Debian verschlüsseln

[monumentum]

Hallo,

ich möchte meine Maschine mal neu aufsetzen. Folgendermaßen sieht es aus:

Vierkerner, 12GB RAM -> amd64 würde ich als Architektur nehmen.

Auf einer SSD (128GB) soll Debian selbst liegen, auf einer 640GB großen Platte dann /home und auf einer 300GB großen Platte diverse virtuelle Maschinen (Nur Testzwecke, z.B. Windows 2000 oder Ubuntu 8.04)

Ich würde gerne SSD + /home verschlüsseln, sodass ich beim Start nur ein Passwort eingeben muss und beide Platten entsperrt sind. Ebenso möchte ich den Suspend-to-RAM und Suspend-to-Disk weiter nutzen können.

Was muss ich wie im Installer machen? Swap brauche ich wohl eher nicht, oder?

Besten Dank!
monumentum

[DeletedUserReAsG]

Wenn du Suspend to Disk haben willst, wirst du wohl Swap brauchen ….

[monumentum]

Hmm. Swapfile dann 1,2% des RAMs? Wie muss ich denn dann partitionieren? Vermutlich LVM, aber wie genau? Ich möchte ja auch die SSD nicht überbelasten - mit LVM hab ich null Erfahrung.

[whoami]

Anleitung: http://www.andreas-janssen.de/cryptodisk.html

[monumentum]

Ich lese daraus leider nicht, wie ich mein Setup mit zwei Platten und nur einem Passwort anstelle.

[DeletedUserReAsG]

Hmm. Swapfile dann 1,2% des RAMs? Wie muss ich denn dann partitionieren? Vermutlich LVM, aber wie genau? Ich möchte ja auch die SSD nicht überbelasten - mit LVM hab ich null Erfahrung.

Wenn du den gesamten RAM-Inhalt nach Swap schreiben willst, werden 1.2% nicht ausreichen.

[monumentum]

Also ist Suspend-to-Disk dann eher zu vergessen, wenn ein LVM nicht möglich ist?

Gäbe es denn eine Möglichkeit, beide Platten mit einem Passwort zu entsperren?

[Radfahrer]

http://wiki.ubuntuusers.de/System_versc ... lableitung

Was das swap angeht: Du brauchst für suspend to disk natürlich mindestens so viel swap, wie RAM vorhanden ist. Wie kommst du auf 1.2%?

Und was meinst du mit SSD überlasten?

[monumentum]

Dann müsste ich also für eine Verschlüsslung die Root-Partition verschlüsseln, und dann wie im Ubuntuusers-Wiki beschrieben jeweils /home und Swap mit einem abgeleiteten Schlüssel encrypten? Wenn ich das Passwort für / ändere, muss ich dann an /home und swap noch irgendwelche Änderungen vornehmen? Wie setze ich dieses Setup dann im Installer um?

1,2% - da war ich nicht ganz anwesend. Ich meinte 120%.

Und mit "SSD überlasten" meinte ich vorrangig, sie mit unnötigen Schreibzugriffen ins Grab zu bringen.

[wanne]

Wenn du den gesamten RAM-Inhalt nach Swap schreiben willst, werden 1.2% nicht ausreichen.

Ja, aber du kannst des SWAP tatsächlich kleiner als den RAM machen. Wird ja mittlerweile sogar komprimiert. Ußerdem werden keine Filesystem-Caches geschrieben. Typischerweise ist ein SWAP-File/Partitionen bei größeren RAM-Größen 2/5 des RAMs. Unter /sys/power/image_size kann man einstellen wie groß man es den gerne hätte. (Wobei man natürlcih nicht garantieren kann, dass es dann wirklich so klein wird. Beliebig klein kann man Daten nunmal nicht machen)
Verstehe sowieso nicht, wieso alle zuerst unsummen für RAM ausgeben und dann aber unbedingt an jedem Bit auf ihrer SSD an SWAP sparen müssen, obwohl der das system ordentlich beschleunigen könnte.
BAer in den 90ern hat sich irgend wie eingebrägt RAM – Gut, SWAP – Böse.

[monumentum]

Ich meinte - wie schon geschrieben - das 1,2fache, nicht 1,2%

[wanne]

Ich hatte das zuerst auch so gelesen und musste dann meinen ganzen Beitrag nochmal umschreiben, weil 1,2% natürlich viel zu wenig sind.

[Radfahrer]

Und mit "SSD überlasten" meinte ich vorrangig, sie mit unnötigen Schreibzugriffen ins Grab zu bringen.

Das ist Unsinn. Wenn du sie nicht benutzen willst, hättest du sie nicht zu kaufen brauchen. Außerdem sind SSDs mittlerweile mindestens so robust wie HDDs.
Und gerade da, wo es viele Schreib/Lesezugriffe gibt, ergibt eine SSD Sinn, weil genau da die höhere Geschwindigkeit zum Tragen kommt.
Bei Daten, auf die nur selten zugegriffen wird, bietet eine SSD so gut wie keinen Vorteil.

[monumentum]

Na gut, du hast gewonnen

Wäre mein Ansatz mit der Schlüsselableitung so korrekt?

[wanne]

Die einfahcste Variant ist einfach den Schlüssel in eine Datei zu schreiben und die irgend wo auf / abzulegen. In der Crypttab in der 3. Spalte kannst du eintragen, wo der schlüssel liegt.
Problem bleibt glaube ich suspend to disk: Zuerstmal wird typischerweise SWAP einfahc mit einem zufälligen schlüssel verschlüsselt. Das willst du nicht, weil du das image ja nach dem reboot wieder lesen können willst.
Leider bin ich mir nicht sicher, ob beim aufwachen aus dem suspend to disk die crypttab schon gelesen wird, bevor der swap gebraucht wird. Musst du mal ausprobieren.

[rhHeini]

Anleitung: http://www.andreas-janssen.de/cryptodisk.html

Ist als Grundinformation recht nett, aber fehlerbehaftet. Ich habe mich vor Jahren mal dran langgehangelt und meine Erfahrungen in
http://debianforum.de/forum/viewtopic.p ... 86#p736418 zusammengefasst.

Schau ausserdem mal http://debianforum.de/forum/viewtopic.php?f=27&t=148342 an. Zeigt wie man Debian üvber den Installer selber verschlüsselt aufsetzt.

Ein bischen im Forum stöbern schadet nicht.

Mfg rh