[erledigt] Nur USB/CD als Bootmedium verwenden

[merlin2000]

Hallo nach Langem wieder mal...

Aktuell suche ich eine Möglichkeit, meine Büchse zuhause etwas mehr abzusichern.

Folgendes Szenario würde ich gerne haben:
- nur über USB-Stick oder vorgefertigter CD/DVD bootbar
- System vollständig mittels LUKS verschlüsselt

So, wenn ich das bisher richtig verstanden habe, müßte ich quasi /boot und GRUB auf den USB/die CD bringen.
Uff...

Und was mache ich dann bei Updates, die da auch reinschreiben müssen?
(ich habe kein Problem damit, dann quasi eine neue CD zu brennen
Aber dazu müßte ich dann ja erst mal /boot wieder aufs System kopieren...


Hat jemand sowas schon mal gemacht oder gibt es dazu ein Tutorial?
Was wären Suchbegriffe für dieses Unterfangen?


Daaaaaaanke

[Livingston]

Ich würd's erst mal mit einem Stick ausprobieren.
Im Prinzip führst Du eine normale Installation mit einem Netinstall-Image durch. Um die Partitionierung bei der Installation kontrollieren zu können, solltest Du die Installation im Experten-Modus durchführen.
Bei Der Abfrage, ob/wo Du /boot einrichten möchtest, gibst Du nun nicht die verbaute HD/SSD an, sondern richtest eine Partition auf dem Stick ein. Im Falle eines UEFI-Systems käme dann noch zusätzlich eine EFI-Partition darauf.
Am Ende der Installation gibst Du bei der Abfrage, wo grub hin soll, ebenfalls den Stick und nicht die eingebaute Platte an.

Die /boot-Partition auf dem Stick ist dann noch nicht verschlüsselt. Das muss später per Hand erledigt werden, ebenso die Anpassung des grub. Ich meine, dazu existiert bereits hier im Forum ein Thread.

Zur Frage der Updates: Wenn der Rechner einmal gebootet ist, läuft der Stick ja mit seinen eingebundenen Partitionen innerhalb des Gesamtsystems. Updates werden also automatisch ihren richtigen Platz finden.

[cosinus]

Aktuell suche ich eine Möglichkeit, meine Büchse zuhause etwas mehr abzusichern.

Folgendes Szenario würde ich gerne haben:
- nur über USB-Stick oder vorgefertigter CD/DVD bootbar

Das verstehe ich nicht. Wieso soll das sicherer sein, wenn man nur von externen Medien booten kann? Es ist i.A. genau andersherum: Auf Firmencomputern ist es idR NICHT erlaubt von was anderem zu booten als von der (verschlüsselten) internen SSD.

[merlin2000]

Ich würd's erst mal mit einem Stick ausprobieren.
Im Prinzip führst Du eine normale Installation mit einem Netinstall-Image durch. Um die Partitionierung bei der Installation kontrollieren zu können, solltest Du die Installation im Experten-Modus durchführen.
Bei Der Abfrage, ob/wo Du /boot einrichten möchtest, gibst Du nun nicht die verbaute HD/SSD an, sondern richtest eine Partition auf dem Stick ein. Im Falle eines UEFI-Systems käme dann noch zusätzlich eine EFI-Partition darauf.
Am Ende der Installation gibst Du bei der Abfrage, wo grub hin soll, ebenfalls den Stick und nicht die eingebaute Platte an.

Die /boot-Partition auf dem Stick ist dann noch nicht verschlüsselt. Das muss später per Hand erledigt werden, ebenso die Anpassung des grub. Ich meine, dazu existiert bereits hier im Forum ein Thread.

Zur Frage der Updates: Wenn der Rechner einmal gebootet ist, läuft der Stick ja mit seinen eingebundenen Partitionen innerhalb des Gesamtsystems. Updates werden also automatisch ihren richtigen Platz finden.

Ja, das dachte ich mir auch, die Frage ist nur: muß der USB-Stick dann dran bleiben?
Das wäre nicht im Sinne des Erfinders

Das verstehe ich nicht. Wieso soll das sicherer sein, wenn man nur von externen Medien booten kann? Es ist i.A. genau andersherum: Auf Firmencomputern ist es idR NICHT erlaubt von was anderem zu booten als von der (verschlüsselten) internen SSD.

Nun, interessante Signatur, die hat Dich aber leider nicht befähigt, etwas Klügeres als meine Frage zu schreiben.
Warum?
Erstens: ich habe geschrieben ZU HAUSE
Zweitens: es ist mir egal, welchen Unfug Firmen machen, aber einer stationären Boot-Partition kann ich nicht vertrauen. Einem von mir kontrollierten mobilen Medium aber schon.

[cosinus]

Nun, interessante Signatur, die hat Dich aber leider nicht befähigt, etwas Klügeres als meine Frage zu schreiben.

Aha. Ahnungslosigkeit nun mit Beleidungen kaschieren oder was soll das von dir werden?
Offensichtlich hast du noch nie was von Sicherheit bzw best practices gehört. Wenn ich von einem beliebigen USB-Stick oder eine DVD booten kann, kann ich auch beliebige Systeme booten, die alles mögliche anstellen. Dank mal drüber nach wie klug das ist.

Erstens: ich habe geschrieben ZU HAUSE
Zweitens: es ist mir egal, welchen Unfug Firmen machen, aber einer stationären Boot-Partition kann ich nicht vertrauen. Einem von mir kontrollierten mobilen Medium aber schon.

Und wieder nix verstanden. Dass ein Firmen-PC nur von einer internen SSD booten darf, sollte verdeutlichen, dass Sicherheit i.A. eben so verstanden wird, dass nur das vom Admin definierte System gebootet werden darf. Scheint aber so einem Schlaumeier wie dir egal zu sein. Und verrate doch auch mal, wer so alles bei dir denn zu Hause herumturnt, der ständig an deine Bootpartition fummeln könnte.
Von SSD/HDD bzw ATA-Passwort hast wohl auch noch nix gehört?

[Livingston]

Ja, das dachte ich mir auch, die Frage ist nur: muß der USB-Stick dann dran bleiben?
Das wäre nicht im Sinne des Erfinders

Nach dem Booten einfach die Partitionen /boot/efi und /boot unmounten und fertig. Lässt sich natürlich auch automatisieren, indem Du einen systemd-service definierst. Ist dann natürlich problematisch, wenn Du etwas installierst oder updatest, was in /boot oder /boot/efi Änderungen vornimmt. Da kommen zunächst mal der Kernel, initramfs und grub in Betracht, zusätzlich aber auch alles, wo Kernelmodule neu gebaut werden müssen, wie z.B. Updates von Virtualbox oder Nvidia-Treibern. In diesem Fall musst Du die Stick-Partitionen vorher wieder einhängen.

Ein ganz anderer Ansatz wäre Verdonglen: Ein Script fragt innerhalb des Bootvorganges im initramfs nach, ob der richtige Stick mit dem richtigen Key an Bord eingestöpselt ist. Das lässt sich in einem bestehenden System nachträglich per Hand reindengeln und Bedarf keiner lebenswichtigen Einzelteile außerhalb Deiner internen Festplatte.

[merlin2000]

Aha. Ahnungslosigkeit nun mit Beleidungen kaschieren oder was soll das von dir werden?

Nö, nur eine Antwort auf Deinen arroganten Hinweis mit lokalem Boot. Warum das sicherer ist, wird sich Dir daher auch nicht erschließen, aber das erwarte ich ja auch gar nicht

Offensichtlich hast du noch nie was von Sicherheit bzw best practices gehört. Wenn ich von einem beliebigen USB-Stick oder eine DVD booten kann, kann ich auch beliebige Systeme booten, die alles mögliche anstellen. Dank mal drüber nach wie klug das ist.

SEHR klug, denn was willst Du denn booten? An meine Systempartition kommst Du dank LUKS nicht dran, also kannst Du Dir ALLES booten was Du willst, halt nur nicht meine Daten.

Und wieder nix verstanden. Dass ein Firmen-PC nur von einer internen SSD booten darf, sollte verdeutlichen, dass Sicherheit i.A. eben so verstanden wird, dass nur das vom Admin definierte System gebootet werden darf. Scheint aber so einem Schlaumeier wie dir egal zu sein. Und verrate doch auch mal, wer so alles bei dir denn zu Hause herumturnt, der ständig an deine Bootpartition fummeln könnte.
Von SSD/HDD bzw ATA-Passwort hast wohl auch noch nix gehört?

Nochmal: was andere Firmen so als Sicherheit ansehen, deren Ding.
Ich habe mir schon ein System gebastelt, das /boot auch verschlüsselt, und daraus dann / entschlüsselt wird. Sogar über remote ssh.
Das ist Alles kein Hexenwerk.

Es ist aber nochmal was GANZ ANDERES, wenn so eine Kiste gar nicht erst booten kann, weil einfach nur ein Klumpen LUKS da liegt.
Der Software kann ich vertrauen -> weil auditiert

Deiner ach so geliebten Hardware: eher nicht, ist nicht open source, das haben die Hersteller auch in der Vergangenheit massivst vergeigt.
Von denen nochmals irgendjemandem zu vertrauen: unwahrscheinlich.
Und man könnte das BIOS ja auch einfach flashen/modifizieren... ja, ist Aufwand, aber bei gewissen Personengruppen nicht unrealistisch. Siehe die lustigen Dell- und Cisco-Geräte...

So, und dann habe ich einfach eine Festplatte mit /, aber ohne /boot.
Volles Vertrauen in Integrität.
Und meinen Stick oder meine CD, ja, denen kann ich dank weiterer Encryption ebenfalls vertrauen.
CD ist etwas nervig, weil Wegwerfartikel nach Update, aber für Menschen mit gesteigertem Sicherheitsbedarf... ist dann halt eben so.
Und es hindert mich ja nichts daran, das Kennwort für SSD/HDD trotzdem zu setzen.
Es ist halt einfach NOCH eine Hürde, die jemand nehmen müsste...

Reicht Dir das jetzt?

[merlin2000]

Nach dem Booten einfach die Partitionen /boot/efi und /boot unmounten und fertig. Lässt sich natürlich auch automatisieren, indem Du einen systemd-service definierst. Ist dann natürlich problematisch, wenn Du etwas installierst oder updatest, was in /boot oder /boot/efi Änderungen vornimmt. Da kommen zunächst mal der Kernel, initramfs und grub in Betracht, zusätzlich aber auch alles, wo Kernelmodule neu gebaut werden müssen, wie z.B. Updates von Virtualbox oder Nvidia-Treibern. In diesem Fall musst Du die Stick-Partitionen vorher wieder einhängen.

Ein ganz anderer Ansatz wäre Verdonglen: Ein Script fragt innerhalb des Bootvorganges im initramfs nach, ob der richtige Stick mit dem richtigen Key an Bord eingestöpselt ist. Das lässt sich in einem bestehenden System nachträglich per Hand reindengeln und Bedarf keiner lebenswichtigen Einzelteile außerhalb Deiner internen Festplatte.

Aaaaah, jemand der meinen Sicherheitsbedarf versteht

[cosinus]

Nö, nur eine Antwort auf Deinen arroganten Hinweis mit lokalem Boot. Warum das sicherer ist, wird sich Dir daher auch nicht erschließen, aber das erwarte ich ja auch gar nicht

Das war eine einfache Nachfrage. Arrogantes Gehabe kam direkt dann von dir, inkl. Zerpflückung meiner nicht ernst gemeinten Signatur
Es ist i.A. bekannt, dass man um Sicherheit zu erhöhen nur das Booten von internen Disks zulässt und wenn man doch von USB booten will, dann ein Adminpasswort eintippen muss, welches man im Setup definiert.

SEHR klug, denn was willst Du denn booten? An meine Systempartition kommst Du dank LUKS nicht dran, also kannst Du Dir ALLES booten was Du willst, halt nur nicht meine Daten.

Erstmal ist dein Setup sowieso schon sehr paranoid. Weil du davon ausgehst, dass bei dir zu Hause ständig jemand rumrennen könnte, der deine Bootpartition manipulieren könnte, wovor du deine Riesenangast hast. Statt das dann mit SSD-Passwort zu lösen fummelst du also mit externem USB-Stick herum. Den kann jemand der bei dir zu Hause ist natürlich nicht manipulieren oder austauschen, das schließt du aus, während du meinst es sei sicher, dass er dir eine interne Bootpartition manipuliert. What?!

Nochmal: was andere Firmen so als Sicherheit ansehen, deren Ding.

Überleg doch mal, wie die Bootpartition manipuliert werden soll, wenn man von nichts anderem Booten darf als von der internen SSD. Oder hast du so ne Angst, dass er die SSD ausbaut, seine Manipulationen macht, dann alles wieder zurückbaut und das alles ohne dass du das merkst? Da ist es dann genauso möglich, dass er ohne dass du es merkst, was an deinem USB-Stick ändert.

Und es hindert mich ja nichts daran, das Kennwort für SSD/HDD trotzdem zu setzen.

Genau. Nur ist dann dein USB-Stick und auch die LUKS-Verschlüsselung dann absolut überflüssig, weil man ohne dieses Kennwort eh nichts mit der Platte anstellen kann. Sie verweigert dann einfach jeden Befehl.

[merlin2000]

Das war eine einfache Nachfrage. Arrogantes Gehabe kam direkt dann von dir, inkl. Zerpflückung meiner nicht ernst gemeinten Signatur
Es ist i.A. bekannt, dass man um Sicherheit zu erhöhen nur das Booten von internen Disks zulässt und wenn man doch von USB booten will, dann ein Adminpasswort eintippen muss, welches man im Setup definiert.

Ja, das ist immer das Problem mit Signaturen... sollte man berücksichtigen, das die nicht alle witzig finden.

Erstmal ist dein Setup sowieso schon sehr paranoid. Weil du davon ausgehst, dass bei dir zu Hause ständig jemand rumrennen könnte, der deine Bootpartition manipulieren könnte, wovor du deine Riesenangast hast. Statt das dann mit SSD-Passwort zu lösen fummelst du also mit externem USB-Stick herum. Den kann jemand der bei dir zu Hause ist natürlich nicht manipulieren oder austauschen, das schließt du aus, während du meinst es sei sicher, dass er dir eine interne Bootpartition manipuliert. What?!

Für DICH ist das paranoid, aber für Menschen denen Sicherheit aufgrund Erfahrung in der Vergangenheit wichtig ist... bsp. hat ein Journalist einen anderen Sicherheitsbedarf als Du. Wirst Du auch nicht verstehen, weil Du das noch nicht erlebt hast. Wünscht man auch keinem.
Und das mit dem USB-Stick ist eine sehr einfache Lösung, denn wenn ich DEN habe, dann habe ich auch die Möglichkeit mir davon ein ISO zu fertigen das ich woauchimmer ablegen kann, und mir daraus dann später jedes Mal den ORIGINAL-Stick basteln kann. Wenn DU den rumliegen läßt, Dein Ding. Mir ging es nur darum, den potentiell Interessierten erst mal davon abzuhalten indem er einschaltet und feststellt: PC kaputt. Forensisch ist das was Anderes, aber für die typischen Spielkinder der Ermittlungsbehörden in Deutschland ist das schon oftmals ein Grund, den PC nicht einzusacken, weil da steht "Bootmedium fehlt". Und für die Kollegen aus der Forensik ist das dann auch kein Ding mehr, denn die wissen genau: game over.

Überleg doch mal, wie die Bootpartition manipuliert werden soll, wenn man von nichts anderem Booten darf als von der internen SSD. Oder hast du so ne Angst, dass er die SSD ausbaut, seine Manipulationen macht, dann alles wieder zurückbaut und das alles ohne dass du das merkst? Da ist es dann genauso möglich, dass er ohne dass du es merkst, was an deinem USB-Stick ändert.

Wie gesagt, der USB-Stick ist ja nur das Mittel zum Zweck, hast Du bis jetzt aber noch immer nicht verstanden. Und ja, so Sachen passieren, das Hardware ausgebaut/ausgetauscht wird. Kommt einfach auf wirtschaftliche/strafrechtliche Interessen an. Daher vertraue ich eher einem Stück Software, das schon mehrfach den Ermittlungsbehörden stand gehalten hat wie einem Stück Hardware aus China oder USA. Was denkst Du, warum es coreboot/libreboot gibt? Weil die Hersteller alle brav sind?

Genau. Nur ist dann dein USB-Stick und auch die LUKS-Verschlüsselung dann absolut überflüssig, weil man ohne dieses Kennwort eh nichts mit der Platte anstellen kann. Sie verweigert dann einfach jeden Befehl.

Ja, man merkt schon, Du hast wirklich noch nicht so viel Kontakt mit der Realität gehabt...
Das EINE ist Hardware, der ich nicht vertrauen kann (qed, und danach bei zu vielen Versuchen vielleicht auch für mich im Eimer ist) und das Andere ist dann noch mal ein Zwiebel-Layer dahinter, bei dem ich weiß: okay, wenigstens ab hier kann ich vertrauen.
Und ja, das geht soweit, das auch das Thema Maus und Tastatur wichtig sind.

Ich bin Dir nicht böse wenn Du das nicht verstehst

[rhHeini]

Der klassische Ansatz ist ein unverschlüsseltes /boot auf einer separaten Partition, der Rest liegt in einem luks-Container. Das System lässt sich nur starten mit dem passenden Schlüssel zu dem Container.

Ich mach das seit Squeeze so. /home liegt verschlüsselt auf einem separaten Laufwerk, und wird während des Boots entschlüsselt. Inzwischen hab ich auch meine VBox-Container auf einem separaten ebenfalls verschlüsselten Laufwerk. Alles luks.

Beim Boot wird nach einem dedizierten USB-Stick gesucht der versteckt eine Passphrase drauf liegen hat. Ist der Stick nicht vorhanden, klappt der Boot nicht.

Weil das mit Jessie und Stretch mit der Einführung von systemd nicht mehr so funktionierte, läuft bei mir seitdem Devuan.

Die Lücke ist da das unverschlüsselte /boot. Da könnte ein böswilliger Dritter manipulierte Kernel verstecken die einen Schwachpunkt darstellen.

Gegenmassnahme: Seit dem grub 2.06 kann Arch Linux auch /boot mit verschlüsseln, man braucht keine separate Partition mehr dafür. Die automatische Entschlüsselung geht über so einen USB-Stick. Bei Debian/Devuan sollte das inzwischen auch gehen, ich hab das aber bisher noch nicht probiert. Der Knackpunkt war früher das der alte grub nur luks Version 1 konnte, der grub 2.06 sollte das aktuelle luks2 können.

Bei Bedarf könnte ich da ein paar Links publizieren.

Update: Bei meinem Fileserver hab ich mit Etch angefangen mit der Verschlüsselung und mit Lenny meine SCSI-Platten jede für sich luks-verschlüsselt.

[cosinus]

sollte man berücksichtigen, das die nicht alle witzig finden.

Und nur weil du etwas nicht witzig findest, musst du gleich losschießen und ad hominem poltern? Warum? Weder kennst du mich im RL noch aus dem Forum bisher.

Für DICH ist das paranoid, aber für Menschen denen Sicherheit aufgrund Erfahrung in der Vergangenheit wichtig ist... bsp. hat ein Journalist einen anderen Sicherheitsbedarf als Du. Wirst Du auch nicht verstehen, weil Du das noch nicht erlebt hast. Wünscht man auch keinem.

Es ist ziemlich übertrieben, weil es nicht viel mehr Sicherheit bietet als LUKS plus SSD-Passwort bzw SSD-Passwort allein, man aber den unnötigen Aufwand mit dem Stick hat. Zudem braucht man ein Konzept wie man das System wieder bootfähig bekommt falls der Stick mal verloren geht bzw verlegt wird oder gar stirbt. Gerade USB-Sticks können sehr anfällig sein.

Und das mit dem USB-Stick ist eine sehr einfache Lösung,

Keine Ahnung was daran einfach ist. Ich finde das ist eine ziemlich umständliche Lösung. Einfacher wäre es, wenn man diesen Stick nicht zum Booten bräuchte

denn wenn ich DEN habe, dann habe ich auch die Möglichkeit mir davon ein ISO zu fertigen das ich woauchimmer ablegen kann, und mir daraus dann später jedes Mal den ORIGINAL-Stick basteln kann.

Und bei jedem neuen Kernel musst du ein neues Backup vom Stick ziehen.

Wenn DU den rumliegen läßt, Dein Ding.

Achso, du schließt also kategorisch aus, dass es dir passieren kann, den mal irgendwo zu vergessen? Du hast im Leben auch noch nie ein Schlüssel oder einen anderen Gegenstand verloren oder mal unbeaufsichtigt gelassen?

Mir ging es nur darum, den potentiell Interessierten erst mal davon abzuhalten indem er einschaltet und feststellt: PC kaputt. Forensisch ist das was Anderes, aber für die typischen Spielkinder der Ermittlungsbehörden in Deutschland ist das schon oftmals ein Grund, den PC nicht einzusacken, weil da steht "Bootmedium fehlt". Und für die Kollegen aus der Forensik ist das dann auch kein Ding mehr, denn die wissen genau: game over.

Der potentiell Interessierte wird auch bei LUKS und unverschlüsseltem Boot schon nicht mehr viel machen können. Und wie kommt die Ermittlungsbehörde denn an deine Daten wenn sie deinen PC eingesackt haben? Warum hilft in diesem Fall ein nicht verfügbares bootvolume mehr als nur LUKS und unverschlüsseltes /boot auf der SSD?
Was soll man davon halten, dass du Angst vor Ermittlungsbehörden hast? Wie soll man das verstehen? Hast du strafrechtlich relevantes Material auf deiner SSD?
Und warum dann nicht gleich das komplette System auf einer externen USB3-SSD und der Rechner ohne interne SSD?

Wie gesagt, der USB-Stick ist ja nur das Mittel zum Zweck, hast Du bis jetzt aber noch immer nicht verstanden.

Ob mit oder ohne Stick, das Cryptodevice kann er nicht entsperren ohne die richtige Passphrase. Du hast dort also keinen wirklichen Mehrwert aber ziemlich unnötigen Mehraufwand.

Was denkst Du, warum es coreboot/libreboot gibt? Weil die Hersteller alle brav sind?

Dann nutzt du auch keine CPUs von AMD oder Intel?

Ja, man merkt schon, Du hast wirklich noch nicht so viel Kontakt mit der Realität gehabt...

Dann erklär mir doch mal bitte wie du ans Passwort einer gesicherten SSD kommst. Zur Erinnerung: sie verweigert jegliche Befehle, nix lesen, nix schreiben wenn sie nicht mit dem richtigen Passwort entsperrt wurde. Sie verhält sich dann ähnlich wie ein defektes Gerät. Bevor du antwortest lies mal https://www.heise.de/news/Ransomware-An ... 82877.html

Die Angreifer hatten demnach Zugriff auf die Verwaltungssysteme, von denen aus sie die Laufwerke verschlüsseln konnten, nicht jedoch auf den Dateninhalt der Maschinen selbst.

[cosinus]

Die Lücke ist da das unverschlüsselte /boot. Da könnte ein böswilliger Dritter manipulierte Kernel verstecken die einen Schwachpunkt darstellen.

Genau deswegen habe ich ja geschrieben, dass man für mehr Sicherheit dann eben das Booten von anderen Laufwerken deaktiviert. Ein böswilliger Dritter kann dann nur noch die SSD ausbauen, /boot manipulieren, muss hoffen das das alles klappt und der Angegriffene nichts davon mitbekommt. Wie realistisch/wahrscheinlich ist das wohl?