debianforum.de

Hi,

ich habe hier Debian Jessie auf einem Rechner und will ihn nachträglich komplett vercrypten.

Was könnt ihr mir empfehlen? Kann ich nachträglich cryptsetup anwenden, oder muss ich sowas, wie veracrypt verwenden?

Gruß

Den /home-Ordner könntest du nachträglich verschlüsseln.

Komplett kannst du es theoretisch machen indem du alles sicherst, das Layout so erstellst wie du es haben willst und dann alles wieder zurück kopierst. Zumindest ist mir keine andere Methode bekannt. Allerdings musst du dann alles mögliche anpassen.

Ich denke du würdest mit einer Neuinstallation leichter zum Ergebnis kommen.

gbotti hat geschrieben:Den /home-Ordner könntest du nachträglich verschlüsseln.

Komplett kannst du es theoretisch machen indem du alles sicherst, das Layout so erstellst wie du es haben willst und dann alles wieder zurück kopierst. Zumindest ist mir keine andere Methode bekannt. Allerdings musst du dann alles mögliche anpassen.

Ich denke du würdest mit einer Neuinstallation leichter zum Ergebnis kommen.

Das bezweifle ich. Ich habe derzeit 3903 Pakete installiert - die alle exakt genauso zu installieren und zu konfigurieren ist eine Heidenarbeit.

Gruß

/etc/ sichern und partiell wiederherstellen?

Hat er doch gesagt: das ist ’ne Heidenarbeit. Christen machen sowas nicht. [scnr]

Wenn’s keine Neuinstallation sein soll: System/Daten sichern, Partition(en) verschlüsselt einrichten, System/Daten zurückkopieren, Bootloader und initrd anpassen, fertig.

weedy hat geschrieben:Hi, ich habe hier Debian Jessie auf einem Rechner und will ihn nachträglich komplett vercrypten.
Was könnt ihr mir empfehlen? Kann ich nachträglich cryptsetup anwenden, oder muss ich sowas, wie veracrypt verwenden?Gruß

Das ist eine schlechte Idee sein System im Nachhinein verschlüsseln zu wollen. Die Standard-Methode des cryptsetup, ist nicht grundlos ein luksFormat. Hier wird das Volume erst entsprechend formatiert, was das Volume prinzipiell vorab zu einem Krypto-Container macht. Im Anschluss wird dieser geöffnet, und darin wird dann das System installiert. Somit verbleiben niemals Informationen über dessen Inhalt, ausserhalb des Krypto-Containers, was im umgekehrten Fall problematisch sein kann, besonders bei SSDs. Zwar gäbe es die Möglichkeit, mittels plain-mode über das cryptsetup nachträglich zu verschlüsseln, doch diese Verfahrensweise hat nicht unwesentliche Nachteile bzgl. Komfort und Sicherheit. Wäre daher nicht empfehlenswert. Theoretisch könnte man natürlich auch Veracrypt nehmen, sofern man dieser Lösung vertraut.

weedy hat geschrieben:Das bezweifle ich. Ich habe derzeit 3903 Pakete installiert - die alle exakt genauso zu installieren und zu konfigurieren ist eine Heidenarbeit.

Ist das wirklich so?

Dafür muss nicht mehr getan werden als das:

1. Ein Backup von /etc und /home
2. Ein Backup aller Pakete des Paketmanagers via dpkg --get-selections > BACKUP
3. Nun eine komplette Neuinstallation von Debian in verschlüsselter Form, und nur mit dem reinen Basissystem ohne Desktop
4. Im Anschluss ins neue System einloggen als Root, die Paket-Daten des Paketmanagers mit dpkg --clear-selections löschen, und das Paket-Backup mit dpkg --set-selections < BACKUP wieder einspielen.
5. Bei Bedarf noch die sources.list editieren, sofern unfreie Pakete bzw. zusätzliche Paketquellen genutzt wurden
6. Jetzt noch ein apt-get dselect-upgrade, und Apt wird deine aktuelle Installation wiederherstellen

Nun können /etc und /home aus dem Backup wiederhergestellt werden, damit die Konfigurationen nicht verloren gehen. Nach einem Neustart, wirst dein jetziges System vorfinden.

Es kann auch sehr von Vorteil sein, von der Installation des Grundsystems ein Paket-Backup anzufertigen, um bei Bedarf wieder zum Zustand des Basissystems zurückkehren zu können.

niemand hat geschrieben:Hat er doch gesagt: das ist ’ne Heidenarbeit. Christen machen sowas nicht. [scnr]

Wenn’s keine Neuinstallation sein soll: System/Daten sichern, Partition(en) verschlüsselt einrichten, System/Daten zurückkopieren, Bootloader und initrd anpassen, fertig.

Ein bisschen mehr Arbeit ist das schon, denn /boot muss doch eine eigene Partition bekommen, die nicht verschlüsselt ist.

Am sinnvollsten ist eine nachträgliche Verschlüsselung von swap und /home . Vor was willst du deine Daten denn schützen? Für normale Nutzer macht doch nur ein Schutz der privaten Daten Sinn,falls der Rechner geklaut wird. Alles andere ist paranoid.

Ein bisschen mehr Arbeit ist das schon, denn /boot muss doch eine eigene Partition bekommen, die nicht verschlüsselt ist.

Hast Recht. Sind zwei Schritte á eine Minute mehr. Kann man keinem zumuten. Sorry für meine idiotische Idee.

Es gibt mittlerweile auch die Methode das /boot verschlüsselt ist. grub entschlüsselt dann /boot

http://www.pavelkogan.com/2014/05/23/lu ... ncryption/
http://dustymabe.com/2015/07/06/encrypt ... the-party/
https://michael-prokop.at/blog/2014/02/ ... ith-grub2/

Und nicht vergessen, /usr/local auch mit ins backup nehmen.
Und wenn ein mailserver läuft, auch /var/spool... crontab und incrontab tummeln sich auch in /var...