Bei Installation verschlüsseln (Auch Swap und Boot)

[mcb]

Wenn dein BIOS das kann würde ich einfach alle Platten ausbauen und das benutzen...

Ich kam an die M2 SSD nicht ran, also hab ichs riskiert, die anderen abgesteckt. Aber vor dem löschen kam dann noch mal eine Abfrage, welche SSD. Wäre ja auch sinnlos ohne Abfrage. Etwas verwirrend der ganze Ablauf. Aber das war innerhalb von ein paar Sekunden erledigt. Kann das sein ? Laut Beschreibung, ist wie Werks neu. Es könnten keine Daten mehr geholt werden und alles ist zurück gesetzt.

Ja ein Secureerase dauert bei einer SSD max 2min.

[wanne]

Aber das war innerhalb von ein paar Sekunden erledigt. Kann das sein ? Laut Beschreibung, ist wie Werks neu. Es könnten keine Daten mehr geholt werden und alles ist zurück gesetzt.

Ja. Die meisten SSDs machen längst das von mir geforderte: Alles von Anfang an AES verschlüsseln und dann einfach den Key löschen. Das geht dann in Bruchteilen von Sekunden. Dann muss sie noch tricksen, dass sie in Zukunft für alle nicht mehr entschlüsselbaren Bereiche Nullen ausgibt. Aber auch das ist relativ flott passiert.

[LinuxNewcomer]

Sodele ist das so nun richtig ?







Bei der Swap steht nichts von crypt, bin aber bei der Install auf ganze Platte verschlüsseln und alles auf eine Partition.

[LinuxNewcomer]

Ja, bei luks kann man die Passphrase ändern – der eigentliche Schlüssel bleibt aber der gleiche (sonst müsste man ja alles neu verschlüsseln). Ich glaube das läuft etwa so ab, dass der mit einem von der Passphrase abgeleitenen Schlüssel verschlüsselte eigentliche Schlüssel im luks-Header gespeichert wird.
So kann man auch mehrere unterschiedliche gültige Passphrases haben und sie wieder löschen und/oder ändern – mit dem Nachteil, dass man bei SSDs defakto nicht prüfen kann ob die Daten einer alten Passphrase tatsächlich gelöscht wurden.

Auch das mit dem Terminal sollte meines Wissens mit ssh klappen. Habe sie mir jetzt selbst nicht durchgelesen, aber eine Anleitung gäbe es hier:
https://www.thomas-krenn.com/de/wiki/Vo ... eischalten

Hm nach dem installieren kommt direkt ::

Code: Alles auswählen

W: Possible missing firmware

Jede menge Zeilen hinten mit for module r und eine Zahl

Code: Alles auswählen

dropbear: WARNING: Invalid authorized_keys file, remote unlocking of cryptroot via SSH won't work!

Was ging hier schief, wie bekomme ich das zum laufen ?

[smutbert]

Ohje, hoffentlich kann da jemand anderes etwas sagen, der dropbear besser kennt. Der Meldung nach klappt etwas mit dem öffentlichen Schlüssel, den du zur Authentifizierung in die initrd packen musst, nicht, also irgendetwas ab dem ssh-keygen-Kommando in 2.2 der Anleitung.

Ich hab das alles noch nie gemacht, aber hier [1] ist die Rede davon, dass sich einige Pfade geändert haben, zB »/etc/dropbear-initramfs/authorized_keys« statt »/etc/initramfs-tools/root/.ssh/authorized_keys«. Mir fehlt ein bisschen der Überblock ob das schon alles ist und es genügen könnte den öffentlichen Schlüssel nach »/etc/dropbear-initramfs/authorized_keys« zu kopieren und die initrd neu zu bauen.

[1] https://unix.stackexchange.com/question ... -keys-file

[LinuxNewcomer]

Irgendwie läufts noch nicht rund. Die Sys Platte scheint ja verschlüsselt zu sein. So jetzt hab ich mir Gnome Disks Utily heruntergeladen und eine 4TB HDD verschlüsseln wollen. Neue Partition erstellt, mit Verschlüsselung. Das lief Stunden, bis heute morgen um 2 Uhr, das Kreischen drehte sich immer noch und es gab keine Änderung. Die Platte ist leer. Ich hatte zuvor das ganze mal mit Vera Crypt probiert, vor ein paar Tagen, da wars nach ca. 5h erledigt.

[mcb]

Poste doch mal die Ausgabe von

Code: Alles auswählen

lsblk

[smutbert]

Beim grafischen Tools wie gnome-disks bin ich mir ja oft nicht sicher was das alles macht. Wenn es zB die Partition bei der Verschlüsselung vorher mit Zufallsdaten überschreiben will, kann das ja durchaus mehrere Stunden dauern, wenn gnome-disks wenig effizient arbeitet auch Tage.
Dazu kommt, dass gnome-disks und andere grafische Programme sich gegenseitig bei udisks2 um (exklusiven) Zugriff auf die Festplatte/SSD/Partition/... streiten und so auch mitunter gegenseitig oder sogar selbst blockieren. So etwas würde ich immer lieber auf der Kommandozeile machen...

[LinuxNewcomer]

Wie würde das denn auf der Kommandozeile aussehen ? Vor allem so das wenn der Server bootet ich nur einmal ein PW eingeben muss und alle Platten entschlüsselt sind. Das Login nach dem Start kann ich mir dann auch sparen ? Kommt ja keiner weiter vor dem Boot ohne passendes PW.
Kann ich den Server eigentlich in Bereitschaft schicken lassen, wird er nicht gebraucht ? So muss ich nicht jedes mal das PW eingeben fürs entschlüsseln oder ?

[LinuxNewcomer]

Poste doch mal die Ausgabe von

Code: Alles auswählen

lsblk

Code: Alles auswählen

homeserver@homeserver:~$ lsblk
NAME                        MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                           8:0    0 232,9G  0 disk  
├─sda1                        8:1    0   512M  0 part  /boot/efi
├─sda2                        8:2    0   488M  0 part  /boot
└─sda3                        8:3    0 231,9G  0 part  
  └─sda3_crypt              254:0    0 231,9G  0 crypt 
    ├─homeserver--vg-root   254:1    0   231G  0 lvm   /
    └─homeserver--vg-swap_1 254:2    0   980M  0 lvm   [SWAP]
sdb                           8:16   0 298,1G  0 disk  
└─sdb1                        8:17   0 298,1G  0 part  
sdc                           8:32   0   3,7T  0 disk  
└─sdc1                        8:33   0   3,7T  0 part  
sdd                           8:48   0   2,7T  0 disk  
└─sdd1                        8:49   0   2,7T  0 part  
homeserver@homeserver:~$ 

Also ich hab ja gestern einfach ausgeschaltet. Heute mal wieder gestartet und es scheint doch fertig gewesen zu sein. Vllt hat sich die Anzeige gestern aufgehängt ? Im Manager steht jetzt 4TB LUKS und ein Schloss. Aber beim Entschlüsseln gibt es eine Fehlermeldung.

Error unlocking - failed to activate device. Operation not permitted. udisks-error-quark,

[mcb]

Ok - die swap ist also doch verschlüsselt.

Die hdd kannst du ruhig mit gnome disks einrichten.

Alternativ:

https://www.grund-wissen.de/linux/daten ... elung.html

[mcb]

https://cryptsetup-team.pages.debian.net/cryptsetup/

Encrypting a second hard drive on Ubuntu (post-install)
https://davidyat.es/2015/04/03/encrypti ... t-install/

Sorry ich kann es dir jetzt nicht 100%ig erklären, aber die dritte Anleiung hat mir schon gut geholfen.

[LinuxNewcomer]

Ok - die swap ist also doch verschlüsselt.

War nach oder bei der Install nicht ersichtlich. Aber so hätte ich jetzt auch gesagt, die Swap ist verschlüsselt, weil die in dem Hauptknoten mit drin steckt. Wenigstens etwas

Das mit der 2. Disk muss ich mal noch mal probieren. Einfach wieder frisch partitionieren ?

[LinuxNewcomer]

https://cryptsetup-team.pages.debian.net/cryptsetup/

Encrypting a second hard drive on Ubuntu (post-install)
https://davidyat.es/2015/04/03/encrypti ... t-install/

Sorry ich kann es dir jetzt nicht 100%ig erklären, aber die dritte Anleiung hat mir schon gut geholfen.

Cryptsetup ist wieder ne andere App. Wollte das mit Boardmitteln erledigen, das war extra so geplant, sonst könnte ich das auch wieder mit VeraCrypt machen, da gings recht easy, nur ist das wohl nicht so schnell wie wenn mans über Boardmittel macht.

Ist das eine starke und aktuelle Verschlüsselung ?

Code: Alles auswählen

sudo cryptsetup -c aes-xts-plain -y -s 512 luksFormat /dev/sdX1

[wanne]

Cryptsetup ist wieder ne andere App. Wollte das mit Boardmitteln erledigen, das war extra so geplant, sonst könnte ich das auch wieder mit VeraCrypt machen, da gings recht easy, nur ist das wohl nicht so schnell wie wenn mans über Boardmittel macht.

Mehr Boardmittel wie cryptsetup geht nicht.
Der Linux-Kernel selbst bietet nur eine C-API. Wenn du also kein C-Programm schreiben willst, musst du immer ein extra Tool nutzen.
Aber cryptsetup ist in sofern kein extra tool, dass es
a) nicht selbst Verschlüsslung oder so macht. Es ruft lediglich die C-API des Kernels auf und weißt diesen an, die Verschlüsslung vor zu nehmen.
b) vom den selben Menschen geschrieben wurde wie der entsprechende Kernel Teil.
Siehe:
https://git.kernel.org/pub/scm/linux/ke ... h=v4.4.263
https://gitlab.com/cryptsetup/cryptsetu ... er/AUTHORS

Ist das eine starke und aktuelle Verschlüsselung ?

AES ist von 1998. Gilt aber noch immer als Gold Standard

Code: Alles auswählen

sudo cryptsetup -c aes-xts-plain -y -s 512 luksFormat /dev/sdX1

Wenn nimm (Beil Platten über 64GiB) den Default aes-xts-plain64. Ich würde immer noch -c aes-cbc-essiv:sha256 -s 128 vorziehen, da schneller und defakto keine Nachteile. (cbc ist einfacher malable. Aber wenn du wirklich irgend welche abgesicherte Hardware hast auf der es sich lohnt sowas zu verhindern (eher nicht) willst du -I nutzen dass das wirklich unterbinden statt XTS, dass das nur erschwert.) Wenn du AES 256 statt AES 128 (Man kann hoffen dass die längeren Schlüssel für mehr Sicherheit sorgen. Real ist AES 256 nach momentanem Kenntnisstand eher schneller zu knacken. Das würde sich mit extrem schnellen Quantencomputern ändern. Die sind aber absolut nicht in Sicht. (Das ist etwas völlig anderes wie bei ECDSA, wo relativ langsame erfolgreiche Angriffe fahren könnten und auch da existieren keine passenden.)) haben willst nimm -s 256.

[LinuxNewcomer]

Cryptsetup ist wieder ne andere App. Wollte das mit Boardmitteln erledigen, das war extra so geplant, sonst könnte ich das auch wieder mit VeraCrypt machen, da gings recht easy, nur ist das wohl nicht so schnell wie wenn mans über Boardmittel macht.

Mehr Boardmittel wie cryptsetup geht nicht.
Der Linux-Kernel selbst bietet nur eine C-API. Wenn du also kein C-Programm schreiben willst, musst du immer ein extra Tool nutzen.
Aber cryptsetup ist in sofern kein extra tool, dass es
a) nicht selbst Verschlüsslung oder so macht. Es ruft lediglich die C-API des Kernels auf und weißt diesen an, die Verschlüsslung vor zu nehmen.
b) vom den selben Menschen geschrieben wurde wie der entsprechende Kernel Teil.
Siehe:
https://git.kernel.org/pub/scm/linux/ke ... h=v4.4.263
https://gitlab.com/cryptsetup/cryptsetu ... er/AUTHORS

Ist das eine starke und aktuelle Verschlüsselung ?

AES ist von 1998. Gilt aber noch immer als Gold Standard

Code: Alles auswählen

sudo cryptsetup -c aes-xts-plain -y -s 512 luksFormat /dev/sdX1

Wenn nimm (Beil Platten über 64GiB) den Default aes-xts-plain64. Ich würde immer noch -c aes-cbc-essiv:sha256 -s 128 vorziehen, da schneller und defakto keine Nachteile. (cbc ist einfacher malable. Aber wenn du wirklich irgend welche abgesicherte Hardware hast auf der es sich lohnt sowas zu verhindern (eher nicht) willst du -I nutzen dass das wirklich unterbinden statt XTS, dass das nur erschwert.) Wenn du AES 256 statt AES 128 (Man kann hoffen dass die längeren Schlüssel für mehr Sicherheit sorgen. Real ist AES 256 nach momentanem Kenntnisstand eher schneller zu knacken. Das würde sich mit extrem schnellen Quantencomputern ändern. Die sind aber absolut nicht in Sicht. (Das ist etwas völlig anderes wie bei ECDSA, wo relativ langsame erfolgreiche Angriffe fahren könnten und auch da existieren keine passenden.)) haben willst nimm -s 256.

Also AES 128 besser als AES 256 ? Also würde ich so gut fahren :

Code: Alles auswählen

sudo cryptsetup -c aes-cbc-essiv:sha256 -s 128

Was macht den Gnome Disks Utility ? Was nimmt das für eine Verschlüsselung ?

[wanne]

Also AES 128 besser als AES 256 ? Also würde ich so gut fahren :

AES 128 ist minimal schneller bzw. eher stromsparender. Da 256 ~40% mehr Rechenaufwand ist bevorzuge ich 128. Welches besser ist, ist IMHO eher Glaubensfrage.

Was macht den Gnome Disks Utility ? Was nimmt das für eine Verschlüsselung ?

Ich tippe, dass das die defaults nehmen wird also aes-xts-plain64 mit AES-265 (also -s 512) (XTS halbiert die Schlüssellänge.) Wie gesagt: Das schenkt sich alles wenig. Alles lange erprobte ungebrochene Verschlüsselungen. Der eine nim AES-128 der andere meint mehr hilft mehr und nimmt AES-256. Der nächste schwört auf twofish, weil djb den entworfen hat der übernächste nimmt serpent, weil er vom AES Konsorzium vor der Wahl für Rijandel/AES als besonders sicher eingestuft wurde oder camellia, weil der von den Koreanern "erfunden" und standartisiert wurde. (Und nicht wie AES vom Belgiern erfunden und von Amerikanern standartisiert) So lange da keiner was bricht sind halt alle sicher mehr oder weniger geht da IMHO nicht...
AES ist halt super schnell und stromsparend, weil überall in Hardware. Du kannst ja mal mit cryptsetup benchmark rumspielen wie schnell deine Hardware so für den ist.
Ich benutze sogar gerne den aes-ctr-plain64 der ist in vielen Fällen nochmal deutlich schneller, weil wie xts sowohl beim ver- wie auch beim entschlüsseln parallelisierbar. cbc nur beim entschlüsseln. – Ob deine Hardware das dann macht ist ne andere Frage. Hat aber für gewisse Einsatzzwecke insbesondere auf SSDs ein paar Probleme, weshalb ich den ungern an unbedarfte weiterempfehle.
Du kannst selbst mal teste mit:

Code: Alles auswählen

cryptsetup benchmark -c aes-ctr -s 128
cryptsetup benchmark -c cast6-cbc -s 256
..

und gucken was wie schnell im Vergleich zu deiner Platte ist.

Code: Alles auswählen

echo 1 > /proc/sys/vm/drop_caches
time head -c 1G /dev/sda | pv > /dev/null

Und dann merkst du dass speed Optimierung auch selten sinnvoll ist. Schneller als die Platte kann deine Crypto eh nicht. Am Ende ist so lange du kein single DES nimmst ein bisschen wane. Und gegen den weigert sich cryptsetup auch mittlerweile.

[LinuxNewcomer]

Code: Alles auswählen

sudo cryptsetup -c aes-cbc-essiv:sha256 -s 128

Zuvor muss ich aber partitionieren und formatieren ? Dann den Befehl eingeben ?

[mcb]

Was spricht gegen die Voreistellungen ?

Du kannst dich an folgendem Beispielbefehl orientieren:

Code: Alles auswählen

root@debian:~# cryptsetup luksFormat --type luks1 /dev/sda1

lukes1 weglassen / /dev/sdX1 X anpassen.

[wanne]

Zuvor muss ich aber partitionieren und formatieren ? Dann den Befehl eingeben ?

1. Partitionieren
2. verschlüsseln: luksFormat /dev/sdxY)
3. entschlüsseln: luksOpen /dev/sdxY NAME (damit du sie zum formatieren und nutzen kannst.)
4. formatieren: mkfs.abc /dev/mapper/NAME
5. mount /dev/mapper/NAME /pfad/ordner

(Die entschlüsselte Variante liegt immer unter /dev/mapper die Verschlüsslte auf der Partition die Partition auf der Platte) lsblk veranschautlicht das schön
Beispiel:

Code: Alles auswählen

NAME           FSTYPE      LABEL             MOUNTPOINT
sda                                                                                              
├─sda1         crypto_LUKS
│ └─newhome3   btrfs       newohome          /media/data
├─sda2

/dev/sda: Platte, /dev/sda1 und /dev/sda2 sind Partitionen /dev/mappter/newhome3 ist die entschlüsselte Variante von /dev/sda1, die btrfs formatiert ist. Die daten, die auf dem btrfs liegen findet man unter /media/data
Wie gesagt es wurden ein paar ausführlichere Anleitungen geopstet. Das nur zum Verständnis.

[LinuxNewcomer]

Hm, kennt ihr VeraCrypt ? Ich weiß nicht ob ich das doch damit machen soll, das war total easy und hat wunderbar funktioniert. Wäre halt nicht mit Boardmitteln und wohl laut anderen Aussagen, langsamer. Was auch immer damit gemeint ist.

Das andere Raff ich nicht, ich bräuchte eigenltich ne GUI, auch zum partitionieren und formatieren.

Aber, Versuch ::

1. Partitionieren könnte ich mit Gnome Disks Utility ?
2.

Code: Alles auswählen

cryptsetup -c aes-cbc-essiv:sha256 -s 128

oder

Code: Alles auswählen

cryptsetup luksFormat --type /dev/sda1

Hierbei gebe ich das PW bzw die Passphrase mit an ?

3.

Code: Alles auswählen

sudo cryptsetup luksOpen /dev/mapper/storage1

Hier dann erneut, da werde ich gefragt um das zu entschlüsseln ?

4.

Code: Alles auswählen

sudo mkfs.ext4 /dev/mapper/storage1

5. mounten

Hier wirds so gemacht

Code: Alles auswählen

sudo cryptsetup -c aes-cbc-essiv:sha256 -s 128

Das soll doch die verschlüsselung sein,
dann hier wieder mit Luks.

Code: Alles auswählen

cryptsetup luksFormat --type luks1 /dev/sda1

Mit VeraCrypt, sollte ich doch auch gut bedient sein oder ?

[wanne]

Es gibt auch ein halbe duzend GUIs für LUKS. Unter anderem zulucrypt-gui partitionmanager gparted. Da hat nur niemand Bock Erklärungen für zu schreiben, weil es halt 100 mal Komplizierter ist zu raten welche Buttons auf welchem Rechner in welcher Sprache jetzt wo landen und welche defaults der jetzt wo annimmt wie einfach 3 Kommandos zu posten.

[wanne]

Entweder ich war blind oder du hast erst jetzt angefügt. Vermutlich ersteres... Deswegen jetzt die 2. Antwort.

1. Partitionieren könnte ich mit Gnome Disks Utility ?

Ja. Prinzipiell kannst du dem sicher auch gleich irgend wo anklicken, dass es verschlüsseln soll. (Nicht sicher. Aber ich würde drauf wetten.)

2.

Code: Alles auswählen

cryptsetup -c aes-cbc-essiv:sha256 -s 128

oder

Code: Alles auswählen

cryptsetup luksFormat --type /dev/sda1

Eine Mischung aus beidem

Code: Alles auswählen

cryptsetup luksFormat -c aes-cbc-essiv:sha256 -s 128 /dev/sda1

oder schlicht

Code: Alles auswählen

cryptsetup luksFormat /dev/sda1

Wenn du den default AES265-XTS nehmen willst.

Hierbei gebe ich das PW bzw die Passphrase mit an ?

Der fragt dann nach dem Passowrt

3.

Code: Alles auswählen

sudo cryptsetup luksOpen /dev/mapper/storage1

Nein.

Code: Alles auswählen

cryptsetup luksOpen  /dev/sda1 storage1

Du willst sda1 nach storage1 entschlüsseln (das dev/mapper denkt er sich automtisch dazu)

Hier dann erneut, da werde ich gefragt um das zu entschlüsseln ?

Ja.

Code: Alles auswählen

sudo mkfs.ext4 /dev/mapper/storage1

Ja.

[mcb]

Was spricht gegen die Voreistellungen ?

Du kannst dich an folgendem Beispielbefehl orientieren:

Code: Alles auswählen

root@debian:~# cryptsetup luksFormat --type luks1 /dev/sda1

lukes1 weglassen / /dev/sdX1 X anpassen.

Sorry ich sehe schon -> z.B.:

Code: Alles auswählen

 cryptsetup luksFormat --type luks2 /dev/sda1

oder eben ganz ohne

Code: Alles auswählen

 --type luks1

Ich kann das leider auch nicht so toll erklären, ich mache das zu selten.

Es gibt auch verschiedene Methoden.

- Verschl. Blockdevice mit LVM
- Verschl. Blockdevice ohne LVM
- Verschl. Partition

......

[LinuxNewcomer]

Hab gestern noch mal ein Versuch mit Gnome gestartet, der lief jetzt fast 24h und es war immer noch nicht fertig. Dann hab ichs doch anders probiert.

Eiiiigentlich ganz easy, wenn man einfach mit den Befehlen arbeitet. Kann das aber sein, das das verschlüsseln nur paar Sekunden gedauert hat ? Hatte das noch einmal mit KDE Partitionmanager gemacht und dann auch noch mal per Konsole, beides mal ca. die gleiche Zeit gebraucht.

Müsste aber gut aussehen ?

Code: Alles auswählen

NAME                        MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                           8:0    0 232,9G  0 disk  
├─sda1                        8:1    0   512M  0 part  /boot/efi
├─sda2                        8:2    0   488M  0 part  /boot
└─sda3                        8:3    0 231,9G  0 part  
  └─sda3_crypt              254:0    0 231,9G  0 crypt 
    ├─homeserver--vg-root   254:1    0   231G  0 lvm   /
    └─homeserver--vg-swap_1 254:2    0   980M  0 lvm   [SWAP]
sdb                           8:16   0 298,1G  0 disk  
└─sdb1                        8:17   0 298,1G  0 part  /media/homeserver/Backups
sdc                           8:32   0   3,7T  0 disk  
└─sdc1                        8:33   0   3,7T  0 part  
  └─storage1                254:3    0   3,7T  0 crypt /mnt/Storage1
sdd                           8:48   0   2,7T  0 disk  
└─sdd1                        8:49   0   2,7T  0 part  

So nun müsste ich das ganze in die fstab eintragen, damit das ganze automatisch gemounted wird ? Oder ich probierst mal mit KDE, dort kann man da auch einiges einstellen.