[hilfe] verschlüsseltes Dateisystem

[saphir]

Hallo!

ich habe gestern nach diesem how-to
( http://www.debianforum.de/wiki/?page=Cr ... t+dm_crypt )
eine Partition verschlüsselt.

Ich hab dazu ein paar Fragen:

Kann ich irgendwie als normaler user auf die Partion zugreifen? Dort liegen Dateien, auf die ich permanent zugreifen muss und ich möchte nicht dauernt als root arbeiten.
Verändert sich dann die Sicherheit der Partition?
Gibt es die Möglichkeit dort Programme zu installieren?

Und gibt es die Möglichkeit meine Linux Partition (mit /home /root usw.) auch zu verschlüsseln? Ich habe mal gehört, man kann eigentlich alles bis auf den Kernel verschlüsseln. Das ist eigentlich mein Ziel. Bis jetzt ist ja nur die eine Partition verschlüsselt. Ein How-to dazu wäre super. Irgendwie finde ich nichts bei google (was aber vielleicht wohl daran liegt, dass ich auch nicht 100% weiss, wonach ich suchen soll).

Für logische Fehlschlüsse entschuldige ich mich schonmal, bin noch relativ neu was linux angeht.

Danke aber schonmal!

Gruss

saphir

Os: debian sarge
Kernel: 2.6.8-2-k7

[DeletedUserReAsG]

Die Verschlüsselung hat mit den Zugriffsrechten nichts zu tun. Das heißt, wenn du die Rechte der Partition entsprechend setzt, kannst du auch unter einer anderen UID darauf zugreifen. Die Sicherheit, die eine Verschlüsselung bringt, beschränkt sich darauf, dass beim Mounten der Partitionen eine Passphrase oder ein Key notwendig ist, danach wird das wie eine normale Partition behandelt.

Ein Verschlüsseln von / ist meiner Meinung nach nicht sinnvoll: Die transparente Ver-/Entschlüsselung benötigt Ressourcen, und die Sachen unter /bin, /lib usw. sind imho nicht wirklich schützenswert. Besser ist es, /home als eigene Partition zu planen, notfalls mittels Containerdatei, welche über das Loopback-System gemountet wird. Unter /root sollten auch keine sensiblen Daten liegen, da root selbst ja nicht zur täglichen Arbeit benutzt werden sollte.

cu

[saphir]

Super!

Ich danke dir. Dann werde ich mal die Rechte entsprechend setzen.

gruss

Saphir

[Incom]

Eine komplette Root-System Verschlüsselung birgt meiner Meihnung auch die Gefahr dass ein Angriff auf die Verschlüsslung erleichtert wird, da in jedem System ein paar Dateien immer vorhanden sind, und so ein paar Byte der entschlüsselten Daten bekannt sind.

MfG
Incom

[maciceman]

hallo zusammen

ich bin ebenfalls daran mit hilfe der wiki anleitung vom debianforum am installieren. danke überigens viel mal für die anleitung!! echt super!!

nun was ich mir überlegt habe ist, was mache ich wenn mal mein server abschmiert, und ich zum beispiel alle verschlüsselten daten hd's in einen neuen server einbauen muss.

ist das kein problem diese da wieder einzubinden (passwort ist mir natürlich bekannt von den hd's).

vielen dank fürs feedback!

icy

[DeletedUserReAsG]

Vorausgesetzt, das System, in das die Platten dann kommen, ist entsprechend eingerichtet (cryptoloop oder dm_crypt oder was benutzt wurde usw.), ist es kein Problem. Ebenso kann man die verschlüsselten Partitionen z.B. mittels dd auslesen und die entstandenen (verschlüsselten) Images mithilfe des Keys/der Passphrase einfach via loopback mounten.

cu

[maciceman]

super vielen dank für die antwort!

des Keys/der Passphrase

meinst du damit das passwort oder wie zum bsp. bei pgp den schlüssel? weil wenn du den schlüssel meinen würdest, müsste ich ja den key auch noch backupen oder?

viele grüsse

icy[/quote]

[DeletedUserReAsG]

Ich meinte damit das Passwort, ja. Die Passwörter bestehen bei mir z.B. aus je etwa einem kB Zeichensalat direkt aus /dev/random, deshalb schrieb ich auch "Keys".

cu

[maciceman]

ah ok. super. wieder um einiges schlauer

viele grüsse und noch ein schönes weekend

icy

[maciceman]

hallo zusammen
ich habe nun das ganze mit dem tutorial gelöst. super sache. was ich jetzt nicht ganz begreife ist, wiso er meine hd trozdem mounted obwohl ich testweise den key vom angegebenen ort entfernt habe. ich sehe normal die ordnerstruktur (1 leerer ordner welchen ich zum test erstellt hatte als der key noch am richtigen ort war). ich habe beim tutorial lediglich anstatt ext3 reiserfs verwendet. hat jemand ein tipp?

viele grüsse icey[/code]

[durztbrother]

Hallo *,

ich habe gerade das Howto von Incom [1] bezüglich dem Crypto FS durchgearbeitet. Es funktioniert auch alles. Jetzt würde ich das ganze auch auf meinem Rootserver konfigurieren.

Allerdings fällt ja dann dieser Schritt weg, da ich ja beim booten des Rootservers das PW der Crypto Partition nicht eingeben kann:

Code: Alles auswählen

Das System einrichten
Da wir das ganze natürlich permanent haben möchten müssen jetzt noch ein paar Einstellungen gemacht werden:

In /etc/crypttab fügen wir folgendes ein:
Code:
name /dev/hda6

bzw. mit Keyfile

Code:
name /dev/hda6 /pfad/zum/keyfile
In /etc/fstab kommt das hier rein:
Code:
/dev/mapper/name       /mnt/name ext3    defaults,user                0       2
Ausserdem müssen wir noch die module in /etc/modules eintragen:
Code:
aes
dm_crypt
dm_mod
So, das wärs eigentlich. Bei Systemstart wird jetzt nach dem Passwort gefragt, und das Dateisystem gemounted.

Hatt vielleicht eine Idee für ein Shellscript, was ich nach dem booten der Rootservers ausführen kann, damit ich das PW eingeben kann und die Crypto Partition gemountet wird?

Ich hab jetzt ein Script was bei mir läuft und die Partitionen nach eingabe vom PW mountet:

Code: Alles auswählen

#/bin/sh

echo -e "mounting crypted /ftp partition"
cryptsetup create ftp /dev/md5
mount /dev/mapper/ftp /ftp



echo -e "mounting crypted /home partition"
cryptsetup create home /dev/md3
mount /dev/mapper/home /home

Ciao
Patrick

[1] http://www.debianforum.de/wiki/?page=Cr ... t+dm_crypt

[DeletedUserReAsG]

Ich habe es so gemacht, dass die Datenpartitionen auf dem Server verschlüsselt sind (incl. der MySQL-Datenbanken). Die anderen Sachen sind imho nicht schützenswert, man kann sich nach dem Booten normal via ssh einloggen und die Partitionen mounten.

Alternativ, wenn dein Provider eine serielle Konsole anbietet (ist bei den Mainstreamprovidern (Strato, 1&1 usw.) der Fall), kannst du auch alles veschlüsselnt und die Passphrases bei Booten darüber eingeben.

was ich jetzt nicht ganz begreife ist, wiso er meine hd trozdem mounted obwohl ich testweise den key vom angegebenen ort entfernt habe.

Zwei Möglichkeiten: Zum Einen kann es sein, dass du schlicht das Device unter /dev/mapper nicht gelöscht hast, so dass du einfach das entschlüsselte Device wieder gemountet hast, zum anderen scheint bei dm_crypt die Passphrase gecached zu werden. Einfachste Möglichkeit, das zu testen: Reboot - danach sollte es ohne Key nicht möglich sein, das zu mounten.

cu

[boxhamster]

hallo,

ich wollte das wiki auch ausprobieren und bin bei dem Versuch, die benötigten Sachen zu installieren auf das Problem gestoßen, dass ich die Datein nicht runder laden kann. Ich sollte hier vielleicht auch anmerken, dass ich Kubuntu 5.04 benutze. kann mir jemand eine quelle geben, wo ich die sachen für kubuntu bekomme. des weiteren wollte ich mal fragen, ob jemand die neue linux magazin hat und dort den bericht über verschlüßelung gelesen hat?
Dort wird das ganze per Grafik installiert und eingestellt. gibt es diese möglichkeit auch für kubuntu? Des weiteren hab ich den Artikel nicht so ganz verstanden und es würde mich freuen, wenn mir jemand den Artikel noch mal kurz und knapp verständlich erklären könnte.

Vielen vielen Dank schon mal für die Hilfe.

[Incom]

Wenn du die Debian Packete meinst die kannst du von packages.debian.org runterladen.
Aber man kann afaik auch irgendwie (K)ubuntu so einstellen das es alle Pakete hat die auch Debian hat.

MfG
Incom

[boxhamster]

das mit der sources.list hat jetzt funktioniert. jetzt besteht für mich nur noch die Frage, wie ich unter Kubuntu das mit der root Partition handhabe, da es ja unter Kubuntu soetwas nicht gibt, hier hilft ja immer das zauberwort sudo.

Muss ich diesbezüglich etwas beachten?

Des weiteren habe ich noch eine andere Frage, die unter folgendem Link zu finden ist: http://debianforum.de/forum/viewtopic.p ... highlight=

[Bert]

Nee root Partition hast Du auch unter (K)Ubuntu, nur hat dein root user kein passwd. Aber das kann man ja schnell abstellen...

Bert

[boxhamster]

ja ist es sinnvoll, das abzustellen oder geht das auch so?

[boxhamster]

kann mir jemand sagen, ob ich jetzt bei ubuntu ein root einrichten muss oder ob es auch so geht?

[Bert]

Der root user existiert. Er hat nur kein Passwort. Ob Du das machen mußt/willst kann Dir hier keiner sagen. Funktionieren tuts auch ohne, sonst würd Ubuntu das ja nicht machen. Mir war es halt nicht sympatisch, daher hab ich das geändert.

Bert

[boxhamster]

wie sieht es da dann mit der sicherheit aus? bleibt die weiterhin bestehen oder wird diese verringert?

[boxhamster]

ich will jetzt meine festplatte komplett verschlüßeln und in der anleidung steht folgendes:

verwende als verschlüsselte Partition hda6, dies muss natürlich angepasst werden. Die Partition darf nicht gemountet sein für die nachfolgenden Befehle.
ACHTUNG: Alle Daten auf dieser Partition gehen verloren!

Als erstes erzeugen wir ein Crypt-Device-Mapper:

cryptsetup -y create name /dev/hda6

"name" sollte ein kurzer, schlüssiger Name sein. (z.B: crypt, home, data oä.)


Wie mache ich das, wenn die komplette Platte verschlüßelt werden soll? gehen dann alle Daten verloren? wie muss ich jetzt vorgehen? reicht es, wenn das home verzeichnis und die swap partition verschlüßelt wird?

[Incom]

Hmm, die komplette Festplatte laesst sich nicht verschluesseln, aber es muesste reichen wenn du Swwap, /home und alles mit tmp verschluesselst.

MfG
Incom

[maciceman]

Guten Abend zusammen

Ich hätte da mal ne Frage:

Meine Situation: Ich habe meinen Key auf einer CD. Bis jetzt hatte ich immer die HD's gemountet und danach die CD ausgeworfen. Wäre ja witzlos die CD im Rechner zu lassen!

Mein Problem: Mir stürzt der Server dauernd ab. Um das Problem zu erruiren habe ich mal versucht die CD eifach nach dem mounten der Festplatten die CD nicht auszuwerfen. Nun scheint es mir so als ob das ganze nun stabile läuft. Könnt Ihr mir das so bestätigen?

Sollte das wirklich der Fall sein frage ich mich was für Möglichkeiten ich habe um die CD nicht im Laufwerk zu lassen, ohne dass das ganze System wieder instabiel wird.

Danke viel mal für euere Mithilfe!

Viele Grüsse

Philippe

[Incom]

Also bei mir läuft das System auch weiter wenn der Key nicht mehr gemounted ist.

MfG
Incom

[maciceman]

Danke für die Info.
Dann muss ich mich wohl weiter auf die Fehlersuche begeben.

Viele Grüsse

Philippe