Crypto-FS mit 2.4er Kernel möglich?

[gOtNoPhEaR]

Hallo zusammen,

ich habe vor mir in nächster Zeit mal einen Server aufzustellen und übe jetzt schonmal, damit das dann schön schnell geht.
Geplant ist eine Platte komplett zu verschlüsseln. Habe auch schonmal rumgeschaut. Es soll ein aktueller 2.4er Kernel (z.B. 2.4.28) zum Einsatz kommen. Wie es aussieht ist damit aber keine Verschlüsselung via dm-crypt möglich.

Welche Möglichkeiten habe ich, das FS zu verschlüsseln und welche Vor- und Nachteile gibt es?
Am besten wäre eine Verschlüsselung mit Passworteingabe.

[blackm]

Hi,

also der Nachteil der verschluesselung ist das es das System nicht unbedingt schneller macht. Und /usr oder /lib zu verschluesseln macht auch nicht wirklich Sinn. Wenn du dich auf /home beschraenkst sollte das auch reichen.

by, Martin

[gOtNoPhEaR]

Im Prinzip möchte ich nur die Platte mit den Homeverzeichnissen verschlüsseln, weil ich darauf ein paar wichitge Daten speichern möchte.

Geht das denn mit dm_crypt, wenn ich einen 2.4er Kernel verwende?
Kennt jemand gute HowTos?

[blackm]

Schau mal in unser wiki [1]

by, Martin

[1] http://www.debianforum.de/wiki/?page=Cr ... t+dm_crypt

[gOtNoPhEaR]

Dann installieren wir uns einen Kernel (2.6.7 oder höher) bei dem wir darauf achten, dass folgende Einstellungen gemacht sind:

also brauch ich nen 2.6.7 oder höher für dm_crypt?

[blackm]

Wenn das dort steht dann scheint das so zu sein Habe noch nie mit einem crypto_fs unter Linux gearbeitet.
Aber der 2.6 hat auch noch ein paar andere Vorteile gegenueber dem 2.4er...ein Update lohnt sich auf jeden Fall.

by, Martin

[meandtheshell]

Hi,

Wenn du dich auf /home beschraenkst sollte das auch reichen.

by, Martin

so ist es bzw. kannst es ja noch mehr eingrenzen - verschlüsselt wird genau das was verschlüsselt werden sollte - nicht mehr und nicht weniger


@ gOtNoPhEaR
phuu - wie ist dir dieser nick eingefallen - ist da ein haustier (mietze katze) über das keyboard maschiert

also brauch ich nen 2.6.7 oder höher für dm_crypt?

ja

wenn du einen server machen möchtest dann könntest du dir auch gleich LVM oder wenn es ein wenig mehr sein darf EVMS http://evms.sourceforge.net/ ansehen

LVM, crypto device usw. sind sog. device mapper
http://sources.redhat.com/dm/
wenn das alleine noch nicht reicht bindest du es in EVMS ein

markus

edit: habe gesehen du wirst den server aufsetzen - warum dann ein 2.4er kernel und nicht ein 2.6er? - also wenn du nicht etwas bestehendes erweiterst - d.h. kernel version bleibt sondern neu aufsetzt würde ich dir schon raten einen 2.6er zu nehmen - kostet gar nicht soviel mehr als ein 2.4er - just kidding

[gOtNoPhEaR]

edit: habe gesehen du wirst den server aufsetzen - warum dann ein 2.4er kernel und nicht ein 2.6er? - also wenn du nicht etwas bestehendes erweiterst - d.h. kernel version bleibt sondern neu aufsetzt würde ich dir schon raten einen 2.6er zu nehmen - kostet gar nicht soviel mehr als ein 2.4er - just kidding

Gab ja in der C't den Artikel über Server mit UML. Wollte mir dann eben auch ne UML einrichten und IPCop da rein packen. Ich hab mir sagen lassen, dass 2.6er Kerne noch ein paar Probleme im umgang mit UML haben.
Was für einen Kernel aus der 2.6er Serie kann man denn empfehlen?
Auf dem Desktop habe ich mit dem 2.6.11er nur schlechte Erfahrungen gemacht.

Danke für die Links, werde ich nachher zu Hause direkt mal rein schaun... =)

[meandtheshell]

Was für einen Kernel aus der 2.6er Serie kann man denn empfehlen?

nimm sarge für den server - da kommt einer der 2.6.8er serie mit

Auf dem Desktop habe ich mit dem 2.6.11er nur schlechte Erfahrungen gemacht.

dann liegt das vielleicht daran das SID probleme machen kann (nicht muss) - aber der kernel sollte es nicht sein oder? bzw. erläuterer die aussage etwas - ist es wirklich der kernel bzw. sind es paketabhängigkeiten und du denkst es ist der kernel? ist ja eigentlich offtopic

[Savar]

nebenbei.. wenn es wichtige Daten sind die auf keinen Fall gelesen werden dürfen, dann sollte die SWAP Partition auch verschlüsselt werden.

[meandtheshell]

nebenbei.. wenn es wichtige Daten sind die auf keinen Fall gelesen werden dürfen, dann sollte die SWAP Partition auch verschlüsselt werden.

es werden wohl eher daten sein die man in in zusammenhang mit einem tier mit spitzen ohren vier beinen und glubsch augen kennt - wenn du da nicht dadurch das du 5 movies parallel siehst den RAM sprengst ist das overkill - aber savar hat recht - machen kann man das ... wie vieles andere auch

[Mr_Snede]

nebenbei.. wenn es wichtige Daten sind die auf keinen Fall gelesen werden dürfen, dann sollte die SWAP Partition auch verschlüsselt werden.

Und wenn wir schon dabei sind, was ist mit dem Journal eines Journaling Filesystem? Wenn ich einen Thread hier aus dem Forum richtig im Kopf habe, lassen sich über das Journal Rückschlüsse auf Dateien gewinnen.
(Ich hoffe, nicht ganz daneben zu liegen)

cu Sebastian

[gOtNoPhEaR]

nebenbei.. wenn es wichtige Daten sind die auf keinen Fall gelesen werden dürfen, dann sollte die SWAP Partition auch verschlüsselt werden.

Das hatte ich dann auch vor...

Steht ja mit in der Anleitung im Wiki.....

Geht sich um ein paar geschäftliche Daten, die Sicher aufbewahrt werden sollten.
Wenn das alles läuft (Hardware brauch ich noch ein bißchen) dann kommt VPN...

[McClane]

Wenn du die Einstellungen nicht veränderst, dann liegt das Journal ebenso verschlüsselt in der Partition.

Ich hab auf meiner Datenkiste ein Sarge mit 2.4er Kernel laufen (wegen ner alten AVM Fritz) auf der loop-aes läuft zum Verschlüsseln. Die Geschwindigkeit ist stark vom Prozi abhängig. Da ist ein 400er P2 drin, und der hat gut zu tun wenn ich Daten rauf oder runter kopiere. Aber da der Rechner sonst nichts macht, und mir 5-12MB/s reichen ist das ok.