Tag zusammen,
ich würde gern noch meine Log-Dateien encrypten, aber wie? Meine Home-Partition habe ich mit dm-crypt und die swap mit loop-aes encryptet, aber wie mache ichs bei den log dateien?
THX im voraus...
Log-Dateien verschlüsselten, aber wie?
-
Couchchief
- Beiträge: 75
- Registriert: 31.05.2007 14:19:14
hallo,
Ich kann dir leider mit keiner direkten Antwort helfen, aber dein Post hat mich auch zum Nachdenken und Schmökern gebracht.
Meine Idee war es das gesammte System zu verschlüsseln. Dabei, so denk ich's mir, muss das encrypten beim booten vorm mounten geschehen. Wenn man nu das System bootet müsste zunächst der kernel encrypten(/boot sei nicht verschlüsselt, crypt-kram fest im kernel kompiliert) und anschließend den ersten mount von grub gegeben bekommen (kernel /vmlinuz-2.6xxx root=/dev/hda5 ro). Danach sollte eigentlich alles so wie gehabt laufen.
Naja, so war mein Gedankengang.
ich kann dir leider nur ne link geben, der beim überfliegen recht hilfreich aussah:
http://wiki.ubuntuusers.de/System_verschl%C3%BCsseln
hoffe es hilft.
Ich kann dir leider mit keiner direkten Antwort helfen, aber dein Post hat mich auch zum Nachdenken und Schmökern gebracht.
Meine Idee war es das gesammte System zu verschlüsseln. Dabei, so denk ich's mir, muss das encrypten beim booten vorm mounten geschehen. Wenn man nu das System bootet müsste zunächst der kernel encrypten(/boot sei nicht verschlüsselt, crypt-kram fest im kernel kompiliert) und anschließend den ersten mount von grub gegeben bekommen (kernel /vmlinuz-2.6xxx root=/dev/hda5 ro). Danach sollte eigentlich alles so wie gehabt laufen.
Naja, so war mein Gedankengang.
ich kann dir leider nur ne link geben, der beim überfliegen recht hilfreich aussah:
http://wiki.ubuntuusers.de/System_verschl%C3%BCsseln
hoffe es hilft.
Zuletzt geändert von mjik am 09.02.2008 02:45:40, insgesamt 1-mal geändert.
-
Couchchief
- Beiträge: 75
- Registriert: 31.05.2007 14:19:14
-
devilx
- Beiträge: 734
- Registriert: 26.08.2003 22:57:20
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Filderstadt
-
Kontaktdaten:
Wenn die frage genehm ist: Wozu?
When you smile, the world smiles with you 
When you fart, you stand alone
... a place full of dorkness
When you fart, you stand alone
... a place full of dorkness
-
Couchchief
- Beiträge: 75
- Registriert: 31.05.2007 14:19:14
Ganz einfach deswegen weil in den logs auch genug sachen stehen die ich gern verschlüsselt haben möchte.
Das mit der verschlüsselten partition hab ich auch schon probier, aber das hat mit dem mounten nicht so geklappt. wenn ich das mit loop-aes verschlüssele, wie müsste der mount-befehl in der fstab aussehen? wäre da nicht ein verschlüsselter container besser?
Das mit der verschlüsselten partition hab ich auch schon probier, aber das hat mit dem mounten nicht so geklappt. wenn ich das mit loop-aes verschlüssele, wie müsste der mount-befehl in der fstab aussehen? wäre da nicht ein verschlüsselter container besser?
-
ckoepp
- Beiträge: 1409
- Registriert: 11.06.2005 20:11:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Nähe Heidelberg
Bei einem Webserver macht deine Idee zwar nur sehr begrenzt Sinn (der is eh immer online - Verschlüsselung hilft nur gegen physischen Zugriff und der ist eh unmöglich in einem Rechenzentrum).
Aber wenn du es unbedingt willst: Erstelle eine partition und lass sie unter /var/log mounten. Die Vorgehensweise ist identisch zu der deiner Home-Partition. Oder du erstellst einen Container und mountest den ebenfalls unter /var/log - würde dir eben die Partition ersparen, aber letztendlich geht doch eh alles über den mapper und von daher isses ja wurscht wie man es realisiert.
Aber wenn du es unbedingt willst: Erstelle eine partition und lass sie unter /var/log mounten. Die Vorgehensweise ist identisch zu der deiner Home-Partition. Oder du erstellst einen Container und mountest den ebenfalls unter /var/log - würde dir eben die Partition ersparen, aber letztendlich geht doch eh alles über den mapper und von daher isses ja wurscht wie man es realisiert.
"Es gibt kein Problem, das man nicht mit einem doppelten Scotch lösen könnte!"
Ernest Hemingway
Ernest Hemingway
-
Couchchief
- Beiträge: 75
- Registriert: 31.05.2007 14:19:14
-
devilx
- Beiträge: 734
- Registriert: 26.08.2003 22:57:20
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Filderstadt
-
Kontaktdaten:
Wo genau steht dein Webserver? Irgendwie verstehe ich immernoch nicht, warum darauf eine Verschluesselung laufen soll. Hast du Angst dass dir jemand die Festplatte ausbaut und versucht die Daten dann in einem Zweitrechner zu analysieren?
When you smile, the world smiles with you
When you fart, you stand alone
... a place full of dorkness
When you fart, you stand alone
... a place full of dorkness
alternativ kannst du die Daten ja auch durch ein regelmäßiges Löschen schützen.
Wenn du auch andere Bereiche verschlüsselt hast, gehe ich mal davon aus dass du lokalen Zugriff hast, da die ja auch ne Eingabe beim booten erwarten. In diesem Fall: regelmäßig auf einem externen Datenträger speichern und die Oroginale löschen würde wohl auch die Sicherheit bieten die du brauchst.
/var/log auf eine eigene Partition legen war der Gedanke den ich gester Abend hatte. War aber zu müde um das noch rüber zu bringen.
Ich weiß nicht wie sicher eine verschlüsselte Partition gegen Fehler ist aber ich kann mir vorstellen dass ein Fehler sich hier radikaler auswirkt als bei einer "normalen" Partition. Ein Verlust der logs wäre bei einem Server schon ziemlich unwünschenswert. Bei Attacken oder Einbruch sind sie es ja auch, die helfen sollen dem Täter auf die Spur zu kommen bzw den Einbruch zu rekonstruieren.
Aber nun gut, es scheint sich ja erledigt zu haben.
Wenn du auch andere Bereiche verschlüsselt hast, gehe ich mal davon aus dass du lokalen Zugriff hast, da die ja auch ne Eingabe beim booten erwarten. In diesem Fall: regelmäßig auf einem externen Datenträger speichern und die Oroginale löschen würde wohl auch die Sicherheit bieten die du brauchst.
/var/log auf eine eigene Partition legen war der Gedanke den ich gester Abend hatte. War aber zu müde um das noch rüber zu bringen.
Ich weiß nicht wie sicher eine verschlüsselte Partition gegen Fehler ist aber ich kann mir vorstellen dass ein Fehler sich hier radikaler auswirkt als bei einer "normalen" Partition. Ein Verlust der logs wäre bei einem Server schon ziemlich unwünschenswert. Bei Attacken oder Einbruch sind sie es ja auch, die helfen sollen dem Täter auf die Spur zu kommen bzw den Einbruch zu rekonstruieren.
Aber nun gut, es scheint sich ja erledigt zu haben.
-
Couchchief
- Beiträge: 75
- Registriert: 31.05.2007 14:19:14
So der Webserver steht in Frankreich. Ich habe keine direkten Zugriff. Ein Passwort kann ich als während des bootens nicht eingeben, da aber nur die Partion auf der /home liegt verschlüsselt ist, ist das pw beim booten gar nicht notwendig. ich mounte die verschlüsselte partition wenn der server hochgefahren ist. und für swap ist auch kein pw nötig da es mit loop-aes verschlüsselt ist und für jede sitzung ein zufallspw generiert wird das dann auch nur für die laufende sitzung gilt...