Hallo zusammen,
ich habe daran gedacht mit diesem Howto das Dateisystem auf meinem Heimserver zu verschlüsseln:
http://wiki.debianforum.de/WikiMigratio ... ration/%29
Leider habe ich ein Problem.
Ich habe das ganze ausprobiert und das ganze funktioniert scheinbar super!
Einziges Problem das ich habe ist folgendes:
Es wird bei start des Servers nach einem Passwort für /tmp und /home gefragt.
Da der Server aber später auf dem Dachboden stehen soll, und da ich keine Serielle Konsole besitze bringt mir das recht wenig.
Bei /tmp könnte ich das zwar genauso wie bei der SWAP Partition machen, aber was ich mit der /home und /data Partition machen soll weiß ich nicht.
Wie kriege ich das hin, das nicht während des Bootvorgangs nach dem Passwort gefragt wird?
Ich dachte z.B. daran, das die /home und /data Partition mit dem einloggen auf der Konsole (z.B. via SSH) automatisch entschlüsselt wird.
Die Kür wäre natürlich das nur die User Verzeichnisse auf dem Server entschlüsselt werden. (Also jedes Userhome Verzeichniss seperat verschlüsselt wird)
Gibt es da eine Lösung? Wenn ja, wie müsste ich da grob vorgehen?
Verschlüsseltes Dateisystem für Server
-
Gandalf_the_Grey
- Beiträge: 64
- Registriert: 04.11.2003 00:49:07
- Lizenz eigener Beiträge: MIT Lizenz
-
Kontaktdaten:
Verschlüsseltes Dateisystem für Server
Gruß René
"Every Feature is a bug, unless it can be disabled."
"Never try to argue with an idiot, he will lower you to his level and beat you with experience"
"Every Feature is a bug, unless it can be disabled."
"Never try to argue with an idiot, he will lower you to his level and beat you with experience"
-
Gandalf_the_Grey
- Beiträge: 64
- Registriert: 04.11.2003 00:49:07
- Lizenz eigener Beiträge: MIT Lizenz
-
Kontaktdaten:
-
durztbrother
- Beiträge: 235
- Registriert: 27.01.2003 23:23:48
- Wohnort: Hamburg
-
Gandalf_the_Grey
- Beiträge: 64
- Registriert: 04.11.2003 00:49:07
- Lizenz eigener Beiträge: MIT Lizenz
-
Kontaktdaten:
Ja aber durch eine # vor dem Zeilenanfang auskommentiert!durztbrother hat geschrieben:HI,
stehen die gecrypteten Partitionen noch in der?Code: Alles auswählen
/etc/fstab
Gruss
Patrick
Gruß René
"Every Feature is a bug, unless it can be disabled."
"Never try to argue with an idiot, he will lower you to his level and beat you with experience"
"Every Feature is a bug, unless it can be disabled."
"Never try to argue with an idiot, he will lower you to his level and beat you with experience"
-
mistersixt
- Beiträge: 6601
- Registriert: 24.09.2003 14:33:25
- Lizenz eigener Beiträge: GNU Free Documentation License
Ich bin vor kurzem auf eine Seite gestossen, wo das Password/der Key auf einem USB-Stick zur Verfügung gestellt wurde. Vielleicht ist so eine Lösung was für Dich ! Müsstest Du mal googlen.
Gruss, mistersixt.
Gruss, mistersixt.
--
System: Debian Bookworm, 6.11.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 3.8 Ghz., Radeon RX 5700 XT, 32 GB Ram, XFCE
System: Debian Bookworm, 6.11.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 3.8 Ghz., Radeon RX 5700 XT, 32 GB Ram, XFCE
-
Gandalf_the_Grey
- Beiträge: 64
- Registriert: 04.11.2003 00:49:07
- Lizenz eigener Beiträge: MIT Lizenz
-
Kontaktdaten:
Ist bei einem Server keine wirkliche Lösung. Das ganze darf keinen physikalischen Kontakt zur Maschine vorraussetzen. Es muss doch eine Möglichkeit geben, das entschlüsseln via SSH vorzunehmen.mistersixt hat geschrieben:Ich bin vor kurzem auf eine Seite gestossen, wo das Password/der Key auf einem USB-Stick zur Verfügung gestellt wurde. Vielleicht ist so eine Lösung was für Dich ! Müsstest Du mal googlen.
Gruss, mistersixt.
Gruß René
"Every Feature is a bug, unless it can be disabled."
"Never try to argue with an idiot, he will lower you to his level and beat you with experience"
"Every Feature is a bug, unless it can be disabled."
"Never try to argue with an idiot, he will lower you to his level and beat you with experience"
-
DeletedUserReAsG
Hmm...
Einfachste Lösung wäre, beim Installieren zunächst nur eine Partition zu benutzen und diese auf / zu hängen. Veränderliche Daten, die verschlüsselt werden sollten, befinden sich typischerweise in /var und /home. /home ist dabei kein Problem, solange keiner eingelogged ist, kann man die verschlüsselte Partition einfach "drübermounten". Bei /var sieht es etwas schwieriger aus, weil schon beim Booten diverse pids usw. dort abgelegt werden. Wenn man nun einfach eine Partition nachträglich einhängen würde, wären diese Daten nicht mehr erreichbar.
Sinnvoll ist es deshalb, die Verzeichnisstruktur von vorneherein entsprechend zu planen: Die dort liegenden, sicherungswürdigen Daten in ein separates Unterverzeichnis legen und die entsprechenden Dienste (etwa mysqld, httpd, smptd/pop3d) nach dem Booten und Einhängen der Partition manuell starten.
cu
Einfachste Lösung wäre, beim Installieren zunächst nur eine Partition zu benutzen und diese auf / zu hängen. Veränderliche Daten, die verschlüsselt werden sollten, befinden sich typischerweise in /var und /home. /home ist dabei kein Problem, solange keiner eingelogged ist, kann man die verschlüsselte Partition einfach "drübermounten". Bei /var sieht es etwas schwieriger aus, weil schon beim Booten diverse pids usw. dort abgelegt werden. Wenn man nun einfach eine Partition nachträglich einhängen würde, wären diese Daten nicht mehr erreichbar.
Sinnvoll ist es deshalb, die Verzeichnisstruktur von vorneherein entsprechend zu planen: Die dort liegenden, sicherungswürdigen Daten in ein separates Unterverzeichnis legen und die entsprechenden Dienste (etwa mysqld, httpd, smptd/pop3d) nach dem Booten und Einhängen der Partition manuell starten.
cu
-
Gandalf_the_Grey
- Beiträge: 64
- Registriert: 04.11.2003 00:49:07
- Lizenz eigener Beiträge: MIT Lizenz
-
Kontaktdaten:
Hat den niemand eine Antwort auf die Frage, wie man die Passwortabfrage beim booten verhindern kann? Ich vermute das die Platten während des Bootvorgangs bereits entschlüsselt werden und anschließend (sofern in der /etc/fstab gelistet) eingehängt werden.
Gemountet werden die Platten /data und /home NICHT automatisch. Was schonmal das Problem zur hälfte löst.
Aber ich will eben auch die Passwortabfrage verhindern (keine Ahnung was bereits während des Bootvorgangs passiert).
Kennt sich hier niemand mit Crypto FS und dm_crypt aus?
Gemountet werden die Platten /data und /home NICHT automatisch. Was schonmal das Problem zur hälfte löst.
Aber ich will eben auch die Passwortabfrage verhindern (keine Ahnung was bereits während des Bootvorgangs passiert).
Kennt sich hier niemand mit Crypto FS und dm_crypt aus?
Gruß René
"Every Feature is a bug, unless it can be disabled."
"Never try to argue with an idiot, he will lower you to his level and beat you with experience"
"Every Feature is a bug, unless it can be disabled."
"Never try to argue with an idiot, he will lower you to his level and beat you with experience"
-
durztbrother
- Beiträge: 235
- Registriert: 27.01.2003 23:23:48
- Wohnort: Hamburg
schau mal bitte in
und kommentiere dort noch eventuelle einträge ala
home /ftp/hda5 aus
dann kommt auch keine Abfrage von der Passphrase beim booten.
Tschö
Patrick
Code: Alles auswählen
/etc/crypttabhome /ftp/hda5 aus
dann kommt auch keine Abfrage von der Passphrase beim booten.
Tschö
Patrick
-
durztbrother
- Beiträge: 235
- Registriert: 27.01.2003 23:23:48
- Wohnort: Hamburg