Verschlüsselte Rechner im Heimnetz starten
-
- Beiträge: 133
- Registriert: 03.02.2017 12:28:41
Verschlüsselte Rechner im Heimnetz starten
Hallo,
ich habe den grundsätzlichen Wunsch, zumindest die Festplatten meiner Notebooks zu verschlüsseln. Auf der anderen Seite hängen die hier größtenteils im LAN und werden des Nächtens per WOL geweckt (...um eine Datensicherung anzufertigen und danach wieder herunterzufahren).
Mit einer verschlüsselten Platte kommt das Backup nicht weit, da der Rechner ja bei der Passwortabfrage hängenbleibt
Ich habe mir überlegt, dass es für jedes Notebook zwei Bootloader gibt. Der eine fragt nach einem Passwort und wird direkt auf dem Gerät installiert. Der Andere kommt auf einen PXE-Server.
Sprich: Wenn das Notebook unterwegs ist, fragt es nach einem Kennwort. Wenn das Notebook mit meinem LAN verbunden ist, bootet es die verschlüsselten Medien ohne Kennwortabfrage.
Ist so etwas grundsätzlich möglich / sinnvoll?
Fragt sich:
Jörg
ich habe den grundsätzlichen Wunsch, zumindest die Festplatten meiner Notebooks zu verschlüsseln. Auf der anderen Seite hängen die hier größtenteils im LAN und werden des Nächtens per WOL geweckt (...um eine Datensicherung anzufertigen und danach wieder herunterzufahren).
Mit einer verschlüsselten Platte kommt das Backup nicht weit, da der Rechner ja bei der Passwortabfrage hängenbleibt
Ich habe mir überlegt, dass es für jedes Notebook zwei Bootloader gibt. Der eine fragt nach einem Passwort und wird direkt auf dem Gerät installiert. Der Andere kommt auf einen PXE-Server.
Sprich: Wenn das Notebook unterwegs ist, fragt es nach einem Kennwort. Wenn das Notebook mit meinem LAN verbunden ist, bootet es die verschlüsselten Medien ohne Kennwortabfrage.
Ist so etwas grundsätzlich möglich / sinnvoll?
Fragt sich:
Jörg
- cosinus
- Beiträge: 4268
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Verschlüsselte Rechner im Heimnetz starten
LUKS-Verschlüsselung? Da müsste es die Möglichkeit geben, den Key auf einem Stick zu hinterlegen, aber den darfste dann nicht mitnehmen wenn du unterwegs bist. Oder du bootest grundsätzlich nur von diesem Stick damit du kein unverschlüsseltes /boot auf der internen Platte hast. (Ist der Nachteil bei LUKS, Alternative könnte ein SATA/NVMe password für die SSD/HDD sein)
Muss denn diese Sicherheit per wol unbedingt sein? Ohne die hättest du die jetzige Situation nicht. Mach doch die Backups direkt vor dem Runterfahren. Also anstatt eines normalen Shutdowns ein Script ausführen, das die Backups macht und wenn alles erledigt ist, dann die Kiste runterfährt.
Muss denn diese Sicherheit per wol unbedingt sein? Ohne die hättest du die jetzige Situation nicht. Mach doch die Backups direkt vor dem Runterfahren. Also anstatt eines normalen Shutdowns ein Script ausführen, das die Backups macht und wenn alles erledigt ist, dann die Kiste runterfährt.
-
- Beiträge: 133
- Registriert: 03.02.2017 12:28:41
Re: Verschlüsselte Rechner im Heimnetz starten
Hallo,
dann müsste der Stick aber des Nächtens eingesteckt sein und wird u.U. mitgeklaut. Einen PXE-Server kann man eher "irgendwo" verstecken.
Gruß,
Jörg
Edit: Ein Backup "vor dem herunterfahren" ist eigentlich auch nicht zielführend, da die Rechner ja öfter mal neu gestartet werden. Mehr als einmal am Tag möchte ich nicht sichern und wenn der Rechner außerhalb meines LAN ist, schreibt der Job u.U. in ein Verzeichnis, in dem mangels Netzwerk nichts gemountet ist. Und wenn ich dagegen anscripte wäre das mindestens genau so viel Aufwand wie bei meiner oben geschilderten Idee...
dann müsste der Stick aber des Nächtens eingesteckt sein und wird u.U. mitgeklaut. Einen PXE-Server kann man eher "irgendwo" verstecken.
Gruß,
Jörg
Edit: Ein Backup "vor dem herunterfahren" ist eigentlich auch nicht zielführend, da die Rechner ja öfter mal neu gestartet werden. Mehr als einmal am Tag möchte ich nicht sichern und wenn der Rechner außerhalb meines LAN ist, schreibt der Job u.U. in ein Verzeichnis, in dem mangels Netzwerk nichts gemountet ist. Und wenn ich dagegen anscripte wäre das mindestens genau so viel Aufwand wie bei meiner oben geschilderten Idee...
- cosinus
- Beiträge: 4268
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Verschlüsselte Rechner im Heimnetz starten
Jo, aber über PXE hat man doch auch keine Sicherung. Einmal im LAN drin, kann jedes Gerät diesen anbooten und käme an diese Schlüsseldatei über TFTP. TFTP ist zudem auch noch ein Klartext-Protokoll.
Ich würde da eher auf ein SATA-/NVM-Passwort setzen, meinetwegen noch gerne zusätzlich mit LUKS verschlüsseln und dann die Backups als Shutdownscript erledigen. Und das ist schon zielführend, denn der normale Shutdown verschwindet ja nicht. Wenn du ein Backup + Shutdown willst, einfach das Script auf dem Desktop oder so ausführen.
Ich würde da eher auf ein SATA-/NVM-Passwort setzen, meinetwegen noch gerne zusätzlich mit LUKS verschlüsseln und dann die Backups als Shutdownscript erledigen. Und das ist schon zielführend, denn der normale Shutdown verschwindet ja nicht. Wenn du ein Backup + Shutdown willst, einfach das Script auf dem Desktop oder so ausführen.
-
- Beiträge: 133
- Registriert: 03.02.2017 12:28:41
Re: Verschlüsselte Rechner im Heimnetz starten
Hallo,
da hast Du Recht.
Aber, wie gesagt: Die Backups als Shutdownscript zu hinterlegen entspricht dem grundsätzlichen Streben nach Automatisierung. Dann kann ich die Dateien ja gleich mit dem Dateimanager auf einen Stick rüberziehen
Vielleicht gibt es ja noch andere Gedanken dazu.
Gruß,
Jörg
da hast Du Recht.
Aber, wie gesagt: Die Backups als Shutdownscript zu hinterlegen entspricht dem grundsätzlichen Streben nach Automatisierung. Dann kann ich die Dateien ja gleich mit dem Dateimanager auf einen Stick rüberziehen
Vielleicht gibt es ja noch andere Gedanken dazu.
Gruß,
Jörg
- cosinus
- Beiträge: 4268
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Verschlüsselte Rechner im Heimnetz starten
Das Problem ist, dass sich eine derartige Automatisierung und Festplattenverschlüsselung nunmal etwas beißen.
Im Büro sichern wir gar keine Clients, bloß die Server. Die werden zeitgesteuert mit Veeam gesichert. Und da die VMs 24/7 laufen müssen, muss ich mich auch nicht um so einen Sch... wie wol auseinandersetzen
Im Büro sichern wir gar keine Clients, bloß die Server. Die werden zeitgesteuert mit Veeam gesichert. Und da die VMs 24/7 laufen müssen, muss ich mich auch nicht um so einen Sch... wie wol auseinandersetzen
Verstehe ich nicht. Irgendwann wirst du die Kiste eh runterfahren. Dann musst du nur eben dann entscheiden, ob reines Runterfahren oder Script starten, das das Backups erledigt und danach die Kiste runterfahren lässt. Manuell auf irgendeinen Stick was kopieren ist da was völlig anderes.Dann kann ich die Dateien ja gleich mit dem Dateimanager auf einen Stick rüberziehen
-
- Beiträge: 133
- Registriert: 03.02.2017 12:28:41
Re: Verschlüsselte Rechner im Heimnetz starten
Hallo,
Gruß,
Jörg
Eben. Deshalb habe ich diesen Thread gestartet. In der Hoffnung auf (weitere) Gedanken zu dem Themacosinus hat geschrieben:06.02.2024 13:36:54Das Problem ist, dass sich eine derartige Automatisierung und Festplattenverschlüsselung nunmal etwas beißen.
Gruß,
Jörg
- cosinus
- Beiträge: 4268
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Verschlüsselte Rechner im Heimnetz starten
Nunjo, du kannst ja ja über den Stick machen. Aber dann eben dran denken, dass wenn man unterwegs ist, den vorher absteckt. Sonst ist die gesamte Verschlüsselung für den Pöter.
Mir wäre das aber alles zu kompliziert. Ich würde wohl das Backupscript nehmen, dass nach der Sicherung einen Shutdown macht.
Mir wäre das aber alles zu kompliziert. Ich würde wohl das Backupscript nehmen, dass nach der Sicherung einen Shutdown macht.
-
- Beiträge: 133
- Registriert: 03.02.2017 12:28:41
Re: Verschlüsselte Rechner im Heimnetz starten
Hallo,
Vielleicht gibt es ja noch andere Beiträge dazu; z.B., ob so etwas überhaupt möglich ist und wie so ein Ablauf absehen könnte.
Gruß,
Jörg
Siehe dazu mein Beitrag von 12:28 Uhr. Du hast deine Gedanken dazu ausreichend dargestellt - lieben Dank dafür.
Vielleicht gibt es ja noch andere Beiträge dazu; z.B., ob so etwas überhaupt möglich ist und wie so ein Ablauf absehen könnte.
Gruß,
Jörg
- cosinus
- Beiträge: 4268
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Verschlüsselte Rechner im Heimnetz starten
Vllt noch LUKS in Kombination mit TPM2.0 - hab ich aber bisher keine Erfahrung mit --> https://curius.de/2022/02/verschluessel ... ntsperren/
Es wird aber empfohlen, noch einen weiteren Sicherheitslayer einzubauen, also mindestens GRUB absichern, würde ich sagen. Sonst kann man mit init=/bin/bash ja sofort root werden.
Es wird aber empfohlen, noch einen weiteren Sicherheitslayer einzubauen, also mindestens GRUB absichern, würde ich sagen. Sonst kann man mit init=/bin/bash ja sofort root werden.
Re: Verschlüsselte Rechner im Heimnetz starten
Du könntest an dieser Stelle im initramfs einen schlanken sshd, etwa dropbear, starten und darüber dann remote die Passphrase eingeben. Falls das infrage käme: Anleitungen gibt’s zuhauf in der Rootserver-Eckealtmetaller hat geschrieben:06.02.2024 12:19:01Mit einer verschlüsselten Platte kommt das Backup nicht weit, da der Rechner ja bei der Passwortabfrage hängenbleibt
„I fought in the Vim-Emacs-War.“ Quelle
-
- Beiträge: 133
- Registriert: 03.02.2017 12:28:41
Re: Verschlüsselte Rechner im Heimnetz starten
Hallo,
Gruß,
Jörg
Das wäre dann aber eher etwas, um verschlüsselte headless Server mit verschlüsselten Medien zu booten, richtig?
Gruß,
Jörg
Re: Verschlüsselte Rechner im Heimnetz starten
Naja – aus Sicht deiner Backupmaschine ist dein Notebook in dem Moment ja nichts Anderes.altmetaller hat geschrieben:07.02.2024 10:21:02Das wäre dann aber eher etwas, um verschlüsselte headless Server mit verschlüsselten Medien zu booten, richtig?
„I fought in the Vim-Emacs-War.“ Quelle