Tag zusammen,
ich wollte mal wissen was ihr für ein prog zum crypten einer platte vorschlagen würdet? Es soll am ende halt so sein dass auf der gecrypteten Platte meines Roots ein Forum läuft, das homeverzeichnis liegt und ein naja flux läuft...
Danke im voraus für eure Hilfe...
Crypten einer Festplatte
-
Couchchief
- Beiträge: 75
- Registriert: 31.05.2007 14:19:14
Danke für den Tip, das dm-crypt sieht ja schon bei weitem handlicher aus wie true-crypt. Ich denke das werde ich verwenden.
Jetzt habe ich nur noch eine Frage, ist es doch wahrscheinlich ziemlich unsinnig wenn ich das entesperren der Partition über eine Key-File mache oder? denn nen USB-Stick kann ich ja schlecht an den Webserver anschliesen. Und wenn ich die Key-File auf dem Webserver selber speichere hätte ich mir doch das Verschlüsseln von Anfang an sparen können. Oder sehe ich das falsch?
Hast du ne Ahnung wie das ist wenn ich einstelle dass der das Dateisystem automatisch mountet beim Start. Dann muss ich ja das PW beim Systemstart manuell eingeben, was ja bei nem Webserver auch schlecht geht. Startet der dann überhaupt noch komplett?
Jetzt habe ich nur noch eine Frage, ist es doch wahrscheinlich ziemlich unsinnig wenn ich das entesperren der Partition über eine Key-File mache oder? denn nen USB-Stick kann ich ja schlecht an den Webserver anschliesen. Und wenn ich die Key-File auf dem Webserver selber speichere hätte ich mir doch das Verschlüsseln von Anfang an sparen können. Oder sehe ich das falsch?
Hast du ne Ahnung wie das ist wenn ich einstelle dass der das Dateisystem automatisch mountet beim Start. Dann muss ich ja das PW beim Systemstart manuell eingeben, was ja bei nem Webserver auch schlecht geht. Startet der dann überhaupt noch komplett?
Ja, das macht keinen Sinn.Couchchief hat geschrieben:ist es doch wahrscheinlich ziemlich unsinnig wenn ich das entesperren der Partition über eine Key-File mache oder? denn nen USB-Stick kann ich ja schlecht an den Webserver anschliesen. Und wenn ich die Key-File auf dem Webserver selber speichere hätte ich mir doch das Verschlüsseln von Anfang an sparen können.
Ohne Passwort?Couchchief hat geschrieben:Startet der dann überhaupt noch komplett?
Wenn du root (/) verschlüsselt hast natürlich nicht.
Gruß,
Daniel
das gesamte root sys zu verschlüsseln macht äußerst wenig sinn. Weil was du verschlüsselst sind dann auch die verzeichnisse etc, bin, sbin etc... diese enthalten wichtige anwendungen, u.a. für den Systemstart. Außerdem ist dies sinnlos, weil man ohne root-rechte dort sowieso äußerst wenig anrichten kann.
Ich gehe davon aus, dass dir die "daten" wichtig sind. Also schlage ich folgendes vor:
Ich gehe davon aus, dass dir die "daten" wichtig sind. Also schlage ich folgendes vor:
- 1. swap verschlüsseln --> geht mittels luks und auch loop-aes (empfehlung für swap, da leichter). Er würde dann für die swap bei jedem boot n zufallspw erstellen und dann kann man die daten äußerst schwer wiederherstellen. =) Falls das gelingt müsste man sie noch entschlüsseln
2. /tmp mittels dem selben verfahren (s.1.) per zufallskey versclhüsseln
3. das home-verzeichnis mittels luks/crypts. verschlüsseln und nach jedem neustart per script, das du als root ausführst, entschlüsseln und mounten.
4. /var/log etc ebenfalls verschlüsseln und in das script von 3. einbinden
Habe ich auch verschlüsselt, ist doch kein Problem.bonbon2k6 hat geschrieben:das gesamte root sys zu verschlüsseln macht äußerst wenig sinn. Weil was du verschlüsselst sind dann auch die verzeichnisse etc, bin, sbin etc... diese enthalten wichtige anwendungen, u.a. für den Systemstart.
Man muss halt nur dafür sorgen, dass die initrd die root-Partition vor dem eigentlichen Hochfahren entschlüsselt, mit vorheriger Passwortabfrage natürlich.
Am einfachsten macht man das mit dem Debian-Installer und der Option gesamte Festplatte verschlüsseln (wird mit LUKS, cryptsetup und LVM erledigt).
Wenn man diesem Argument folgen würde, dann bräuchte man gar nichts verschlüsseln.bonbon2k6 hat geschrieben:Außerdem ist dies sinnlos, weil man ohne root-rechte dort sowieso äußerst wenig anrichten kann.
Sobald der Server hochgefahren ist sind doch eh alle Daten für denjenigen sichtbar der die entsprechenden Rechte für diese Dateien hat, egal ob diese auf der Platte selbst verschlüsselt sind, das System sieht die Daten ja nach Eingabe des Passworts unverschlüsselt!
Es geht doch hierbei wohl eher darum, dass niemand auf die Daten zugreifen kann, wenn jemand den Server ausschaltet und mitnimmt/klaut, oder?
Wenn man verhindern will, dass dann die Log-Dateien lesbar sind, macht es auch Sinn root (/) zu verschlüsseln oder wenigstens die Verzeichnisse in denen sich diese befinden.
Gruß,
Daniel
Na ich gehe davon aus, dass er eben seine Daten schützen will. Die Programme die Linux mit sich bringt sind ja kein geheimnis =) Und wenn er eigene programme nutzt - die ein geheimnis sind - kann er dir ja in /home/bin o.ä. packen.Wenn man diesem Argument folgen würde, dann bräuchte man gar nichts verschlüsseln. Confused
Naja, allerdings funktioniert da wahrscheinlich sein ssh zugriff noch nicht. Deswegen ja =)Man muss halt nur dafür sorgen, dass die initrd die root-Partition vor dem eigentlichen Hochfahren entschlüsselt, mit vorheriger Passwortabfrage natürlich.
Am einfachsten macht man das mit dem Debian-Installer und der Option gesamte Festplatte verschlüsseln (wird mit LUKS, cryptsetup und LVM erledigt).
deswegen soll er ja /var/log etc verschlüsseln.Wenn man verhindern will, dass dann die Log-Dateien lesbar sind, macht es auch Sinn root (/) zu verschlüsseln oder wenigstens die Verzeichnisse in denen sich diese befinden.
btw:
ist dies möglich? der fragt dann gleich beim installieren, ob er das komplette sys verschlüsseln soll? (hab noch nie was davon gehört - wäre aber interessant)Am einfachsten macht man das mit dem Debian-Installer und der Option gesamte Festplatte verschlüsseln (wird mit LUKS, cryptsetup und LVM erledigt).
mfg
Ich zitiere dich gerne nochmals:bonbon2k6 hat geschrieben:Na ich gehe davon aus, dass er eben seine Daten schützen will. Die Programme die Linux mit sich bringt sind ja kein geheimnis =)Wenn man diesem Argument folgen würde, dann bräuchte man gar nichts verschlüsseln. Confused
Du begründest das Nicht-Verschlüsseln der root-Partition damit, dass man ohne root-Rechte eh nicht auf die Daten zugreifen kann.bonbon2k6 hat geschrieben:Außerdem ist dies sinnlos, weil man ohne root-rechte dort sowieso äußerst wenig anrichten kann.
Ohne die entsprechenden Rechte kannst du auf keine Daten zugreifen, auch nicht auf Userdaten!
Das ersetzt aber nicht die Verschlüsselung!
Deswegen ja die serielle Konsole!bonbon2k6 hat geschrieben:Naja, allerdings funktioniert da wahrscheinlich sein ssh zugriff noch nicht. Deswegen ja =)
Der Etch-Installer fragt kurz vor der Partitionierung danach!bonbon2k6 hat geschrieben:ist dies möglich? der fragt dann gleich beim installieren, ob er das komplette sys verschlüsseln soll? (hab noch nie was davon gehört - wäre aber interessant)
edit: Hier steht das mit dem verschlüsselten LVM:
http://www.debian.org/releases/stable/i ... de#partman
Gruß,Wenn Sie Geführte Partitionierung wählen, haben Sie drei Möglichkeiten: Partitionen direkt auf der Festplatte erzeugen (die klassische Methode), LVM (Logical Volume Management) benutzen oder verschlüsseltes LVM benutzen
Daniel
-
Couchchief
- Beiträge: 75
- Registriert: 31.05.2007 14:19:14
Oh mann ihr macht mich noch paranoider als ich eh schon bin 
Also ich hatte eigentlich nur vor eine partition anzulegen, diese zu verschlüsseln und dann auf diese partition home mounten. in home würde ich dann meine im apache angelegten virtuellen server legen. das wäre schon genug meiner meinung nach.
Ich hätte mich an die anleitung in diesem Tut gehalten: http://www.andreas-janssen.de/cryptodisk.html
Ich bin mir halt auch nicht sicher ob es wirklich nötig ist die logs zu verschlüsseln. Denn das was bei einem Webserver meiner Meinung nach interessant sind, das sind doch dir verbindungslogs. und so wie die gesetze mittlerweile sind ist dazu ja mein provider verpflichtet. also hab ich darauf eh schon mal keinen einfluss. Ich weis nicht, ist es wirklich sinnvoll die logs zu verschlüsseln?
Also ich hatte eigentlich nur vor eine partition anzulegen, diese zu verschlüsseln und dann auf diese partition home mounten. in home würde ich dann meine im apache angelegten virtuellen server legen. das wäre schon genug meiner meinung nach.
Ich hätte mich an die anleitung in diesem Tut gehalten: http://www.andreas-janssen.de/cryptodisk.html
Ich bin mir halt auch nicht sicher ob es wirklich nötig ist die logs zu verschlüsseln. Denn das was bei einem Webserver meiner Meinung nach interessant sind, das sind doch dir verbindungslogs. und so wie die gesetze mittlerweile sind ist dazu ja mein provider verpflichtet. also hab ich darauf eh schon mal keinen einfluss. Ich weis nicht, ist es wirklich sinnvoll die logs zu verschlüsseln?
Das ist schonmal nicht schlecht.Couchchief hat geschrieben:Also ich hatte eigentlich nur vor eine partition anzulegen, diese zu verschlüsseln und dann auf diese partition home mounten.
Nein, dein Provider ist gesetzlich nicht verpflichtet da irgendwelche Verbindungen zu loggen (in Deutschland).Couchchief hat geschrieben:Denn das was bei einem Webserver meiner Meinung nach interessant sind, das sind doch dir verbindungslogs. und so wie die gesetze mittlerweile sind ist dazu ja mein provider verpflichtet.
Naja, wenn man schonmal am Verschlüsseln ist...Couchchief hat geschrieben:Ich weis nicht, ist es wirklich sinnvoll die logs zu verschlüsseln?
Aber besser nur Home verschlüsseln als gar nicht verschlüsseln.
Gruß,
Daniel
Da bist du aber meines Wissens halbwegs falsch informiert. Seit dem 01.01.2008 ist nämlich das neue Gesetz zur Vorratsdatenspeicherung in Deutschland in Kraft und das schreibt dem Provider sehr wohl vor, nach Ablauf einer Einführungsfrist (an deren Zeitpunkt ich mich nicht mehr erinnere ^^), die Verbindungsdaten zu speichern. Im Falle von Webservern hat der Administrator da keine Verpflichtungen, im Falle von anderen Diensten, speziell Mailservern, aber sehr wohlDanielx hat geschrieben:Nein, dein Provider ist gesetzlich nicht verpflichtet da irgendwelche Verbindungen zu loggen (in Deutschland).
Ich bin genauestens über die Vorratsdatenspeicherung informiert. 
Und nein der Provider bietet ja in diesem Fall keinen E-Mail-Dienst an (bezogen auf Couchchiefs-Server) und müsste somit auch keine Verbindungsdaten zu Couchchiefs Server erheben.
Wenn dann würde dies Couchchief mit seinem Server tun (wenn er das denn vor hätte) und müsste die entsprechenden Daten loggen, vorausgesetzt er würde den E-Mail-Dienst nicht nur alleine für sich selbst nutzen!
Und bei einem normalen Webserver muss sowieso nichts gespeichert werden!
Gruß,
Daniel
Und nein der Provider bietet ja in diesem Fall keinen E-Mail-Dienst an (bezogen auf Couchchiefs-Server) und müsste somit auch keine Verbindungsdaten zu Couchchiefs Server erheben.
Wenn dann würde dies Couchchief mit seinem Server tun (wenn er das denn vor hätte) und müsste die entsprechenden Daten loggen, vorausgesetzt er würde den E-Mail-Dienst nicht nur alleine für sich selbst nutzen!
Und bei einem normalen Webserver muss sowieso nichts gespeichert werden!
Gruß,
Daniel
Entschuldige, ich denke, ich habe mich missverständlich ausgedrückt: Bei normalen Webserverzugriffen muss adminseitig nichts geloggt werden, weil die der ISP (Zugangsprovider aka TK-Anbieter, nicht Serverprovider ) im Rahmen der VDS speichern muss.
Bzgl. Betreibern von Emailservern muss dann adminseitig gespeichert werden, wie gesagt. Wobei das Gesetz keine klaren Worte zu privaten Mailservern, auf denen nur der Betreiber selber Emailverkehr abwickelt, beinhaltet. Da ist sich die juristische Gemeinde noch uneins, wird also erst nach dem ersten Präzedenzfall feststehen, ob man als Betreiber dann wirklich nicht unter die VDS fällt (jedenfalls im Rahmen einer schnellen Bereitstellung von Lauschmöglichkeiten). Allerdings ist der Fall, dass man wirklich für seinen eigenen Mailverkehr Abhörwege bereitstellen muss, so schizophren, dass du für diesen wohl Recht behalten wirst
) im Rahmen der VDS speichern muss.Bzgl. Betreibern von Emailservern muss dann adminseitig gespeichert werden, wie gesagt. Wobei das Gesetz keine klaren Worte zu privaten Mailservern, auf denen nur der Betreiber selber Emailverkehr abwickelt, beinhaltet. Da ist sich die juristische Gemeinde noch uneins, wird also erst nach dem ersten Präzedenzfall feststehen, ob man als Betreiber dann wirklich nicht unter die VDS fällt (jedenfalls im Rahmen einer schnellen Bereitstellung von Lauschmöglichkeiten). Allerdings ist der Fall, dass man wirklich für seinen eigenen Mailverkehr Abhörwege bereitstellen muss, so schizophren, dass du für diesen wohl Recht behalten wirst
Da haben wir wohl etwas aneinander vorbeigeredet.
Damit ist dann aber erstmal keine Zuordnung möglich, wer auf welche Internetseite bzw. Webserver (E-Mail-Dienst ausgenommen) zugegriffen hat, es sei denn der angesurfte Webserver würde auf freiwilliger Basis Logdateien erstellen.
Käme man dann an diese Logdateien, dann wäre eine Zuordnung möglich.
Ich bin schon gespannt, wie die Entscheidung des BVerfG bzgl. der Vorratsdatenspeicherung ausfallen wird.
Gruß,
Daniel
Ein Internetzugangsprovider muss ja nur speichern wem wann welche IP zugewiesen wurde (und von welchem Anschluss aus u.s.w)Igno hat geschrieben:Bei normalen Webserverzugriffen muss adminseitig nichts geloggt werden, weil die der ISP (Zugangsprovider aka TK-Anbieter, nicht Serverprovider
Damit ist dann aber erstmal keine Zuordnung möglich, wer auf welche Internetseite bzw. Webserver (E-Mail-Dienst ausgenommen) zugegriffen hat, es sei denn der angesurfte Webserver würde auf freiwilliger Basis Logdateien erstellen.
Käme man dann an diese Logdateien, dann wäre eine Zuordnung möglich.
Ich bin schon gespannt, wie die Entscheidung des BVerfG bzgl. der Vorratsdatenspeicherung ausfallen wird.
Gruß,
Daniel
-
Couchchief
- Beiträge: 75
- Registriert: 31.05.2007 14:19:14
So Leute, ich hab mich jetzt erst mal dafür entschieden die eine partition zu verschlüsseln. Und darauf dann home zu mounten und dort meine Dateien abzulegen und die virtuellen server für diverse hp's einzurichten. Das mit den logs find ich ehrlich gesagt ein wenig zu übertrieben. Die Swap wäre vielleicht auch noch ne idee, aber da weis ich auch nicht ob das wirklich nötig ist...
Ich danke euch auf jeden fall für eure umfangreiche hilfe...
Ich danke euch auf jeden fall für eure umfangreiche hilfe...
Also in einem Server ist das allerwichtigste die Logs und Home zu Verschlüsseln (wenn man Verschlüsseln will). Ein fähiger Cracker (ja die meisten sagen Hacker - aber da gibt es Unterschiede *G) kann sehr viel mit den Auswertungen der Logfiles machen.
Als Beispiel: Die smnb.log (Samba), damit ist es ohne Probleme zu sehen welcher Rechner welche Datei über das Netzwerk öffnet. Sieht man das der ClientX mit der IP 192.168... nur Montags Zugriffe macht und dann auf die Datei "dassdvs.ver", kann er davon ausgehen das der Rechner (ClientX) für die Buchhaltung ist (dassdvs.ver ist eine typische Datev Datei), und das die Buchhaltung nur Montags dort ist.
Der nächste Schritt wäre ... ok, lassen wir das.
Ich denke es ist klar das Logfiles auch abgesichert sein sollten.
Als Beispiel: Die smnb.log (Samba), damit ist es ohne Probleme zu sehen welcher Rechner welche Datei über das Netzwerk öffnet. Sieht man das der ClientX mit der IP 192.168... nur Montags Zugriffe macht und dann auf die Datei "dassdvs.ver", kann er davon ausgehen das der Rechner (ClientX) für die Buchhaltung ist (dassdvs.ver ist eine typische Datev Datei), und das die Buchhaltung nur Montags dort ist.
Der nächste Schritt wäre ... ok, lassen wir das.
Ich denke es ist klar das Logfiles auch abgesichert sein sollten.
gegen jemanden der sich shell auf einem laufenden server shell access (oder mit nem exploit ne root shell) verschafft, bringt transparente verschluesselung garnix, weil natuerlich kann er das lesen.Ein fähiger Cracker (ja die meisten sagen Hacker - aber da gibt es Unterschiede *G) kann sehr viel mit den Auswertungen der Logfiles machen.
wenn du die logs davor schuetzen willst, musst du ne verschluesselung in logrota einbauen, so dass die tar.gz jeweils
(zum beispiel mit deinem gpg key) verschluesselt werden.
-
Couchchief
- Beiträge: 75
- Registriert: 31.05.2007 14:19:14
-
Couchchief
- Beiträge: 75
- Registriert: 31.05.2007 14:19:14
Hi.
Habe die Diskussion nur Überflogen, aber ich denke, ich habe noch einen Tipp:
Wenn ihr nur einzelne Verzeichnisse verschlüsseln wollt (und nicht ganze Partitionen), dann guckt euch mal encfs an. Es braucht fuse und ermöglicht es, einzelne Ordner zu Verchlüsseln. Als Algorithmen werden Blowfisch und AES angeboten, sowie einiges an zusatzeinstellungen.
Das Manual ist auch ganz nett dazu. Man kann z.B. den Key (zum entschlüsseln braucht man Key und PW) auf einem USB-Stick oder einem Webserver auslagern...
Gruß manu
Habe die Diskussion nur Überflogen, aber ich denke, ich habe noch einen Tipp:
Wenn ihr nur einzelne Verzeichnisse verschlüsseln wollt (und nicht ganze Partitionen), dann guckt euch mal encfs an. Es braucht fuse und ermöglicht es, einzelne Ordner zu Verchlüsseln. Als Algorithmen werden Blowfisch und AES angeboten, sowie einiges an zusatzeinstellungen.
Das Manual ist auch ganz nett dazu. Man kann z.B. den Key (zum entschlüsseln braucht man Key und PW) auf einem USB-Stick oder einem Webserver auslagern...
Gruß manu