Loop-AES installieren

[DarkEagle]

Hallo,

ich möchte gerne die Festplatten auf meinem Server verschlüsseln mit Loop-AES. Jetzt stehe ich vor der Frage, die sourcen von loop-aes und utils-linux compilen und installieren oder per apt-get die Pakete

Code: Alles auswählen

aespipe - AES-encryption tool with loop-AES support
loop-aes-ciphers-source - Ciphers for the loop-AES encryption Linux kernel module
loop-aes-source - AES-encryption loopback Linux kernel module
loop-aes-utils - Tools for mounting and manipulating filesystems

installieren? stellt sich die Frage, welches von diesen Paketen installiert werden müssen und wenn ich die Pakete per apt-get installiere ob dann auch automatisch das Modul installiert und der Kernel gepatchd wird? Zudem scheinen die apt-get Quellen auf der loop-aes-Version loop-AES 3.0a zu sein. Die aktuellste Version von loop-aes ist allerdings loop-AES 3.1d, macht das einen Unterschied?
bzw. muss denn der Kernel neucompiled werden? Ich habe gelesen, dass loop-aes mit dem loopback-support und Cipher im Kernel nicht zurecht kommt, daher besser neucompiled werden sollte

Danke und Gruß

darkeagle

[123456]

Du installierst loop-aes-utils (apt-get) und loop-aes-source (m-a). Die pipe brauchst du nicht und die ciphers auch nicht, wenn Du aes verwendest.

Woher hast Du die Version 3.0a? in testing und unstable ist 3.1d. Für Deinen Kernel brauchst Du nur die entsprechenden Kernel Headers - die werden aber durch das m-a automatisch gezogen.

[DarkEagle]

Auf dem Server läuft debian sarge stable. Wenn ich "apt-cache show loop-aes-utils" eingebe steht ganz unten:

Code: Alles auswählen

This package is based on loop-AES 3.0a, util-linux 2.12p-2.

was heisst denn m-a?

[markus_b]

bzw. muss denn der Kernel neucompiled werden? Ich habe gelesen, dass loop-aes mit dem loopback-support und Cipher im Kernel nicht zurecht kommt, daher besser neucompiled werden sollte

Kernel neu kompilieren ist nicht notwendig. Es wird lediglich ein neues Modul gebaut, und dafür braucht man die Kernel Sourcen bzw. Headers.

Für einige Kernels gibt es übrigens fertige Pakete mit dem loop-aes Modul, dann musst du nicht selbst bauen.
Ansonsten funktioniert loop-aes-source mit module-assistant auf jeden Fall.

[123456]

Auf dem Server läuft debian sarge stable. Wenn ich "apt-cache show loop-aes-utils" eingebe steht ganz unten:

Code: Alles auswählen

This package is based on loop-AES 3.0a, util-linux 2.12p-2.

das ist die loop-aes-utils Version, das andere die loop-aes-source Version...

was heisst denn m-a?

module-assistant

[DarkEagle]

module-assistant kenn ich noch garnicht. Wie funktioniert der denn? ich benutze den 2.4.27 kernel, die sourcen und headers habe ich installiert.

[123456]

module-assistant kenn ich noch garnicht. Wie funktioniert der denn? ich benutze den 2.4.27 kernel, die sourcen und headers habe ich installiert.

Du installiert ihn und ruft dann m-a als root auf. Der ist interaktiv und Du gehst die Menupunkte Step-by-Step durch...

[DarkEagle]

Also unter Select kann ich das loop-aes-modul auswählen,
m-a bricht leider mit einem Fehler ab. zuerst sagt er:

Code: Alles auswählen

Warnung: für das gewählte Modul-Paket wird voraussichtlich ein kompleter Quellcode-Baum des Kernel benötigt, um fehlerfrei zu kompilieren. Es wurde jedoch nur eine reduzierte Version dieses Kernel-Quellcodes gefunden (kernel-headers). Der Bau wird mit grosser Wahrscheinlichkeit fehlschlagen

Wenn ich weitermache, schlägt der Bauvorgang fehl mit folgender Fehlermeldung:

Code: Alles auswählen

Error: Did not find /usr/src/kernel-headers-2.4.27-ct-1/drivers/block/loop
Please build this module against a complete source tree

[123456]

Hmmh, Du kannst folgendes versuchen:

Code: Alles auswählen

# m-a -t -v fakesource
# m-a -t -v auto-install loop-aes

[DarkEagle]

die Warnung kommt jetzt nicht mehr, trotzdem mag er noch nicht:

make[2]: Entering directory `/usr/src/modules/loop-aes'
cd /usr/src/kernel-source-2.4.27-ct-1 && make SUBDIRS=/usr/src/modules/loop-aes modules Q='@cd /usr/src/modules/loop-aes && if [ "$@" = "modules" ]; then make modules; fi; # '
make[3]: Entering directory `/usr/src/kernel-source-2.4.27-ct-1'
make[3]: *** Keine Regel vorhanden, um das Target »include/linux/autoconf.h«,
benötigt von »include/config/MARKER«, zu erstellen. Schluss.
make[3]: Leaving directory `/usr/src/kernel-source-2.4.27-ct-1'
make[2]: *** [all] Fehler 2
make[2]: Leaving directory `/usr/src/modules/loop-aes'
make[1]: *** [binary-modules] Fehler 2
make[1]: Leaving directory `/usr/src/modules/loop-aes'
make: *** [kdist_build] Fehler 2
BUILD FAILED!
See /var/cache/modass/loop-aes-source.buildlog.2.4.27-ct-1.1151663208 for details.

[123456]

Folgendes kannst Du noch versuchen:
1. in den buildlog reinschauen...(da steht wahrscheinlich auch nix schlaueres drin)
2. Schau mal ob die Datei "/usr/src/kernel-source-2.4.27-ct-1/include/linux/autoconf.h" existiert. Wenn nicht - suche mit "find / -name autoconf.h" danach und wenn gefunden kopiere sie dahin.
3. Google nach 2.4.27 loop-aes etc.

[DarkEagle]

2. ausgeführt und jetzt kommen noch mehr fehler
ich habe mal losetup ausgeführt und es kommt kein Fehler, ist das ein schlechtes Zeichen oder ein gutes?

[123456]

2. ausgeführt und jetzt kommen noch mehr fehler
ich habe mal losetup ausgeführt und es kommt kein Fehler, ist das ein schlechtes Zeichen oder ein gutes?

Gut dann wars das nicht.
losetup ist ein Programm von loop-aes-utils und das hast Du ja installiert.
Entweder da gibts einen Bug oder Du brauchst einen Patch oder ähnliches. Da hilft nur Google oder Bugreports durchsuchen...

[DarkEagle]

so jetzt habe ich es hinbekommen. Habe den Kernel neu übersetzt dann konnte ich mit m-a auto-install loop-aes das Modul bauen und installieren. Das verschlüsseln hat dann auch funktioniert. Zumindest lässt sich das Laufwerk nur mit Passwort mounten.

jetzt habe ich noch ein Problem, wie kann ich das verschlüsselte Laufwerk denn mounten, dass es auch vom user benutzt werden kann, normalerweise mounte ich die Laufwerke so:

Code: Alles auswählen

/dev/hdb1	/home/eagle/hdb1	vfat	rw,user,auto,exec,gid=0000,uid=0000	0	0

mit diesen zusätzlichen Optionen streikt er aber beim mounten des verschlüsselten Laufwerks. Momentan steht es so in der fstab drin:

Code: Alles auswählen

/dev/hda3	/home/eagle/hda3	xfs	defaults,loop=/dev/loop0,encryption=AES256	0	1

das kann der user aber nicht benutzen.

Lässt sich das verschlüsselte Laufwerk dann auch in einen anderen PC einbauen und dort benuten mit anderen Programmversionen, anderer Kernel etc?

Was ich mich auch Frage, ob das dann wirklich 100% unknackbar ist mit einem 20 stelligen Passwort?

[markus_b]

jetzt habe ich noch ein Problem, wie kann ich das verschlüsselte Laufwerk denn mounten, dass es auch vom user benutzt werden kann

Kommt drauf an, wie du das machen willst...
Falls der user es selbst mounten soll, dann musst du die Optionen user,noauto mit angeben.
Falls es automatisch beim einloggen mit dem Userpasswort gemountet werden soll, dann solltest du mal einen Blick auf pam-mount werfen.

Mal zum Vergleich, bei mir schaut die Zeile folgendermaßen aus:

Code: Alles auswählen

/dev/sda6   /home   ext3  defaults,noauto,user,exec,loop,encryption=AES128,gpgkey=/etc/keys/home.gpg  0 0

Lässt sich das verschlüsselte Laufwerk dann auch in einen anderen PC einbauen und dort benuten mit anderen Programmversionen, anderer Kernel etc?

Ja, falls dort auch loop-aes mit dem entsprechenden Kernelmodul installiert wurde.

Was ich mich auch Frage, ob das dann wirklich 100% unknackbar ist mit einem 20 stelligen Passwort?

100% unknackbar ist keine Methode! Aber wenn du ein einigermaßen gutes Passwort gewählt hast ist es in normaler Zeit unknackbar.
Wichtig ist übrigens auch, dass du deinen Swap auch verschlüsselst!

[DarkEagle]

Das Problem ist, mit

Code: Alles auswählen

user

kann er es zwar mounten, hat aber keine Schreibrechte und die soll der User ja haben und mit

Code: Alles auswählen

gid=0000,uid=0000

will er es nicht mounten.

[markus_b]

Du hast doch mit XFS ein Dateisystem, das Rechte kennt.
Also musst du mit chown und chgrp arbeiten.

[123456]

Hast Du auch folgendes versucht?

Code: Alles auswählen

user,rw

xfs scheint laut den fstab und mount man-pages kein uid/gid zu kennen...

[DarkEagle]

vielleicht blöde Frage, aber wenn ich eine Partition verschlüssele, mache ich das ja mit folgenden Befehlen:

Code: Alles auswählen

losetup -e AES128 /dev/loop0 /dev/hda7
mkfs -t ext2 /dev/loop0

Wenn ich jetzt eine weitere Partition verschlüssele wird die andere nicht überschrieben oder?

[123456]

Wenn ich jetzt eine weitere Partition verschlüssele wird die andere nicht überschrieben oder?

"dir /dev/loop*" zeigt Dir acht loop Devices. Für eine andere Partition nimmst Du ein anderes loop Device.