Verschlüsselte Rechner im Heimnetz starten

[altmetaller]

Hallo,

ich habe den grundsätzlichen Wunsch, zumindest die Festplatten meiner Notebooks zu verschlüsseln. Auf der anderen Seite hängen die hier größtenteils im LAN und werden des Nächtens per WOL geweckt (...um eine Datensicherung anzufertigen und danach wieder herunterzufahren).

Mit einer verschlüsselten Platte kommt das Backup nicht weit, da der Rechner ja bei der Passwortabfrage hängenbleibt

Ich habe mir überlegt, dass es für jedes Notebook zwei Bootloader gibt. Der eine fragt nach einem Passwort und wird direkt auf dem Gerät installiert. Der Andere kommt auf einen PXE-Server.

Sprich: Wenn das Notebook unterwegs ist, fragt es nach einem Kennwort. Wenn das Notebook mit meinem LAN verbunden ist, bootet es die verschlüsselten Medien ohne Kennwortabfrage.

Ist so etwas grundsätzlich möglich / sinnvoll?

Fragt sich:
Jörg

[cosinus]

LUKS-Verschlüsselung? Da müsste es die Möglichkeit geben, den Key auf einem Stick zu hinterlegen, aber den darfste dann nicht mitnehmen wenn du unterwegs bist. Oder du bootest grundsätzlich nur von diesem Stick damit du kein unverschlüsseltes /boot auf der internen Platte hast. (Ist der Nachteil bei LUKS, Alternative könnte ein SATA/NVMe password für die SSD/HDD sein)

Muss denn diese Sicherheit per wol unbedingt sein? Ohne die hättest du die jetzige Situation nicht. Mach doch die Backups direkt vor dem Runterfahren. Also anstatt eines normalen Shutdowns ein Script ausführen, das die Backups macht und wenn alles erledigt ist, dann die Kiste runterfährt.

[altmetaller]

Hallo,

dann müsste der Stick aber des Nächtens eingesteckt sein und wird u.U. mitgeklaut. Einen PXE-Server kann man eher "irgendwo" verstecken.

Gruß,
Jörg

Edit: Ein Backup "vor dem herunterfahren" ist eigentlich auch nicht zielführend, da die Rechner ja öfter mal neu gestartet werden. Mehr als einmal am Tag möchte ich nicht sichern und wenn der Rechner außerhalb meines LAN ist, schreibt der Job u.U. in ein Verzeichnis, in dem mangels Netzwerk nichts gemountet ist. Und wenn ich dagegen anscripte wäre das mindestens genau so viel Aufwand wie bei meiner oben geschilderten Idee...

[cosinus]

Jo, aber über PXE hat man doch auch keine Sicherung. Einmal im LAN drin, kann jedes Gerät diesen anbooten und käme an diese Schlüsseldatei über TFTP. TFTP ist zudem auch noch ein Klartext-Protokoll.

Ich würde da eher auf ein SATA-/NVM-Passwort setzen, meinetwegen noch gerne zusätzlich mit LUKS verschlüsseln und dann die Backups als Shutdownscript erledigen. Und das ist schon zielführend, denn der normale Shutdown verschwindet ja nicht. Wenn du ein Backup + Shutdown willst, einfach das Script auf dem Desktop oder so ausführen.

[altmetaller]

Hallo,

da hast Du Recht.

Aber, wie gesagt: Die Backups als Shutdownscript zu hinterlegen entspricht dem grundsätzlichen Streben nach Automatisierung. Dann kann ich die Dateien ja gleich mit dem Dateimanager auf einen Stick rüberziehen

Vielleicht gibt es ja noch andere Gedanken dazu.

Gruß,
Jörg

[cosinus]

Das Problem ist, dass sich eine derartige Automatisierung und Festplattenverschlüsselung nunmal etwas beißen.
Im Büro sichern wir gar keine Clients, bloß die Server. Die werden zeitgesteuert mit Veeam gesichert. Und da die VMs 24/7 laufen müssen, muss ich mich auch nicht um so einen Sch... wie wol auseinandersetzen

Dann kann ich die Dateien ja gleich mit dem Dateimanager auf einen Stick rüberziehen

Verstehe ich nicht. Irgendwann wirst du die Kiste eh runterfahren. Dann musst du nur eben dann entscheiden, ob reines Runterfahren oder Script starten, das das Backups erledigt und danach die Kiste runterfahren lässt. Manuell auf irgendeinen Stick was kopieren ist da was völlig anderes.

[altmetaller]

Hallo,

Das Problem ist, dass sich eine derartige Automatisierung und Festplattenverschlüsselung nunmal etwas beißen.

Eben. Deshalb habe ich diesen Thread gestartet. In der Hoffnung auf (weitere) Gedanken zu dem Thema

Gruß,
Jörg

[cosinus]

Nunjo, du kannst ja ja über den Stick machen. Aber dann eben dran denken, dass wenn man unterwegs ist, den vorher absteckt. Sonst ist die gesamte Verschlüsselung für den Pöter.
Mir wäre das aber alles zu kompliziert. Ich würde wohl das Backupscript nehmen, dass nach der Sicherung einen Shutdown macht.

[altmetaller]

Hallo,

Nunjo, du kannst ja ja über den Stick machen.

Siehe dazu mein Beitrag von 12:28 Uhr. Du hast deine Gedanken dazu ausreichend dargestellt - lieben Dank dafür.

Vielleicht gibt es ja noch andere Beiträge dazu; z.B., ob so etwas überhaupt möglich ist und wie so ein Ablauf absehen könnte.

Gruß,
Jörg

[cosinus]

Vllt noch LUKS in Kombination mit TPM2.0 - hab ich aber bisher keine Erfahrung mit --> https://curius.de/2022/02/verschluessel ... ntsperren/
Es wird aber empfohlen, noch einen weiteren Sicherheitslayer einzubauen, also mindestens GRUB absichern, würde ich sagen. Sonst kann man mit init=/bin/bash ja sofort root werden.

[niemand]

Mit einer verschlüsselten Platte kommt das Backup nicht weit, da der Rechner ja bei der Passwortabfrage hängenbleibt

Du könntest an dieser Stelle im initramfs einen schlanken sshd, etwa dropbear, starten und darüber dann remote die Passphrase eingeben. Falls das infrage käme: Anleitungen gibt’s zuhauf in der Rootserver-Ecke

[altmetaller]

Hallo,

Du könntest an dieser Stelle im initramfs einen schlanken sshd, etwa dropbear, starten und darüber dann remote die Passphrase eingeben. Falls das infrage käme: Anleitungen gibt’s zuhauf in der Rootserver-Ecke

Das wäre dann aber eher etwas, um verschlüsselte headless Server mit verschlüsselten Medien zu booten, richtig?

Gruß,
Jörg

[niemand]

Das wäre dann aber eher etwas, um verschlüsselte headless Server mit verschlüsselten Medien zu booten, richtig?

Naja – aus Sicht deiner Backupmaschine ist dein Notebook in dem Moment ja nichts Anderes.