Seite 4 von 4
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Verfasst: 02.04.2021 08:47:53
von wanne
Kann das aber sein, das das verschlüsseln nur paar Sekunden gedauert hat ?
Es sollte ziemlich exakt 2 Sekunden dauern.
Hab gestern noch mal ein Versuch mit Gnome gestartet, der lief jetzt fast 24h und es war immer noch nicht fertig.
Google meint, Gnome überschreibt wohl per default alles ein mal mit Zufallszahlen und scheint auch noch stinke lahm, beim erstellen von diesen zu sein.
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Verfasst: 02.04.2021 10:07:07
von LinuxNewcomer
Auf jeden Fall hab ichs jetzt geschafft, vielen Dank für eure Hilfe und Geduld
Jetzt versuche ich das ganze am Anfang einmal zu entschüsseln, wenn ich das PW für die System Partition eingebe beim booten.
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Verfasst: 02.04.2021 12:13:23
von wanne
Jetzt versuche ich das ganze am Anfang einmal zu entschüsseln, wenn ich das PW für die System Partition eingebe beim booten.
/etc/crypttab
Du kannst da /dev/sdc1 einsetzen. Aber es ist nicht zu empfehlen, weil sich seit systemd die "Nummerirung" oder eher die Buchstabirung jederzeit ändern kann.
Schönste Variante ist: /dev/disk/by-partlabel/ (wenn du gpt nutzt kannst du partlabels mit fdisk oder den meisten anderen Partitionierungsprogrammen vergeben) Geht aber nur bei GPTs und nicht bei MBRs
Du kannst auch /dev/disk/by-uuid/ machen einfach gucken mit ls -l /dev/disk/by-uuid/ gucken welche UUID sdc1 hat. und das rein stopfen. Sieht etwas hässlich aus funktioniert aber zuverlässig.
/etc/fstab
Dann ein mal
Und danach sollte alles tun.
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Verfasst: 02.04.2021 12:16:34
von LinuxNewcomer
Hm, hätte das jetzt nach dieser Anleitung versucht.
https://davidyat.es/2015/04/03/encrypti ... t-install/
Woher bekommt die HDD das PW zum entschlüsseln, bei deiner Methode ?
Könnte ich das so eintragen in die crypttab ?
Code: Alles auswählen
Storage1 /dev/disk/by-uuid/f7d9f4c6-0c04-4575-8166-82e48dc3f68c
EDIT: Seh schon du hast wärend ich editiert habe auch schon was geschrieben
Dann passt ja meine Zeile mit der UUID, war für mich am einfachsten.
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Verfasst: 02.04.2021 12:22:30
von wanne
/ ist ja verschlüsselt. Du kannst das passwort also einfach darauf in einer Datei parken, die nur root lesen kann.
Als root
Code: Alles auswählen
install -m 600 /dev/null /etc/hdpw
echo -n password > /etc/hdpw
Dann ist der entsprechende Eintrag in der crypttab
dnach fstab und systemctl daemon-reload wie gesagt.
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Verfasst: 02.04.2021 12:27:59
von LinuxNewcomer
An die PW Datei kommt keiner ran, weil ja das System erst mal vor dem Booten entschüsselt werden muss. Ausser es kommt einer ran, wärend das System entschlüsselt ist und holt sich das aus der Datei ?
In die fstab dann so ?
Code: Alles auswählen
/dev/mapper/storage1 chown -R user:group /mnt/Storage1 auto defaults,dir_mode=0777,file_mode=0777 0 0
Oder mach ich das über uid / gid / mask ?
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Verfasst: 02.04.2021 14:14:07
von wanne
An die PW Datei kommt keiner ran, weil ja das System erst mal vor dem Booten entschüsselt werden muss.
Ja.
Ausser es kommt einer ran, wärend das System entschlüsselt ist und holt sich das aus der Datei ?
Aber dann hat er ja auch zugriff auf die Partition im Klartext.
In die fstab dann so ?
Nein.
Wie gesagt nur
Wenn du irgend welche Dateirechnte ändern willst musst du das machen, nachdem sie gemountet ist.
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Verfasst: 02.04.2021 14:31:30
von LinuxNewcomer
wanne hat geschrieben: 02.04.2021 14:14:07
Wenn du irgend welche Dateirechnte ändern willst musst du das machen, nachdem sie gemountet ist.
Fällt das beim nächsten Neustart nicht wieder weg ? Oder wird das dann irgendwo hinterlegt ?
Ich hatte das mal so gemacht, da ging das. War eine CIFS Freigabe und eine ext. HDD, dort hab ich das mit in die fstab gegeben. Geht das hier nicht weil das ein verschlüsselte Partition ist ?
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Verfasst: 03.04.2021 11:22:06
von LinuxNewcomer
wanne hat geschrieben: 02.04.2021 12:13:23
In der Datei steht schon die System SSD drin, dort wird es so geschrieben
Code: Alles auswählen
sda3_crypt UUID=10e75440-0359-4ba2-9b8b-9da4aaa89f99 none luks,discard
sda3_crypt, so wird die angelegt, für mich halt dann in meinem Fall, Storage1 z.b. UUID= kann man so oder so /dev/disk/by-uuid/10e7544 ... eingeben ?
Muss das discard noch mit ? Heißt ja verwerfen, was wird verworfen ?
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Verfasst: 03.04.2021 12:27:57
von wanne
LinuxNewcomer hat geschrieben: 03.04.2021 11:22:06
sda3_crypt, so wird die angelegt, für mich halt dann in meinem Fall, Storage1 z.b. UUID= kann man so oder so /dev/disk/by-uuid/10e7544 ... eingeben ?
Ja beide Varianten sollten unter Debian valide sein. Ich bin nur immer ein bisschen unsicher weil ein paar von den Varianten mit = (LABEL=, PARTLABEL=, PATH=...) unter ein paar distros nicht tun. Und das eher unübersichtlich ist, was wo tut. Insbesondere hat systemd ein paar Varianten gekillt. Dafür sollte es jetzt einheitlicher sein, was wo tut. Deswegen bevorzuge ich die /dev-Varianten, die überall immer tun.
LinuxNewcomer hat geschrieben: 03.04.2021 11:22:06
Muss das discard noch mit ? Heißt ja verwerfen, was wird verworfen ?
SSDs wird normalerweise verraten, welche Teile frei sind und welche nicht. So kann die die Abnutzung besser über alle Teile verteilen und hält länger. Beim löschen muss der Platte also mitgeteilt werden, dass die Blöcke jetzt frei sind. Das nennt man discard. Daneben muss zum Überschreiben der passende Block erst gelöscht werden. Dies kann die Platte vorsorglich machen, wenn sie weiß welche Blöcke frei sind.
Das kann eine Sicherheitslücke sein: Übliches Besipiel du lädst ein Video von dir ohne Gesicht auf die Seite hoch wo man jetzt nicht mehr hochladen darf. Hat 3495443467Byte. Wenn jetzt jemand deine Festplatte und sieht dass zu ähnlicher zeit eine Datei mit 3495443467Byte geschrieben wurde. Alternativ du bist Journalist und hast von irgend jemand ein Archiv von Dokumenten von der Mafia zugeschoben bekommen. Jetzt kommt der Mafiaboss und findet raus, dass auf auf der Platte deiner Quelle genau in der Reihenfolge Dateien mit den passenden Dateigrößen geschrieben wurden... Vor allem hinterlassen viele Programme absehbare Patterns und du kannst feststellen welche Programme von dir genutzt wurden. Das Datenloch ist nicht zu unterschätzen. Aber es ist eben auch nicht so, dass da jetzt plötzlich die Liebesbriefe enttarnt werden.
Das ist jetzt Abwägungssache, was dir wichtiger ist. Es muss allerdings gesagt werden, dass die Lebensverlängerung von discard nicht ganz riesig ist und manche sogar länger ohne discard leben und die meisten SSDs eh lange vor ihrem Lebensende entsorgt werden. (Weil es für den nächsten Rechner billig zig fach größer und schnellere gibt.) Der Geschwindigkeitsvorteil variiert von nicht messbar bis ordentlich. HDDs verstehen eh kein discard.
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Verfasst: 03.04.2021 12:33:20
von mcb
Ist Trim nicht standartmäßig aus ?
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Verfasst: 03.04.2021 14:34:33
von wanne
mcb hat geschrieben: 03.04.2021 12:33:20
Ist Trim nicht standartmäßig aus ?
Ging ein paar mal hin und her. Im Moment ist glaube ich der status, dass die meisten Dateisysteme (ext4/xfs) trim abgeschaltet haben, wenn man es nicht explizit in der fstab angeschaltet hat. Aber per default fstrim.service läuft, der alle Platten wo das möglich ist ein mal stündlich trimt. (Hintergrund ist wohl, dass sich einige Platten dämlich verhalten, wenn man zu oft kleine Bereiche trimt.) Das ist defakto kein Schutz, weil man an den Positionen abschätzen kann, in welcher Reihenfolge die Dateien geschrieben wurden. Daneben gibt es irgend wo eine Blacklist von Devices, wo trim kaputt ist.
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Verfasst: 10.04.2021 10:02:37
von LinuxNewcomer
HDD Standby, sollte dennoch klappen, oder geht das mit Verschlüsselung nicht ? Hab nach dieser Anleitung mal zwei HDD's eingerichtet, da tut sich aber nichts.
https://www.foxplex.com/sites/festplatt ... d-hd-idle/
Kann ich am Stromverbrauch sehen. Der Sollte ja dann sinken.
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Verfasst: 11.04.2021 16:32:26
von LinuxNewcomer
Hm, kann es sein, wenn man die Sys SSD verschlüsselt hat, Clonezilla nicht starten kann ? Ich hab jetzt Fast Boot aus, das heißt ich kann am Anfang wählen Debian oder Clonezilla, wenn ich Clonezilla wähle, startet es nicht, es gibt Fehlermeldungen und ich komme wieder zum Auswahlmenü. Unter anderem steht dort es muss erst ein Kernel geladen werden. Denke, weil Clonezilla mit auf der verschlüsselten SSD liegt, kommt es da nicht ran, weil ich es erst entschlüsseln müsste, richtig ?
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Verfasst: 14.09.2023 09:15:00
von LinuxNewcomer
wanne hat geschrieben: 03.04.2021 14:34:33
ich hab mal eine Frage. Ich ziehe auf ein neues System um. Ich nutze Proxmox und erstelle dort einen LXC. So die anderen HDD's sind ja jetzt verschlüsselt.
Ich muss die doch jetzt erst mal wieder im neuen System in dev/mapper bekommen, danach kann ich sie ja wieder in der fstab mounten.
Oder bekomme ich die HDD's über crypttab da rein ?
Vorher wurden die ja glaub durch den Prozess des Verschlüsselns und Formatierens in dev/mapper gebracht, das fällt ja jetzt weg.
Die HDDs stehen in der crypttab und werden in der fstab gemounted. Nur ist es jetzt so wenn ich die VM starte, will er von mir das Passwort für die hdds nacheinander. Ich denke er macht das mit der crypttab, oder muss ich die noch irgendwo hinpacken, oder dem System was sagen ?
Code: Alles auswählen
Storage1 /dev/disk/by-uuid/f7d9f4c6-0c04-4575-8166-82e48dc3f68c /etc/hdpw luks
Das pw hab ich ja so angelegt.
Code: Alles auswählen
sudo install -m 600 /dev/null /etc/hdpw
sudo echo -n password > /etc/hdpw