verstaendnisfrage verschluesselung

[ben.a]

Hallo,

ich wuerde Debian gerne verschluesselt auf einem Laptop installieren. Genauer gesagt sollten die persoenlichen Daten (/home und swap) verschluesselt werden. Als nicht notwendig hingegen wuerde ich eine Verschluesselung des Systems erachten (Einwaende ?).

Zu dem Thema gibt es viele HowTos, die jeweils eine Moeglichkeit erklaeren. Ich wuerde gerne einen Vergleich mehrerer Moeglichkeiten haben. Ueber die folgenden habe ich gelesen.

(a)
Der DebianInstaller schlaegt bei "gefuehrter Partitionierung" eine grosse verschluesselte Partition vor, welche mit LVM in / (ohne /boot), /home und swap aufgeteilt wird.

(b)
Eine Alternative zu (a): / in eine unverschluesselte Partition. In die verschluesselte Partition nur zwei LV mit /home und swap

(c)
Ohne LVM: eine verschluesselte Partition (dm-crypt) fuer /home, und eine weitere (aes-loop) mit zufaellig generiertem Passwort fuer swap.

Koenntet ihr die Moeglichkeiten kommentieren und gegebenenfalls modifizieren ?

Viele Gruesse
ben

[Danielx]

Brauchst du Suspend-to-Disk?
Das funktioniert nämlich bei (c) nicht, bei (a) hingegen schon (bei (b): keine Ahnung).

Gruß,
Daniel

[ben.a]

Ich benutze gern Suspend-to-RAM waehrend der Mittagspause. To-Disk verwende ich nicht.

Es waere auch schoen, wenn das weiterhin, also mit Verschluesselung, funktionieren wuerde.

EDIT: Eine Frage habe ich vergessen: die Daten in /tmp wuerden in (b) und (c) nicht verschluesselt. (Wann) Ist das ein Problem ?

[Danielx]

Suspend-to-RAM funktioniert immer, egal wie bzw. was du verschlüsselst.

edit:

Eine Frage habe ich vergessen: die Daten in /tmp wuerden in (b) und (c) nicht verschluesselt.

Ja, das wollte ich gerade auch noch erwähnen:
Das würde ich ebenfalls verschlüsseln.

(Wann) Ist das ein Problem ?

Ja, sobald dort ein Programm etwas ablegt, was du lieber verschlüsselt haben möchtest.

Gruß,
Daniel

[schwedenmann]

Hallo

a) würde ich sagen ist eigentlich die Standdardmethode

1 großes physikalisches encrypted device, eine separtae unverschlküselte /boot, in das crypütdevice dann per LVM / /home und ev. noch andere Volumes wie /var, oder /srv und natürlich /swap.


mfg
schwedenmann.

[ben.a]

Vielen Dank.
Ich werde also alles ausser /boot verschluesseln, nach Methode (a). Zunaechst dachte ich, das sei Overkill. Aber es scheint die einfachste - und damit robusteste - Konfiguration zu sein.

Gruesse
ben

[coresploit]

Prinzipiell bin ich erst mal für eine vollständige Verschlüsselung, also die ganze Platte mit einem Crypto/LVM. Wenn das Notebook dazu von der Leistung her nicht in der Lage ist, empfehle ich neben /home auch noch /tmp, /var/log, /var/spool usw. Bei einem Notebook würde ich sogar so weit gehen, dass ich /tmp, /var/log und /var/run komplett in den RAM verlegen würde, selbst bei einer vollständigen Verschlüsselung. Es besteht allerdings immer die Gefahr, dass ein "Leck" entsteht, dh. dass daten in einen unverschlüsselten Bereich kommen und somit auslesbar werden.

// EDIT: Zu spät...

[suno]

Ich werde also alles ausser /boot verschluesseln, nach Methode (a). Zunaechst dachte ich, das sei Overkill. Aber es scheint die einfachste - und damit robusteste - Konfiguration zu sein.

Es hat seinen Grund warum der Debian Installer macht was er macht (lvm oberhalb des crypt Layers) [0]. Bei Enterprise Umgebungen macht man es oft manuell LVM unter crypt Layer. Mach ganz einfach was der Debian Installer vorgibt, dass ist schon in Ordnung so.

Hier ist die schematische Darstellung zu den einzelnen Schichten des Storage Stacks und wie diese in welcher Situation "gestapelt/geschachtelt" sind:
http://sunoano.name/ws/public_xhtml/lvm ... ng_volumes

Der Dreh und Angelpunkt hier ist was der Debian Installer fuer alles ausser /boot macht; von unten beginnend:
- block device (z.B. HDD, RAID Array, LUN, etc.)
- encryption (optional)
- lvm (optional)
- filesystem

[0] dann ist da noch die Tatsache das alte Menschen (so ab 30 *g*, bin selber 31) irgendwann nach 13 Jahren Debian einfach nur noch durch einen graphischen GUI installer klicken wollen. Man hat ja auch ein Leben, Job, Familie usw ... man man man, waren das noch geile Zeiten vor 10 Jahren. Nur ich, die Mietze Katze, ein paar Fische, die Uni ... massig Zeit. Was ist bloss passiert.

[ben.a]

Ja, dachte mir schon, dass der Installer keinen Unsinn vorschlaegt. Ein kleines bisschen informieren wollte ich mich trotzdem (unter anderem auf sunos seite), ausserdem die Groessen der Partitionen aendern, also den Installer-Vorschlag manuell zusammenbasteln koennen.

Fuer die Auslagerung von /tmp usw in den RAM ist mein Rechner nicht gut genug. Beim naechsten vielleicht...

Vielen Dank fuer all eure Kommentare
ben

[suno]

Ja, dachte mir schon, dass der Installer keinen Unsinn vorschlaegt. Ein kleines bisschen informieren wollte ich mich trotzdem (unter anderem auf sunos seite),

klar, ist immer gut, man kann nie genug wissen

ausserdem die Groessen der Partitionen aendern, also den Installer-Vorschlag manuell zusammenbasteln koennen.

Du kannst einfach den GUI expert mode beim Installer waehlen. Das ist komfortabel und erlaubt dennoch detaillierte Eingriffe wie z.B. welches Dateisystem man auf das LV gibt, wie gross ein LV wird usw.

Fuer die Auslagerung von /tmp usw in den RAM ist mein Rechner nicht gut genug. Beim naechsten vielleicht...

Die Ideen/Ambitionen hatten/haben wir alle irgendwann ... wirklich machen tuts dann selten einer weil das tripple aus Zeitaufwand, Sinnhaftigkeit und auch Usability/Maintainability einfach schlecht ist. Ich habe so Zeug auch gemacht, Datenbank in die Ramdisk usw. ... Aus heutiger Sicht koennte ich mir mit der Bratpfanne eines ueberziehen ... mit der Zeit haette ich Besseres anfangen können wie z.B. eine neue Sprache lernen oder so ... etwas wirklich sinnvolles halt aber nicht ne doofe Ramdisk basteln und maintainen