Firmendaten in unterschiedlichster Form, Onlinebanking wird sie damit durchführen, eMail Verkehr, ... also alles was kein dritter sehen können sollte bei Verlust!

Nun hatte ich mich im Vorfeld ein wenig im Debian Handbuch zum Thema Verschlüsselung eingelesen und dachte: OK, dass klingt alles verständlich und nicht so kompliziert!
Also habe ich angefangen Debian Stable (ohne Firmware) zu installieren und das hat auch super funktioniert (kein Ärger mit U(EFI) etc. ...!), GNOME als Desktop ausgewählt (entgegen meiner sonstigen Vorgehensweise mit Minimalinstallation und alles von Hand!), geführte Installation, ... alles super, bis auf das ich einen Fehler bei der Verschlüsselung gemacht habe.

Ich habe folgende Partitionen:
sda1 / ext4, Einhängepunkt "/" als boot markiert (30GB)
sda2 / extended
sda5 / swap (7,69GB)
sda6 / ext4, Einhängepunkt wird keiner angezeigt, sollte aber "/home" sein (441GB)

Eigentlich hatte ich sda2/5/6 zu verschlüsseln markiert, aber das sind sie nicht!
Bei der Partitionierungstabelle wurde mit "crypt" aber nicht aktiviert angezeigt. Das hatte mich schon verwundert, aber da ich null Komma null Erfahrung mit Verschlüsselung habe, dachte ich das die Verschlüsselung noch passieren würde. Aber genau da habe ich wohl einen Fehler gemacht.

Darauf hin habe ich mich noch ein bisserl aufgeschlaut und bin auf ein paar Fragen gestoßen.

• SSD Platten verschlüsseln wirkt sich angeblich auf die Lebensdauer der SSD aus. Da gibt es sehr unterschiedliche Meinungen zu. Stimmt das so, oder ist das aus heutiger Sicht nicht mehr zutreffend?
• "/" habe ich nicht verschlüsselt, da die "boot" Partition mit darauf liegt und ich glaube verstanden zu haben, dass eine verschlüsselte "boot" Partition so nicht funktioniert (Schlüssel von z.B. Medium USB-Stick). Ist das so richtig verstanden und wäre das besser eine separate "boot" Partition anzulegen um dann eine eigene "/" Partition zu haben die auch zu verschlüsseln ist?
• Macht das Sinn "/" nicht zu verschlüsseln? Sicherheitsrisiko?
• Eigentlich müssten nur die Daten auf "/home" gesichert sein, aber wenn "/" nicht gesichert wäre, könnte da evtl. ein unbefugter Zugriff erfolgen, oder welches Sicherheitskonzept wäre für den Einsatzzweck geeignet? => Ich weiß, dass ich mir hätte vorher mehr Gedanken machen müssen . Das merke ich jetzt leider auch!
• Was habe ich bei der Installation falsch gemacht und ist das einfacher den Rechner neu aufzusetzen, oder kann ich das (habe gelesen das es auch nachträglich geht) auch gut nachträglich verschlüsseln ohne mich zu tief einarbeiten zu müssen? Wobei ich mir bezgl. der Partition auch noch nicht so grün bin ob das optimal partitioniert ist. Wie würdet ihr bei einer 512GB SSD partitionieren?

Ich bin mir gerade unsicher ob ich a) dieser Aufgabe gewachsen bin (wobei das nicht die erste Herausforderung Linux bezüglich ist ) und b) ob ich neu aufsetzen sollte, oder das mit der bestehenden Installation Sinn macht?
Wie muss ein ordentliches Sicherheitskonzept aussehen?
Wobei wir nicht von einem Hochsicherheitsrechner sprechen mit super sensiblen Daten!
Ich möchte mir halt nur keine Vorwürfe später machen (sollte doch mal der Fall aller Fälle eintreffen, was wir nie hoffen!), dass ich zu schlampig/nachlässig gewesen wäre (wobei ich in Firmen schon schlechter gesicherte Laptops erlebt habe, aber die sollen nicht der Maßstab sein!).

Was passiert eigentlich, wenn ich eine verschlüsselte Partition später sichern möchte (Image bzw. regelmäßiges Backup aller wichtigen Daten)?

[DeletedUserReAsG]

Macht das Sinn "/" nicht zu verschlüsseln? Sicherheitsrisiko?

Wer das ausgeschaltete Gerät in die Finger bekommt, kann bei unverschlüsseltem Systemverzeichnis halt das System manipulieren. Trojaner drauftun, Schlüssel abgreifen, etc.

oder kann ich das (habe gelesen das es auch nachträglich geht) auch gut nachträglich verschlüsseln

Wenn man z.B. ecryptfs für ~ verwendet, kann man’s nachträglich machen, sofern man ausreichend Platz hat. Wenn man Backupplatz hat, kann man die Partitionen auch via dm_crypt/LUKS verschlüsseln und die Daten dann wieder zurückkopieren. Wenn man plain dm_crypt nimmt, konnte man zumindest bei HDDs on the fly verschlüsseln. Bei SSDs wäre ich mir diesbezüglich nicht sicher.

Wie würdet ihr bei einer 512GB SSD partitionieren?

Je nachdem. Ich hab nur Erfahrung mit BIOS, daher: /boot (etwa 100MB) unverschlüsselt (ggf. auf externem Datenträger), / ausreichend dimensioniert (vielleicht 30GB, damit sollte man für die meisten Einsatzzwecke bequem hinkommen, Swap abhängig vom RAM (wenn genug vorhanden ist und auch kein Suspend to Disk genutzt wird, würde ich es ganz weglassen) und den Rest für /home – macht max. vier Partitionen, da braucht man auch nicht mit logischen Partitionen rumhantieren (würde ich heute sowieso nicht mehr: wenn ich mehr als vier Partitionen bräuchte, würde ich einfach GPT wählen).

Was passiert eigentlich, wenn ich eine verschlüsselte Partition später sichern möchte (Image bzw. regelmäßiges Backup aller wichtigen Daten)?

Sobald das System hochgefahren ist, sind die Partitionen entschlüsselt und es kann normal drauf zugegriffen werden. Man kann auch ’n Image des verschlüsselten FS ziehen, aber das ist in den meisten Fällen wenig sinnvoll.

[scientific]

Soviel ich mitbekommen hab, ist selbst eine Vollverschlüsselte SSD kein 100%iger Schutz, dass nicht doch Daten unverschlüsselt in Reservebereichen landen...

Das mit der Lebensdauer sollt anscheinend heute kein Problem mehr sein.

Ich würd so Partitionieren:
150-300MB /boot unverschlüsselt
2-4GB Swap. Verwchlüsselung on-the-fly (im ubuntu-wiki gibts eine gute Anleitung)
15-30GB für / verschlüsselt
Rest für /home verschlüsselt.

Schlüssel auf einem USB-Stick, der beim booten eingesteckt sein muss. So wie ein Zündschlüssel beim Auto. Einen Reservestick, der ebenfalls sperrr, gut aufgehoben daheim!
Diese Schlüsselsticks regelmäßig duplizieren und testen, ob das Duplikat auch sperrt. Dann den originalen überschreiben.

Persönlich bin ich von Verschlüsselung wieder weg. Ich nutze jetzt btrfs und mache damit sehr performant ganze Systemsnapshots, die ich auch differentiell auf eine externe Platte schreibe.

Lg scientific

[DeletedUserReAsG]

Soviel ich mitbekommen hab, ist selbst eine Vollverschlüsselte SSD kein 100%iger Schutz, dass nicht doch Daten unverschlüsselt in Reservebereichen landen...

Hast du falsch mitbekommen: der Controller des SSDs sieht nur die verschlüsselten Daten, und kann daher auch keine Daten unverschlüsselt irgendwo hinschreiben.

Problem sind allenfalls die schon unverschlüsselt geschriebenen Daten – aber das Problem ist nicht der Verschlüsselung anzulasten.

[scientific]

Ah ja. Stimmt!

[Celica]

Hmmm, dass klingt a) nach Neuinstallation und b) komplizierter wie gedacht.

Schlüssel außer auf der "boot" Partition auslagern (z.B. Stick) werde ich bei meiner Frau auf Akzeptanz Probleme stoßen.

Idee: Keine Verschlüsselung der SSD,BIOS Passwort geschützt. (selbstredend!), Boot Reihenfolge festlegen (nur von SSD!) und gut wäre.
Dann könnte nur bei Ausbau der SSD auf die Daten zugegriffen werden. Wäre natürlich nicht ohne Risiko und durchaus realistisch.

Habe noch einmal quer gelesen und bin über jede Menge Thema gestolpert die weitere Fragen aufwerfen.
TRIM Funktion nur unter bestimmten Umständen möglich, Leistungseinbuse durch intensive Rechenoperationen beim verschlüsseln, ... und noch einiges mehr.

Ich komme ins grübeln ob das Verschlüsseln so eine gute Idee und praktikabel ist.

Was aber ist bei meiner Installation schief gelaufen?
Ich habe kein LVM eingerichtet, scheint aber zumindest im Zusammenhang mit LUKS erforderlich zu sein. Kann das so sein?

So sensibel waren für Daten dann nun auch wieder nicht.
Wäre der Aufwand und evtl. Nachteile gerechtfertigt?

Zu riskant?

[Celica]

Sodele,Nacht drüber geschlafen

Ich habe verstanden, dass die Passwort Abfrage beim Booten einmal für jedes mal statt findet. Das Passwort ist immer das gleiche und könnte auch auf z.B. einem USB-Stick hinterlegt sein.
Ist das Passwort falsch, oder vergessen worden, besteht keine Möglichkeit mehr an die Daten zu gelangen. Dann hilft nur noch das gute alte Backup.
Performance Einflüsse werden bei einer SSD und diesen Rechner nicht sonderlich groß sein, wenn wir über Vollverschlüsselun und LUKS sprechen.
Trimmen der SSD ist kein Problem?

Ich würde wie folgt manuell Partitionieren:
"/boot" ohne Verschlüsselung
"/" verschlüsselt
"Swap" verschlüsselt
"/home" verschlüsselt

Was habe ich falsch gemacht, bzw. wie muss ich das bei der Installation richtig machen?
Spielt LVM eine Rolle?
Wie mache ich das mit der Auslagerungsdatei?

[schwedenmann]

Hallo


Ich würde aus / + /home eine große Partition bei der Installation machen (physikalsiches device und dieses verschlüsseln, in dem device 2 VG anlegen, 1x / und 1x /home.
Das Ganze hat den Vorteil, du benötigst für / und /home nur insgesamt1x eine passwortabfrage, nämlich für das verschlüselte physikalsiche device.


mfg
schwedenmann

[Celica]

Damit hätte ich zwei Passwörter?
Swap + die große gemeinsame,richtig?

Oh ha, oberste Behörde. Ich erwarte Widerstand.

[schwedenmann]

Hallo


Man kan auch schizphren sein in bezug auf /boot und /swap

Ich nutze auch luks + lvm und habe nur /home und / nach obiger Methode verschlüsselt. 2 Passphrasen eingeben, das kann ich mir nicht merken und 2x dasselbe ist m.m. Verschwendung und Zeitverlust beim tippen.


mfg
schwedenmann

[Celica]

/boot kannst du nicht ohne weiteres verschlüsseln, so wie ich das verstanden habe.

Bleibt ja immer noch die Frage brauche ich ein LVM und was habe ich falsch gemacht bzw. Wie muss ich es richtig machen

[scientific]

Als ich meinen Laptop noch verschlüsselt hatte, hab ich auch 2 Partitionen gemacht.
Eine /boot und den Rest als verschlüsseltes LVM.

Ob du jetzt SWAP ins LVM mit aufnimmst, oder außerhalb als extra Partition on-the-fly verschlüsselst, ist Geschmackssache. Wenn SWAP im verschlüsselten LVM liegt, leidet die Performance von SWAP, aber es sollte - wenn ich mich recht erinnere - ein Suspend2Disk funktionieren.
SWAP außerhalb, on-the-fly-verschlüsselt (also bei jedem Boot wird ein neuer Schlüssel erzeugt) geht suspend2disk nicht, da Swap beim Runterfahren verworfen wird.

Mit einem verschlüsselten LVM kannst du mit einem einzigen Schlüssel (z.B. auf Stick) dein System entsperren.
Du kannst natürlich auch / und /home getrennt anlegen und verschlüsseln. / sperrst du mit Stick auf. Den Schlüssel für /home hinterlegst du in / und entsperrst es automatisch beim Einhängen. Dann brauchst du auch nur einen Schlüssel für deinen Rechner. Home kann man nur entsperren, wenn man / entsperren kann. Der Sicherheitsgewinn gegenüber einer einzigen verschlüsselten LVM-Partition ist nicht vorhanden. Die Performance könnte ev. (zulasten der Flexibilität von LVM) durch den LVM-Overhead etwas leiden, was bei modernen Rechnern ziemlich sicher vernachlässigbar ist.

Ein verschlüsseltes LVM bietet dir den Vorteil eines LVMs. Du kannst die Partitionsgrößen bei Bedarf im Betrieb ändern. Alles ist und bleibt verschlüsselt.

Anleitung zum Verschlüsseln mit USB-Stick-Schlüssel
https://wiki.ubuntuusers.de/System_vers ... C3%BCssel/

Verschlüsseln von SWAP und TMP
https://wiki.ubuntuusers.de/Vorbereitun ... BCsselung/

Hier noch eine Anleitung, wie du die USB-Schlüsselgeschichte vom 1. Link mit systemd umsetzen kanns. (Diese Wikiseite ist von mir. Hatte das erfolgreich im Einsatz)
https://wiki.debianforum.de/Cryptsetup_ ... _USB-Stick

lg scientific

[schwedenmann]

Hallo


Hier mal ein Beispiel mit debianinstaller

https://www.tecmint.com/install-debian- ... titions/2/

Mußt das nur an deine Verhältnisse anpassen (also vorher 1x /boot erstellen 100-250MB, 8GB für swap und den Rest als 3.Partition für / + /home, ich mache das immer vor der Installation eine Linux per gparted mit der systemrescuecd ) . Dann nach obiigen link die große Partition für / und /home als physikalisches verschlüssltes device auswählen. Dann die LVM und VG anlegen und denen die mountpoint / un d /home zuweisen.

mfg
schwedenmann

[tobo]

/boot kannst du nicht ohne weiteres verschlüsseln, so wie ich das verstanden habe.

Ohne Weiteres vielleicht nicht aber mit wenig "Weiterem"!?
https://wiki.debian.org/Grub2#Configure ... ed_.2Fboot
Wenn du nach "GRUB_ENABLE_CRYPTODISK" in der Suchmaschine deiner Wahl suchst, dann findest du sicher auch noch ausfühlichere Informationen. Als Anmerkung vielleicht noch: Als Filesystem geht natürlich auch ext4 und beim 1. Aufschließen (von /boot) bietet Grub nur eine US-Tastatur an.

Bleibt ja immer noch die Frage brauche ich ein LVM...

LVM ist erstmal eine Verkomplizierung der Sache, wenn du dessen Funktionalität nicht benötigst. Vorteil wäre aber, du musst nur ein Passwort beim Start eingeben. Andernfalls ein Passwort für jede zu entschlüsselnde Partition (Keyfiles mal außen vor).

[wanne]

Zu ecryptfs: Es nutzt ziemlich veraltete crypto (MD5, Blowfish…). Wenn du nicht mit einem Geheimdienst oder einer ähnlich großen Organisation als Angreifer rechnest, ist das eher irrelevant. Daneben ist es deutlich langsamer. Dafür hat es einige Zusatzfeatures.

Zu LVM: cryptsetup empfiehlt aus performance gründen ausdrücklich möglichst viele Partitionen zu verwenden (Multithreadding ist in aktuellen Kernels wieder nicht mehr drin.). Es gibt absolut keinen Gurnd für die Verwendung von LVM in LUKS. Keyfiles sind die wesentlich einfachere Methode: Man legt das Passwort für alle anderen Partitionen einfach auf der verschlüsselten / Partition ab (z.B unter /etc/hdpw).
Ein passender Eintrag in der crypttab sieht dann so aus:

Code: Alles auswählen

crypttab: c_data /dev/disk/by-partlabel/DATA   /etc/hdpw luks,nofail

SWAP: Du kannst die SWAP Partition einfach bei jedem Boot mit einem Zufälligen Schlüssel verschlüsseln. Dann brauchst du dafür kein Passwort.
Passende Konfigurationseinträge Das funktioniert dann ab dem nächsten boot (systemdler müssen noch ein systemd daemon-reload abfeuern):

Code: Alles auswählen

/etc/crypttab: ssd_swap   /dev/disk/by-id/ata-Samsung_SSD_840_EVO_250GB_S1DBNSAFC27122M-part6  /dev/urandom  swap,cipher=aes-ctr-plain64,size=128
/etc/fstab: /dev/mapper/ssd_swap    swap            swap    nofail            0       0

Zur Manipulationssicherheit von /: So leid es mir tut: Vergiss es. Mit Linux-Standard tools ist da wenig zu machen: Du könntest LUKS im XTR mode unter einem ZFS laufen lassen und /boot irgend wie getrennt sicher ans Ziel transportieren und selbst dann bist du halt ziemlich exakt auf dem niveau von WEP. Auch WEP sicherte sich mit verschlüsselten CRC-Summen.
Bitte macht euch da echt keine Hoffnungen. Jeder der ansatzweise weiß, wie Linux intern funktioniert und irgend welche Malware schreiben kann, kann die Manipulationssicherheit einer Standardlinux-Installation mit LUKS umgehen und wird das vermutlich sogar automatisch ohne die Verschlüsselung überhaupt zu bedenken machen. Da braucht es weder Supercomputer noch tiefere Kenntnisse in Mathematik.

Zu Trim: Bei angeschaltetem Trim können Patterns wiedererkannt werden: Sowas wie "hat um 17:20 mit ktorrent den Torrent von Debian gezogen", oder "um 12 die Fotos von seinem Handy kopiert" ist dann möglich. Nicht aber der Inhalt der Fotos, wenn dieser nicht vorher bekannt ist. Den Kinderporno aus dem Internet also schon. Die Katzenbilder von der eigenen Katze eher weniger.
Dagegen ist der Sinn von Trim allerdings auch fraglich. Linux schaltet das bei diversen Platten mitlerweile automatisch auch ohne Verschlüsselung ab.

Zur Haltbarkeit. Das liegt zum einen an dem meist abgeschalteten Trim (Was sich aber bei vielen modernern Platten nachteilig auswirkt), zum anderen das oft empfohlen wird die Platte mit Zufallsdaten zu überschreiben um alte Daten zu löschen. Das ist bei SSDs sowieso sinnlos. Willst du die los werden gibt nur die secure-erease Funktion von hdparm für die gesamte Platte. (Nicht für einzelne Partitionen oder Dateien.)

Zum Schluss meine Empfehlung:

1. Swap wie oben beschrieben:
2. Als alle user ausloggen/ als root einloggen.
3. /home aushängen
4. Mit resize2fs /dev/sda6 100G /home verkleinern. (Deutlich über der aktuellen Belegung )
5. Mit cat /dev/sda6 > /media/extern/sda6.backup Backup von home erstellen
6. Mit

   Code: Alles auswählen

   mount /media/extern/sda6.backup /media/test 

   testen, ob das Backup funktioniert.
7. Mit

   Code: Alles auswählen

   cryptsetup luksFormat /dev/sda6 

   verschlüsseln
8. Zurckspielen:

   Code: Alles auswählen

   cryptsetup luksOpen /dev/sda6 newhome
   cat /media/extern/sda6.backup > /dev/mapper/newhome 
   resize2fs /dev/mapper/newhome 

9. crypttab und fstab anpassen

[wanne]

Ansonsten solltest du die Software kennen und wissen wo sie sensible Daten ablegt und ob sich das nur in /home abspielt. Desktopumgebungen legen ganz gerne unter /tmp ab => Du musst /tmp gesondert absichern
Serverprogramme machen das gerne unter /var, insbesondere unter /var/log sind oft sensible Daten von Servern. => Nur /home verschlüsseln reicht nicht
Viele Programme von Drittanbietern legen auch mal userdaten unter /opt ab. (Wildfly, Steam sind so Beispiele)

Und noch eine Anmerkung: Für /tmp emfiehlt sich tmpfs. Nicht nur sicherer sondern Performanter:
In der fstab sieht das dann so aus:

Code: Alles auswählen

none                    /tmp            tmpfs   defaults    0 0

[Celica]

Ok,ganz ohne Verschlüsselung ist glaube ich nicht gut.
Übertreiben würde ich nicht wollen.
Ich könnte mir sogar vorstellen nur /home zu verschlüsseln, aber wenn ich das wie folgt aufteile,dann passt das glaube ich auch ganz gut:

"/boot" unverschlüsselt
"/" + "/home" verschlüsselt als LVM
SWAP als eigenständige aber unverschlüsselt.

Das finde ich wäre ein guter Kompromiss der auch realisierbar von mir wäre und es müsste beim hochfahren nur ein Passwort von meiner besseren Hälfte eingegeben werden. Das sollte zumutbar sein!

Ist ganz bestimmt nicht die 100% Methode aber ein guter Kompromiss für die Eventualitäten wie ich finde.

Ich lese mir die links mal in Ruhe durch und schaue ob ich so ins Ziel komme.

Herzlichen Dank für euren schnellen und zahlreichen Support.

[scientific]

Wie schon erwähnt wurde... Passwörter und sensible Nutzerdaten können auch außerhalb von /home liegen... Also wenn verschlüsseln, dann alles.

[Celica]

Ich Zweifel ein wenig.
Das ist viel Aufwand für denjenigen der das zum ersten mal einrichtet.
Der ein oder andere Nachteil ist nicht von der Hand zu weisen.
Ich selber habe einen Firmenlaptop mit dem ich um die halbe Welt Reise und toi,toi,toi bisher.
Klar, dass kann auch mal in die Hose gehen.
Im Ubuntu wiki steht auch, dass eine Risikoanalyse über die Wichtigkeit der Daten im Verhältnis zum Aufwand und Nutzen gemacht werden sollte.
Vielleicht muss ich mir auch dazu noch einmal Gedanken machen.

[wanne]

Celica: Bitte lies mal meinen Beitrag.

SWAP als eigenständige aber unverschlüsselt.

Da der Key ganz gerne mal auf SWAP ausgelagert wird, und du den bei SSDs auch nicht mehr gelöscht wird, kannst du es dann auch komplett sein lassen.
Daneben ist die Verschlüsselung der SWAP wie oben angemerktein 2-Zeiler.

"/" + "/home" verschlüsselt als LVM

Warum LVM? Nur langsam und kompliziert. Keinerlei Vorteile.

Das finde ich wäre ein guter Kompromiss der auch realisierbar von mir wäre und es müsste beim hochfahren nur ein Passwort von meiner besseren Hälfte eingegeben werden.

Warum? Wenn du eh schon / verschlüsselst, kannst du da auch einen Keyfile ablegen?

[wanne]

Das ist viel Aufwand für denjenigen der das zum ersten mal einrichtet.

Eigentlich absolut nicht. Bei der Installation ist es ein einziger Button. Das Nachträgliche verschlüsseln von /home swap und /tmp ist in 5min passiert. (wenn man die zeit für, Backup (das natürlich dateigrößenabhänig ist) absieht.)
Wie gesagt: kopier einfach die drei von mir gepostetetn Zeilen zu /tmp und swap , ersetze den Festplattennamen durch deinen (Samsung_SSD…) mach systemctl daemon-reload und du hast eine sichere /tmp und SWAP, was schon mal ein erheblicher Vorteil ist. Das ist in 20s passiert, wenn man es einfach macht und nciht nochmal 5k Fragen stellt.

Alles unter der Voraussetzung, dass man halt die defaults lässt nicht mit irgend welchen einstellungen von Trim, LVM oder sonst irgend was rumspielt, de eigentlich gar nichts mit der Verschlüsslung zu tun haben.
So z.B.: Weißt du ob du Trim aktuell aktivierst hast? Hast du gewusst ob du LVM nutzt bevor du verschlüsselt hast?
Warum machst du dir jetzt plötzlich drüber gedanken?

Der ein oder andere Nachteil ist nicht von der Hand zu weisen.

Welcher?

[Celica]

Ich weiß Ihr meint es nur gut mit mir und ich sehe das alles ein, bin absolut dafür und Asche über mein Haupt, aber: Ich stehe ein wenig unter Druck und wenn ich mir das ansehe, dann erscheint mir das schon aufwendiger und komplizierter.
Der Rechner muss schnellstmöglich fertig werden und muss zuverlässig laufen ... und ja, ich weiß, dass alles sollte keine Rolle spielen!

Ich möchte mal das Risiko betrachten mit möglichem Reaktionsplan.
Vielleicht habe ich etwas übersehen, oder da gibt es ein absolutes NoGo.
Bitte versucht euch da mal herein zu denken.

Rechner komplett unverschlüsselt und worst case, er wird entwendet:

• Firmendaten wie Finanzdaten, Präsentationen, Schriftverkehr => Nicht schön, auf einer Skala zwischen 1 - 3 (1 = keine Gefahr; 2 = Rechte werden verletzt; 3 = Schaden kann durch unbefugte angerichtet werden) Bedeutung=1; Reaktion keine!
• Personen bezogene Daten => B=2 würde ich denken; Reaktion keine, da nur Namen und max. Adressen, ggf. Personen informieren!
• Online Banking, Login Daten => B=3; Reaktion wäre Bankkonten sperren, Zugagnsdaten ändern
• Netzwerkdaten wie WLAN zu hause => B=3; Zugangsdaten ändern

Das wären für mich mögliche Szenarien, deren Folgen und wie darauf reagiert werden könnte.
Immer vorausgesetzt das die Reaktion schnell genug erfolgen kann durch frühzeitige Entdeckung!

Wie hoch schätze ich die Wahrscheinlichkeit ein, dass der Rechner in falsche Hände gerät?
Sehr gering, da dieser entweder zu hause liegt (ok, ein Einbrecher könnte diesen entwenden, jedoch ist das Haus Alarmgesichert, da wir bereits einen Einbruch hatten und dann könnte der Einbrecher auch andere Geräte entwenden die nicht gesichert sind, z.B. Laptop für zu hause, Backup HDDs wenn er sie findet, ... aber in der Regel sind Einbrecher nicht auf solch ein Diebesgut aus. Ich spreche aus Erfahrung ), oder im Fahrzeug, aber das schätze ich auch sehr gering ein, da beaufsichtigt, gesichert und nicht einsehbar.
Beim Kunden ständig in sicherer Umgebung bzw. unter Beobachtung!

Ein Rechner der täglich an einer Uni, Schule, ... z.B. mitgeführt wird, oder so wie bei mir auf Dienstreisen an Flughäfen, im Hotel, ... wo dieser auch mal unbeaufsichtigt ist, ist einem wesentlich höherem Gefahrenpotential ausgesetzt.
All diese Szenarien sind für mich potentiell gefährlicher wie das, wo dieser Rechner eingesetzt werden soll.

... und ja, es besteht ein Restrisiko dessen ich mir bewusst bin. Genau deswegen habe ich auch ein schlechtes Gewissen und deswegen bin ich einfach nur hin und hergerissen.
Ich würde den Rechner wie mehrfach hier beschrieben wurde ja konfigurieren, aber wie ich schon gesagt habe fehlt mir die Zeit und ich kenne mich damit zu wenig aus, habe zu wenig Erfahrung, ...
Jetzt könnt ihr gerne sagen: "Ja, warum fragt er halt so blöd!"
Ihr habt Recht und ich habe mich vollkommen verschätzt bei dieser Aufgabenstellung!

Ich würde euch um eure ehrliche Meinung bitten und wenn ich bei meiner Betrachtung etwas vergessen habe, irgendwo total daneben liege, Ihr ein NoGo seht, oder was auch immer: Dann sagt mir das bitte!
Ich habe ja verstanden das eine Vollverschlüsselung die beste Methode ist. Darüber bin ich mir durchaus bewusst!

[DeletedUserReAsG]

Zu ecryptfs: Es nutzt ziemlich veraltete crypto (MD5, Blowfish…).

Man kann genausogut auch AES wählen (ist, glaube ich, default). Vorteil beim ecryptfs ist halt, dass der User eben keine zusätzliche Passphrase eintippeln muss, wenn es entsprechend aufgesetzt ist. Dann wird das ~ beim Login entschlüsselt, und beim Logout ist wieder alles zu. Außerdem lassen sich die vorhandenen Daten damit auch on-the-fly verschlüsseln, ohne sie an ’ner dritten Stelle zwischenzuspeichern. Und da’s dateibasiert arbeitet, braucht man auch bzgl. des Trim-Krams von SSDs nichts weiter zu beachten. Nachteil ist eben eine etwas geringere Performance, verglichen mit dm_crypt (aber immer noch erheblich höher als etwa die Performance von encryptfs) und die Tatsache, dass das System nicht verschlüsselt ist, und so potentiell Manipulationen möglich sind (was aber auch erst dann von Bedeutung ist, wenn man ein abhandengekommenes Gerät wiederbekommt und damit weiterarbeiten will – der normale Dieb wird’s eher nicht zurückgeben, die Userdaten sind in dem Fall auch nicht weniger sicher, als bei Vollverschlüsselung des Systems).

Das nachträgliche Einrichten wäre etwas Handarbeit, aber machbar – Tutorials sind zu finden, und ’ne VM zum Üben ist ja auch schnell aufgesetzt; notfalls reicht sogar ’n neuer Useraccount auf dem eigentlichen System zum Probieren.

[Celica]

Da komme ich wieder auf meinen Kompromiss zurück:

"/boot" unverschlüsselt;
"/" + "/home" via LUKS bei der Installation mit AES verschlüsseln;
"SWAP" unverschlüsselt

Unter Berücksichtigung meiner Risikobetrachtung vertretbar als Kompromiss und besser wie nix?

Wobei mir a) nicht klar ist wo mein Fehler bei meiner Installation gewesen ist und b) muss ich dann ein Passwort beim booten eingeben?

[DeletedUserReAsG]

Wenn du / und /home verschlüsselst, solltest du auch Swap verschlüsseln. Ansonsten kann’s passieren, dass der Schlüssel dort frei zugänglich liegenbleibt. Solange kein Suspend benötigt wird, kann man’s bei jedem Systemstart mit einem zufälligen Schlüssel einhängen und gut.

Zu b: natürlich wirst du mindestens eine Passphrase eingeben (oder halt was mit ’nem USB-Stick bauen) müssen. Es wäre zwar machbar, aber dann doch ein wenig sinnfrei, das System so zu verschlüsseln, dass letztlich doch jeder ohne Schlüssel das System hochfahren und auf die Daten zugreifen kann.