Debian in einem Container

Warum Debian und/oder eine seiner Spielarten? Was muss ich vorher wissen? Wo geht es nach der Installation weiter?
Antworten
Benutzeravatar
mtrx757
Beiträge: 32
Registriert: 14.07.2005 18:31:29
Wohnort: Lübeck
Kontaktdaten:

Debian in einem Container

Beitrag von mtrx757 » 14.07.2005 18:43:00

Hallo,

Ich arbeite seit geraumer Zeit mit versch. Partitionen, ( gemäß der gängigen Kernel-Crypto-Howto's ). Meine Frage ist nun:

Kann man ein "kleines Debian" starten und von da aus ein "großes Debian" aus verschlüsselten Umgebungen (Datei/Partition) starten, bzw. den Start erst per Passworteingabe ermöglichen. Es geht mir hiebei nicht um eine Boot-Sperre, da tut's LiLo ja auch - sondern um den Schutz ein ganzes Systems vor externen Zugriff (Boot-CD, HDD woanders einbauen, ... )

Währe für Link's aber auch für grundsätzliche Meinungen dankbar.

Danke & Gruß

Mtrx757

Benutzeravatar
rkrueger
Beiträge: 1044
Registriert: 17.06.2004 17:57:17

Beitrag von rkrueger » 14.07.2005 18:49:18

Du hast doch die Möglichkeit das ganze Dateisystem zu verschlüsseln und zusätzlich zum Paßwort noch mit Chipkarte, Dongle oder Fingerabdruck abzusichern. Der Phantasie sind keine Grenzen gesetzt.

Benutzeravatar
mtrx757
Beiträge: 32
Registriert: 14.07.2005 18:31:29
Wohnort: Lübeck
Kontaktdaten:

Beitrag von mtrx757 » 14.07.2005 18:59:51

Für die Verschlüsselung sind solche Sachen ja gar nicht so verkehrt.

Meine Frage ( oder meine Unwissenheit ... ) bezieht sich auf den Bootprozeß. Boote ich sozusagen zweimal ? und wann ist es am besten das Passwort einzugeben ?

P.S. Danke für die schnelle Antwort
Where do you want to go tomorrow?

Benutzeravatar
rkrueger
Beiträge: 1044
Registriert: 17.06.2004 17:57:17

Beitrag von rkrueger » 14.07.2005 23:49:34

Du kannst auf einem Computer nur ein Betriebssystem laufen lassen. Aber in einem Betriebssystem kannst du mehrere Betriebssysteme laufen lassen: VMWare, Bochs, Wine oder für ganz Harte: S390, 70 mal Linux und mehr. Das kommt dann auf den Geldbeutel an.

Es macht ja auch keinen Sinn. Du kannst einen Computer so absichern, das hier so gut wie niemand an die Maschine herankommt. Das allerdings ist nicht günstig. Zusatzkarten, Chipkartenleser ( OK, 9,95 € ), oder Fingerscanner.

Kauf dir bei ebay einen kleinen 19"-Schrank den man verschließen kann. Hab ich schon für 100,- € gesehen. Da kommt die Kiste rein, dann von der Debian-Seite das PDF Hardendoc herunterladen und danach vorgehen. Das Dateisystem wird verschlüsselt und der Admin muß sich zusätzlich zum Paßwort mit einer Chipkarte authentifizieren. Wenn du eine 4096-bit-Verschlüsselung wählst, dauert das schon eine ganze Weile bevor jemand die Festplatte auslesen kann.

In welchem Hochsicherheitstrakt soll das Gerät denn eingesetzt werden?

Benutzeravatar
mtrx757
Beiträge: 32
Registriert: 14.07.2005 18:31:29
Wohnort: Lübeck
Kontaktdaten:

Beitrag von mtrx757 » 15.07.2005 00:16:49

Wo es eingesetzt werden soll? Na irgendwo bei der nationalen Sicherheit oder so, sicher vor allen Aliens ... bla ... :twisted:

Nun mal im Ernst: Ich meinte mal von der Möglichkeit gelesen zu haben, ein solches zweistufiges (Debian-) Linux aufzubauen, vielleicht habe ich da auch was falsch verstanden. Ich will es privat nutzen und wenn's nicht so funktioniert werde ich halt wie gehabt handeln (Userdaten + ev. Configdaten verschlüsseln). Das Chipkartensystem kannte ich bislang nicht, ich werde es aber mal in betracht ziehen. Motivation ist ausschließlich der Weg als Ziel um mal ne halbwegs sichere Kiste am laufen zu haben.

Gruß
Where do you want to go tomorrow?

Benutzeravatar
minimike
Beiträge: 5616
Registriert: 26.03.2003 02:21:19
Lizenz eigener Beiträge: neue BSD Lizenz
Wohnort: Köln
Kontaktdaten:

Beitrag von minimike » 15.07.2005 01:03:12

du kannst natürlich eine initrd verwenden. Beachte aber das die initrd und das Kernelimage natülich nicht verschlüsselt werden können, kurz eine unverschlüsselte Bootpartition ist erforderlich. Zum Erstellen einer initrd schau dir mal Gentoo's genkernel mal an. Das Programm ist dem minitrd von Debian in der Usabillity überlegen. Du kannst die initrd natürlich auch per Hand erzeugen ( füllt ein Wochenende ).
Jedenfalls musst du beim Booten das Passwort eingeben wenn von der initrd auf das rootfs gewechselt werden soll. Vergiss nicht ab da schon eine laufende Tastatur zu haben. Die Tastatur ist per default meist erst mal englisch.
"Lennart Poettering is one of those typical IT leaders..." "like Linus Torvalds and Theo de Raadt?" "more like Bozo the Clown" After all, now a good employee of Microsoft

Benutzeravatar
Natas12
Beiträge: 1751
Registriert: 12.04.2002 20:59:12

Beitrag von Natas12 » 15.07.2005 08:58:51

mtrx757 hat geschrieben:Wo es eingesetzt werden soll? Na irgendwo bei der nationalen Sicherheit oder so, sicher vor allen Aliens ... bla ... :twisted:

Nun mal im Ernst: Ich meinte mal von der Möglichkeit gelesen zu haben, ein solches zweistufiges (Debian-) Linux aufzubauen, vielleicht habe ich da auch was falsch verstanden. Ich will es privat nutzen und wenn's nicht so funktioniert werde ich halt wie gehabt handeln (Userdaten + ev. Configdaten verschlüsseln). Das Chipkartensystem kannte ich bislang nicht, ich werde es aber mal in betracht ziehen. Motivation ist ausschließlich der Weg als Ziel um mal ne halbwegs sichere Kiste am laufen zu haben.

Gruß
nun, ohne profi zu sein: da bieten sich dir XEN und user mode linux an. die ct hat ja ihre selbstgebaute firewall meines wissens auch mit uml realisiert. google da mal nach, das könnte dein problem vielleicht lösen.
"In den reichen Ländern hat die Freiheit gesiegt - mit all den schrecklichen Folgen, die das für die anderen mit sich bringt und noch bringen wird. Die Demokratie ist auf andere Epochen verschoben." (L. Canfora)

comes
Beiträge: 2702
Registriert: 11.03.2005 07:33:30
Wohnort: /dev/null
Kontaktdaten:

Beitrag von comes » 15.07.2005 09:10:25

wie siehts aus mit Xen ? da kannst ud mehrere instanzen zeitgleich laufen lassen!

da gbit es doch sicher ne möglichkeit
grüße, comes

Faschismus ist keine Meinung, sondern ein Verbrechen!
http://sourcewars.de

Benutzeravatar
h-man
Beiträge: 745
Registriert: 05.02.2003 13:10:08
Wohnort: Berlin
Kontaktdaten:

Beitrag von h-man » 15.07.2005 09:20:41

rkrueger hat geschrieben:...
Kauf dir bei ebay einen kleinen 19"-Schrank den man verschließen kann. Hab ich schon für ...
vorsicht, wer bei ebay kauft wird durchsichtig und ist sicherheitstechnisch gesehen sehr rückständig. wenn selbst der BRD datenschutzbeauftragte die anmahnt...
Nieder mit der Schwerkraft.

Benutzeravatar
mtrx757
Beiträge: 32
Registriert: 14.07.2005 18:31:29
Wohnort: Lübeck
Kontaktdaten:

Beitrag von mtrx757 » 15.07.2005 09:32:29

@minimike:

Die Idee mit der initrd ist wohl die beste in diesem Zusammenhang, da ich Gentoo nicht kenn werde ich erst mal in den Debian-Dok's nachschauen. Ein WE für eine eigene iditrd aufzubringen ist's aber nicht wert - will das Rad ja nicht neu erfinden.


@Natas12 & @comes:

Xen klingt cool, werde mich über das WE mal damit beschäftigen. Der Artikel auf Wikipedia macht zumindest Lust.

Auf http://www.pug.org/index.php/Xen-Installation habe ich schon ne ganz gute Anleitung gefunden - schade nur das man (noch) nicht Windows starten kann, denn ohne diesem mir sehr suspektem OS gehts auch nicht (Scanner, Flash, etc.) .

Gruß
Where do you want to go tomorrow?

Benutzeravatar
apeiron
Beiträge: 4
Registriert: 23.06.2005 14:22:02
Wohnort: Langenwang
Kontaktdaten:

Beitrag von apeiron » 15.07.2005 14:08:07

mtrx757 hat geschrieben:@minimike:
...
Auf http://www.pug.org/index.php/Xen-Installation habe ich schon ne ganz gute Anleitung gefunden - schade nur das man (noch) nicht Windows starten kann, denn ohne diesem mir sehr suspektem OS gehts auch nicht (Scanner, Flash, etc.) .
...
Die XEN-Entwickler haben es (angeblich) auch schon geschafft, Windows XP unter XEN zum Laufen zu bringen - nur wurde diese XEN-Variante aus lizenzrechtlichen Gründen nie veröffentlicht, rate mal wer da etwas dagegen hatte ... :roll:
"Software is like sex, it's better when it's free" (Linus Torvalds)

Benutzeravatar
Natas12
Beiträge: 1751
Registriert: 12.04.2002 20:59:12

Beitrag von Natas12 » 15.07.2005 14:21:32

mtrx757 hat geschrieben: schade nur das man (noch) nicht Windows starten kann, denn ohne diesem mir sehr suspektem OS gehts auch nicht (Scanner, Flash, etc.) .
Gruß
dafür kannst du wiederum qemu + acceletator-modul (binary only) verwenden. klappt sehr gut. ich habe hier einen zoo verschiedener betriebssysteme in qemu laufen, auch win2k. es gibt zudem ein kommander-script, mit dem sich die emulierten qemu-maschinen leicht starten lassen.
"In den reichen Ländern hat die Freiheit gesiegt - mit all den schrecklichen Folgen, die das für die anderen mit sich bringt und noch bringen wird. Die Demokratie ist auf andere Epochen verschoben." (L. Canfora)

Benutzeravatar
/dev/null
Beiträge: 49
Registriert: 13.11.2003 12:22:38
Wohnort: München

Beitrag von /dev/null » 15.07.2005 14:28:13

Installier doch dein "kleines Debian" und starte auf einem verschlüsselten Datenträger/Verzeichnis mittels CHROOT-Umgebung dein "großes Debian". Schau Dir bei der Gelegenheit die grsecurity-patches http://www.grsecurity.org an um Dein chroot-jail auch sicher zu machen
/dev/null

"Risk comes from not knowing what you are doing!"
Warren Buffet

Benutzeravatar
minimike
Beiträge: 5616
Registriert: 26.03.2003 02:21:19
Lizenz eigener Beiträge: neue BSD Lizenz
Wohnort: Köln
Kontaktdaten:

Beitrag von minimike » 15.07.2005 15:04:02

Soll ich dier für XEN meine /etc und die Packetliste und Kernelconfigs schicken ? So kannst binnen einiger Stunden loslegen. Hab XEN auch erst nach dem dritten Anlauf begriffen.
Nun was noch nicht klappt ist die VGA Karte ( Onboard Radeon 9100 IGP ) durch zu reichen. Grund ist wohl das in Domain0 ne Console läuft, mus das nächste Woche wenn ich mehr Zeit habe mal abstellen. Ziel ist es Domain0 als Controlleinheit mit Festplatten zu haben. Darauf läuft ein NFS-Server wovon die anderen Systeme booten. Habe dann Router, LAMP, Edonkey, und X mit Mythtv dann auf jeweils 5 abgeschotteten Systemen am laufen
Ach ja Netzwerk ist auch ein wenig buggy. Habe ne extra Domain für Netzwerkarten, die läuft als Switch intern - extern
"Lennart Poettering is one of those typical IT leaders..." "like Linus Torvalds and Theo de Raadt?" "more like Bozo the Clown" After all, now a good employee of Microsoft

Benutzeravatar
mtrx757
Beiträge: 32
Registriert: 14.07.2005 18:31:29
Wohnort: Lübeck
Kontaktdaten:

Beitrag von mtrx757 » 15.07.2005 17:04:00

Das mit dem UML scheint eine gute Sache zu sein, habe einige brauchbare Script gefunden.

Mich würde interessieren ob am in diesem geschützen Raum alles übliche laufen lassen kann (X-Server, Audio, ...). Hat jemand Erfahrungen gesammelt oder kennt Artikel/Postings ?

Gruß
Where do you want to go tomorrow?

Benutzeravatar
npi
Beiträge: 567
Registriert: 03.08.2003 17:52:10

Beitrag von npi » 15.07.2005 17:14:08

wäre es nicht sinnvoller nur die home Partition und eventuelle Datenpartitonen zu verschlüsseln und dann einfach ein kleines Skript zu schreiben, dass einen beim Booten nach dem Passwort frägt.
Irgendwo ist es meiner Meinung nach ziemlich sinnlos das ganze System zu verschlüsseln, denn die Informationen die jemanden interessieren könnten liegen bestimmt nicht in den Konfigurationsdateien und Programmen. Außerdem würde das System wahrscheinlich auch langsamer, wenn bei jedem Dateizugriff erst ver-/entschlüsselt werden muss.
Und um ganz sicher zu gehen legt man den Schlüssel für die Partitionen auf nem USB-Stick ab, dann dürfte das für normale Bedürfnisse gut abgesichert sein.

gruß,
npi
"Bis zur Unendlichkeit, und noch viel weiter!"
--Buzz, Toystory

Benutzeravatar
Savar
Beiträge: 7174
Registriert: 30.07.2004 09:28:58
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Berlin

Beitrag von Savar » 15.07.2005 17:26:23

hmm... also wenn du wirklich nur ein verschlüsseltes System haben willst, dann würde ich einfach das Verzeichnis /boot in eine unverschlüsselte Partition setzen und alle anderen Partitionen verschlüsseln.. du brauchst dann weder Xen noch Qemu noch sonst eine Emulation... und sicher ist es auch (höchstens du willst verschweigen was für einen Kernel du benutzt ;-) )
MODVOICE/MYVOICE
Debianforum Verhaltensregeln
Log Dateien? -> NoPaste

Benutzeravatar
mtrx757
Beiträge: 32
Registriert: 14.07.2005 18:31:29
Wohnort: Lübeck
Kontaktdaten:

Beitrag von mtrx757 » 15.07.2005 17:50:04

@npi & @saver:

Danke für die Beiträge, bisher habe ich ja meine Daten auch per crypt_fs geschützt und die Aufnahme des home-verz. in eine geschützte Umgebung währe ein leichtes. Es kann/kommt mir hierbei auch drauf an eine mögliche andere Herangehensweise kennenzulernen. Wenn ich ein ganzes System schützte/verschlüssel sollte es nicht möglich sein, Systemdateien von außen zu ändern (Knoppix ...). Mir ist wohl bekannt, daß man mit Programmen wie Tripwire solch eine Manipulation bemerken kann, ich finde es nur zeitaufwendig (theoretisch) nach jeder apt-get Operation die Tripwire-Maschine in Gang zu setzten.
Where do you want to go tomorrow?

Benutzeravatar
npi
Beiträge: 567
Registriert: 03.08.2003 17:52:10

Beitrag von npi » 15.07.2005 18:16:59

mtrx757 hat geschrieben: Wenn ich ein ganzes System schützte/verschlüssel sollte es nicht möglich sein, Systemdateien von außen zu ändern (Knoppix ...).
also du willst die Verschlüsselung als Schutz vor Backdoors uä?
Dann würde ich alle Partitonen verschlüsseln. Bootloader und Kernel auf ein externes Medium bannen (Diskette, USB-stick, cd-rw, ...) von dem dann gebootet wird und auf dem dann auch der Schlüssel gespeichert ist.
So sollte gewährleistet sein, dass nur du das System booten kannst und Änderungen am System vornehmen kannst (das Löschen von sämtlichen Daten hast du damit aber noch nicht verhindert :? ).

gruß,
npi
"Bis zur Unendlichkeit, und noch viel weiter!"
--Buzz, Toystory

Benutzeravatar
minimike
Beiträge: 5616
Registriert: 26.03.2003 02:21:19
Lizenz eigener Beiträge: neue BSD Lizenz
Wohnort: Köln
Kontaktdaten:

Beitrag von minimike » 15.07.2005 21:43:16

Nun die von mir vorgeschlagene Möglichkeit von initrd zu booten wobei in der initrd busybox und losetup installiert ist, dazu gepaart mit XEN hat so einige Möglichkeiten. Schwachstelle ist aber das Kernelimage und die linuxrc in der Initrd, damit kann man evtl feststellen was denn so für eine Verschlüsselungtechnik verwendet wird. Unter XEN, alle NFS Shares lassen sich komplett verschlüsseln. Es reicht diese per Hand zu entschlüsseln, mounten und dann den Kernel-NFS-Server neu starten damit er die Freigaben schön rausrückt. Systeme booten davon, und mit XDMCP kann die grafische Oberfläche von einem Gast z.B. Solaris auf die Kontrolldomain geleitet werden. Die VGA Karte kann nicht weitergereicht werden da man ja in Domain0 beim Hochfahren die Passwörter eingeben muss.
Kann man die Konsole eigendlich später abschalten wie z.B. X mit strg + alt + F1 ?
XEN ist mangels wirklich guter ACPI Unterstützung usw auf Laptops weniger geignet, desweiteren proprieträre OSS, Nvidia und Radeontreiber lafen damit nicht. Fritztreiber gehen aber damit prima.
"Lennart Poettering is one of those typical IT leaders..." "like Linus Torvalds and Theo de Raadt?" "more like Bozo the Clown" After all, now a good employee of Microsoft

Antworten