Hallo,
Ich arbeite seit geraumer Zeit mit versch. Partitionen, ( gemäß der gängigen Kernel-Crypto-Howto's ). Meine Frage ist nun:
Kann man ein "kleines Debian" starten und von da aus ein "großes Debian" aus verschlüsselten Umgebungen (Datei/Partition) starten, bzw. den Start erst per Passworteingabe ermöglichen. Es geht mir hiebei nicht um eine Boot-Sperre, da tut's LiLo ja auch - sondern um den Schutz ein ganzes Systems vor externen Zugriff (Boot-CD, HDD woanders einbauen, ... )
Währe für Link's aber auch für grundsätzliche Meinungen dankbar.
Danke & Gruß
Mtrx757
Debian in einem Container
Du kannst auf einem Computer nur ein Betriebssystem laufen lassen. Aber in einem Betriebssystem kannst du mehrere Betriebssysteme laufen lassen: VMWare, Bochs, Wine oder für ganz Harte: S390, 70 mal Linux und mehr. Das kommt dann auf den Geldbeutel an.
Es macht ja auch keinen Sinn. Du kannst einen Computer so absichern, das hier so gut wie niemand an die Maschine herankommt. Das allerdings ist nicht günstig. Zusatzkarten, Chipkartenleser ( OK, 9,95 € ), oder Fingerscanner.
Kauf dir bei ebay einen kleinen 19"-Schrank den man verschließen kann. Hab ich schon für 100,- € gesehen. Da kommt die Kiste rein, dann von der Debian-Seite das PDF Hardendoc herunterladen und danach vorgehen. Das Dateisystem wird verschlüsselt und der Admin muß sich zusätzlich zum Paßwort mit einer Chipkarte authentifizieren. Wenn du eine 4096-bit-Verschlüsselung wählst, dauert das schon eine ganze Weile bevor jemand die Festplatte auslesen kann.
In welchem Hochsicherheitstrakt soll das Gerät denn eingesetzt werden?
Es macht ja auch keinen Sinn. Du kannst einen Computer so absichern, das hier so gut wie niemand an die Maschine herankommt. Das allerdings ist nicht günstig. Zusatzkarten, Chipkartenleser ( OK, 9,95 € ), oder Fingerscanner.
Kauf dir bei ebay einen kleinen 19"-Schrank den man verschließen kann. Hab ich schon für 100,- € gesehen. Da kommt die Kiste rein, dann von der Debian-Seite das PDF Hardendoc herunterladen und danach vorgehen. Das Dateisystem wird verschlüsselt und der Admin muß sich zusätzlich zum Paßwort mit einer Chipkarte authentifizieren. Wenn du eine 4096-bit-Verschlüsselung wählst, dauert das schon eine ganze Weile bevor jemand die Festplatte auslesen kann.
In welchem Hochsicherheitstrakt soll das Gerät denn eingesetzt werden?
Wo es eingesetzt werden soll? Na irgendwo bei der nationalen Sicherheit oder so, sicher vor allen Aliens ... bla ... 
Nun mal im Ernst: Ich meinte mal von der Möglichkeit gelesen zu haben, ein solches zweistufiges (Debian-) Linux aufzubauen, vielleicht habe ich da auch was falsch verstanden. Ich will es privat nutzen und wenn's nicht so funktioniert werde ich halt wie gehabt handeln (Userdaten + ev. Configdaten verschlüsseln). Das Chipkartensystem kannte ich bislang nicht, ich werde es aber mal in betracht ziehen. Motivation ist ausschließlich der Weg als Ziel um mal ne halbwegs sichere Kiste am laufen zu haben.
Gruß
Nun mal im Ernst: Ich meinte mal von der Möglichkeit gelesen zu haben, ein solches zweistufiges (Debian-) Linux aufzubauen, vielleicht habe ich da auch was falsch verstanden. Ich will es privat nutzen und wenn's nicht so funktioniert werde ich halt wie gehabt handeln (Userdaten + ev. Configdaten verschlüsseln). Das Chipkartensystem kannte ich bislang nicht, ich werde es aber mal in betracht ziehen. Motivation ist ausschließlich der Weg als Ziel um mal ne halbwegs sichere Kiste am laufen zu haben.
Gruß
Where do you want to go tomorrow?
-
minimike
- Beiträge: 5616
- Registriert: 26.03.2003 02:21:19
- Lizenz eigener Beiträge: neue BSD Lizenz
- Wohnort: Köln
-
Kontaktdaten:
du kannst natürlich eine initrd verwenden. Beachte aber das die initrd und das Kernelimage natülich nicht verschlüsselt werden können, kurz eine unverschlüsselte Bootpartition ist erforderlich. Zum Erstellen einer initrd schau dir mal Gentoo's genkernel mal an. Das Programm ist dem minitrd von Debian in der Usabillity überlegen. Du kannst die initrd natürlich auch per Hand erzeugen ( füllt ein Wochenende ).
Jedenfalls musst du beim Booten das Passwort eingeben wenn von der initrd auf das rootfs gewechselt werden soll. Vergiss nicht ab da schon eine laufende Tastatur zu haben. Die Tastatur ist per default meist erst mal englisch.
Jedenfalls musst du beim Booten das Passwort eingeben wenn von der initrd auf das rootfs gewechselt werden soll. Vergiss nicht ab da schon eine laufende Tastatur zu haben. Die Tastatur ist per default meist erst mal englisch.
"Lennart Poettering is one of those typical IT leaders..." "like Linus Torvalds and Theo de Raadt?" "more like Bozo the Clown" After all, now a good employee of Microsoft
nun, ohne profi zu sein: da bieten sich dir XEN und user mode linux an. die ct hat ja ihre selbstgebaute firewall meines wissens auch mit uml realisiert. google da mal nach, das könnte dein problem vielleicht lösen.mtrx757 hat geschrieben:Wo es eingesetzt werden soll? Na irgendwo bei der nationalen Sicherheit oder so, sicher vor allen Aliens ... bla ...
Nun mal im Ernst: Ich meinte mal von der Möglichkeit gelesen zu haben, ein solches zweistufiges (Debian-) Linux aufzubauen, vielleicht habe ich da auch was falsch verstanden. Ich will es privat nutzen und wenn's nicht so funktioniert werde ich halt wie gehabt handeln (Userdaten + ev. Configdaten verschlüsseln). Das Chipkartensystem kannte ich bislang nicht, ich werde es aber mal in betracht ziehen. Motivation ist ausschließlich der Weg als Ziel um mal ne halbwegs sichere Kiste am laufen zu haben.
Gruß
"In den reichen Ländern hat die Freiheit gesiegt - mit all den schrecklichen Folgen, die das für die anderen mit sich bringt und noch bringen wird. Die Demokratie ist auf andere Epochen verschoben." (L. Canfora)
vorsicht, wer bei ebay kauft wird durchsichtig und ist sicherheitstechnisch gesehen sehr rückständig. wenn selbst der BRD datenschutzbeauftragte die anmahnt...rkrueger hat geschrieben:...
Kauf dir bei ebay einen kleinen 19"-Schrank den man verschließen kann. Hab ich schon für ...
Nieder mit der Schwerkraft.
@minimike:
Die Idee mit der initrd ist wohl die beste in diesem Zusammenhang, da ich Gentoo nicht kenn werde ich erst mal in den Debian-Dok's nachschauen. Ein WE für eine eigene iditrd aufzubringen ist's aber nicht wert - will das Rad ja nicht neu erfinden.
@Natas12 & @comes:
Xen klingt cool, werde mich über das WE mal damit beschäftigen. Der Artikel auf Wikipedia macht zumindest Lust.
Auf http://www.pug.org/index.php/Xen-Installation habe ich schon ne ganz gute Anleitung gefunden - schade nur das man (noch) nicht Windows starten kann, denn ohne diesem mir sehr suspektem OS gehts auch nicht (Scanner, Flash, etc.) .
Gruß
Die Idee mit der initrd ist wohl die beste in diesem Zusammenhang, da ich Gentoo nicht kenn werde ich erst mal in den Debian-Dok's nachschauen. Ein WE für eine eigene iditrd aufzubringen ist's aber nicht wert - will das Rad ja nicht neu erfinden.
@Natas12 & @comes:
Xen klingt cool, werde mich über das WE mal damit beschäftigen. Der Artikel auf Wikipedia macht zumindest Lust.
Auf http://www.pug.org/index.php/Xen-Installation habe ich schon ne ganz gute Anleitung gefunden - schade nur das man (noch) nicht Windows starten kann, denn ohne diesem mir sehr suspektem OS gehts auch nicht (Scanner, Flash, etc.) .
Gruß
Where do you want to go tomorrow?
Die XEN-Entwickler haben es (angeblich) auch schon geschafft, Windows XP unter XEN zum Laufen zu bringen - nur wurde diese XEN-Variante aus lizenzrechtlichen Gründen nie veröffentlicht, rate mal wer da etwas dagegen hatte ...mtrx757 hat geschrieben:@minimike:
...
Auf http://www.pug.org/index.php/Xen-Installation habe ich schon ne ganz gute Anleitung gefunden - schade nur das man (noch) nicht Windows starten kann, denn ohne diesem mir sehr suspektem OS gehts auch nicht (Scanner, Flash, etc.) .
...
"Software is like sex, it's better when it's free" (Linus Torvalds)
dafür kannst du wiederum qemu + acceletator-modul (binary only) verwenden. klappt sehr gut. ich habe hier einen zoo verschiedener betriebssysteme in qemu laufen, auch win2k. es gibt zudem ein kommander-script, mit dem sich die emulierten qemu-maschinen leicht starten lassen.mtrx757 hat geschrieben: schade nur das man (noch) nicht Windows starten kann, denn ohne diesem mir sehr suspektem OS gehts auch nicht (Scanner, Flash, etc.) .
Gruß
"In den reichen Ländern hat die Freiheit gesiegt - mit all den schrecklichen Folgen, die das für die anderen mit sich bringt und noch bringen wird. Die Demokratie ist auf andere Epochen verschoben." (L. Canfora)
Installier doch dein "kleines Debian" und starte auf einem verschlüsselten Datenträger/Verzeichnis mittels CHROOT-Umgebung dein "großes Debian". Schau Dir bei der Gelegenheit die grsecurity-patches http://www.grsecurity.org an um Dein chroot-jail auch sicher zu machen
/dev/null
"Risk comes from not knowing what you are doing!"
Warren Buffet
"Risk comes from not knowing what you are doing!"
Warren Buffet
-
minimike
- Beiträge: 5616
- Registriert: 26.03.2003 02:21:19
- Lizenz eigener Beiträge: neue BSD Lizenz
- Wohnort: Köln
-
Kontaktdaten:
Soll ich dier für XEN meine /etc und die Packetliste und Kernelconfigs schicken ? So kannst binnen einiger Stunden loslegen. Hab XEN auch erst nach dem dritten Anlauf begriffen.
Nun was noch nicht klappt ist die VGA Karte ( Onboard Radeon 9100 IGP ) durch zu reichen. Grund ist wohl das in Domain0 ne Console läuft, mus das nächste Woche wenn ich mehr Zeit habe mal abstellen. Ziel ist es Domain0 als Controlleinheit mit Festplatten zu haben. Darauf läuft ein NFS-Server wovon die anderen Systeme booten. Habe dann Router, LAMP, Edonkey, und X mit Mythtv dann auf jeweils 5 abgeschotteten Systemen am laufen
Ach ja Netzwerk ist auch ein wenig buggy. Habe ne extra Domain für Netzwerkarten, die läuft als Switch intern - extern
Nun was noch nicht klappt ist die VGA Karte ( Onboard Radeon 9100 IGP ) durch zu reichen. Grund ist wohl das in Domain0 ne Console läuft, mus das nächste Woche wenn ich mehr Zeit habe mal abstellen. Ziel ist es Domain0 als Controlleinheit mit Festplatten zu haben. Darauf läuft ein NFS-Server wovon die anderen Systeme booten. Habe dann Router, LAMP, Edonkey, und X mit Mythtv dann auf jeweils 5 abgeschotteten Systemen am laufen
Ach ja Netzwerk ist auch ein wenig buggy. Habe ne extra Domain für Netzwerkarten, die läuft als Switch intern - extern
"Lennart Poettering is one of those typical IT leaders..." "like Linus Torvalds and Theo de Raadt?" "more like Bozo the Clown" After all, now a good employee of Microsoft
Das mit dem UML scheint eine gute Sache zu sein, habe einige brauchbare Script gefunden.
Mich würde interessieren ob am in diesem geschützen Raum alles übliche laufen lassen kann (X-Server, Audio, ...). Hat jemand Erfahrungen gesammelt oder kennt Artikel/Postings ?
Gruß
Mich würde interessieren ob am in diesem geschützen Raum alles übliche laufen lassen kann (X-Server, Audio, ...). Hat jemand Erfahrungen gesammelt oder kennt Artikel/Postings ?
Gruß
Where do you want to go tomorrow?
wäre es nicht sinnvoller nur die home Partition und eventuelle Datenpartitonen zu verschlüsseln und dann einfach ein kleines Skript zu schreiben, dass einen beim Booten nach dem Passwort frägt.
Irgendwo ist es meiner Meinung nach ziemlich sinnlos das ganze System zu verschlüsseln, denn die Informationen die jemanden interessieren könnten liegen bestimmt nicht in den Konfigurationsdateien und Programmen. Außerdem würde das System wahrscheinlich auch langsamer, wenn bei jedem Dateizugriff erst ver-/entschlüsselt werden muss.
Und um ganz sicher zu gehen legt man den Schlüssel für die Partitionen auf nem USB-Stick ab, dann dürfte das für normale Bedürfnisse gut abgesichert sein.
gruß,
npi
Irgendwo ist es meiner Meinung nach ziemlich sinnlos das ganze System zu verschlüsseln, denn die Informationen die jemanden interessieren könnten liegen bestimmt nicht in den Konfigurationsdateien und Programmen. Außerdem würde das System wahrscheinlich auch langsamer, wenn bei jedem Dateizugriff erst ver-/entschlüsselt werden muss.
Und um ganz sicher zu gehen legt man den Schlüssel für die Partitionen auf nem USB-Stick ab, dann dürfte das für normale Bedürfnisse gut abgesichert sein.
gruß,
npi
"Bis zur Unendlichkeit, und noch viel weiter!"
--Buzz, Toystory
--Buzz, Toystory
-
Savar
- Beiträge: 7174
- Registriert: 30.07.2004 09:28:58
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Berlin
hmm... also wenn du wirklich nur ein verschlüsseltes System haben willst, dann würde ich einfach das Verzeichnis /boot in eine unverschlüsselte Partition setzen und alle anderen Partitionen verschlüsseln.. du brauchst dann weder Xen noch Qemu noch sonst eine Emulation... und sicher ist es auch (höchstens du willst verschweigen was für einen Kernel du benutzt 
)
)@npi & @saver:
Danke für die Beiträge, bisher habe ich ja meine Daten auch per crypt_fs geschützt und die Aufnahme des home-verz. in eine geschützte Umgebung währe ein leichtes. Es kann/kommt mir hierbei auch drauf an eine mögliche andere Herangehensweise kennenzulernen. Wenn ich ein ganzes System schützte/verschlüssel sollte es nicht möglich sein, Systemdateien von außen zu ändern (Knoppix ...). Mir ist wohl bekannt, daß man mit Programmen wie Tripwire solch eine Manipulation bemerken kann, ich finde es nur zeitaufwendig (theoretisch) nach jeder apt-get Operation die Tripwire-Maschine in Gang zu setzten.
Danke für die Beiträge, bisher habe ich ja meine Daten auch per crypt_fs geschützt und die Aufnahme des home-verz. in eine geschützte Umgebung währe ein leichtes. Es kann/kommt mir hierbei auch drauf an eine mögliche andere Herangehensweise kennenzulernen. Wenn ich ein ganzes System schützte/verschlüssel sollte es nicht möglich sein, Systemdateien von außen zu ändern (Knoppix ...). Mir ist wohl bekannt, daß man mit Programmen wie Tripwire solch eine Manipulation bemerken kann, ich finde es nur zeitaufwendig (theoretisch) nach jeder apt-get Operation die Tripwire-Maschine in Gang zu setzten.
Where do you want to go tomorrow?
also du willst die Verschlüsselung als Schutz vor Backdoors uä?mtrx757 hat geschrieben: Wenn ich ein ganzes System schützte/verschlüssel sollte es nicht möglich sein, Systemdateien von außen zu ändern (Knoppix ...).
Dann würde ich alle Partitonen verschlüsseln. Bootloader und Kernel auf ein externes Medium bannen (Diskette, USB-stick, cd-rw, ...) von dem dann gebootet wird und auf dem dann auch der Schlüssel gespeichert ist.
So sollte gewährleistet sein, dass nur du das System booten kannst und Änderungen am System vornehmen kannst (das Löschen von sämtlichen Daten hast du damit aber noch nicht verhindert
).gruß,
npi
"Bis zur Unendlichkeit, und noch viel weiter!"
--Buzz, Toystory
--Buzz, Toystory
-
minimike
- Beiträge: 5616
- Registriert: 26.03.2003 02:21:19
- Lizenz eigener Beiträge: neue BSD Lizenz
- Wohnort: Köln
-
Kontaktdaten:
Nun die von mir vorgeschlagene Möglichkeit von initrd zu booten wobei in der initrd busybox und losetup installiert ist, dazu gepaart mit XEN hat so einige Möglichkeiten. Schwachstelle ist aber das Kernelimage und die linuxrc in der Initrd, damit kann man evtl feststellen was denn so für eine Verschlüsselungtechnik verwendet wird. Unter XEN, alle NFS Shares lassen sich komplett verschlüsseln. Es reicht diese per Hand zu entschlüsseln, mounten und dann den Kernel-NFS-Server neu starten damit er die Freigaben schön rausrückt. Systeme booten davon, und mit XDMCP kann die grafische Oberfläche von einem Gast z.B. Solaris auf die Kontrolldomain geleitet werden. Die VGA Karte kann nicht weitergereicht werden da man ja in Domain0 beim Hochfahren die Passwörter eingeben muss.
Kann man die Konsole eigendlich später abschalten wie z.B. X mit strg + alt + F1 ?
XEN ist mangels wirklich guter ACPI Unterstützung usw auf Laptops weniger geignet, desweiteren proprieträre OSS, Nvidia und Radeontreiber lafen damit nicht. Fritztreiber gehen aber damit prima.
Kann man die Konsole eigendlich später abschalten wie z.B. X mit strg + alt + F1 ?
XEN ist mangels wirklich guter ACPI Unterstützung usw auf Laptops weniger geignet, desweiteren proprieträre OSS, Nvidia und Radeontreiber lafen damit nicht. Fritztreiber gehen aber damit prima.
"Lennart Poettering is one of those typical IT leaders..." "like Linus Torvalds and Theo de Raadt?" "more like Bozo the Clown" After all, now a good employee of Microsoft