ich möchte auf meinem server das /home verzeichniss mit dem tutorial vom wiki
[http://www.debianforum.de/wiki/CryptoFsMitUsbStick] verschlüsseln. dazu habe ich aber noch fragen offen und hoffe jemand der das ganze schon ausprobiert hat kann mir helfen:
1. Ich habe einen 2.4.18-bf2.4 Kernel. ich möchte aber nicht auf einen 2.6er wechseln. haeisst das ich muss mir einen 2.4er kernel mit den 3 im wiki erwähnten optionen kompillieren?
2. Wie sieht es mit der Performance aus, mein server ist eher schmalbrüstig (233MHZ, 128Mb Ram)
3. Wie kann ich das Dateisystem beim starten früh genug mounten, dass keine Probleme entstehen (wenn programme nicht auf /home zugraeiffen können)
4. was passiert wenn der strom ausfällt? ist die platte dann unverschlüsselt oder werden die daten gar unbrauchbar.
5. was soll ich für ein dateisystem nehmen? ext2 od. ext3
verschlüsseltes dateisys unter Woody 2.4 einrichten *gelöst*
verschlüsseltes dateisys unter Woody 2.4 einrichten *gelöst*
Zuletzt geändert von oli_f am 09.10.2004 12:35:41, insgesamt 2-mal geändert.
error - divided by 0
-
devilx
- Beiträge: 734
- Registriert: 26.08.2003 22:57:20
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Filderstadt
-
Kontaktdaten:
1. Falls du vorkompillierte Module fuer die Sachen die du benoetigst findest, musst du nix neu kompillieren.
2. Ka, bei mir stellen sich solche fragen zum glueck nicht mehr.
3. Wenn du den Eintrag richtig in der FSTab auslegst, dann musst du dich nicht ums timing kuemmern, passiert von selbst.
4. So wie ich das Verschluesselungssystem von Linux verstehe, werden die Daten ueber das loopback interface ver- und entschluesselt. D.h.: Auf der Platte befinden sich immernoch deine Verschluesselten daten. (kann natuerlich auch sein, dass ich irre)
5. XFS.
2. Ka, bei mir stellen sich solche fragen zum glueck nicht mehr.
3. Wenn du den Eintrag richtig in der FSTab auslegst, dann musst du dich nicht ums timing kuemmern, passiert von selbst.
4. So wie ich das Verschluesselungssystem von Linux verstehe, werden die Daten ueber das loopback interface ver- und entschluesselt. D.h.: Auf der Platte befinden sich immernoch deine Verschluesselten daten. (kann natuerlich auch sein, dass ich irre)
5. XFS.
When you smile, the world smiles with you 
When you fart, you stand alone
... a place full of dorkness
When you fart, you stand alone
... a place full of dorkness
danke für deine hilfe, habe nun die Fragen konkretisiert
1. Wo kann ich sowas finden. (google ist bereits befragt worden)
2. gut ev. weiss sonst jemand was.
3. So wie ich die Anleitung verstanden habe reicht eben ein einfacher mount-befehl nicht aus um die platte einzuhängen, sondern es braucht so ein skript (also mehrere befehle). also taugt fstab nichts. ausserdem würgt init programme ab die nicht reagieren, wenn ich also mein passwort beim aufstarten nicht schnell genug eintippe wird der prozess wohl abgeschossen; da seh ich das problem.
4. Ok sonst hätte es wohl auch keinen sinn.
5. xfs unter woody ich weiss ja nicht...
1. Wo kann ich sowas finden. (google ist bereits befragt worden)
2. gut ev. weiss sonst jemand was.
3. So wie ich die Anleitung verstanden habe reicht eben ein einfacher mount-befehl nicht aus um die platte einzuhängen, sondern es braucht so ein skript (also mehrere befehle). also taugt fstab nichts. ausserdem würgt init programme ab die nicht reagieren, wenn ich also mein passwort beim aufstarten nicht schnell genug eintippe wird der prozess wohl abgeschossen; da seh ich das problem.
4. Ok sonst hätte es wohl auch keinen sinn.
5. xfs unter woody ich weiss ja nicht...
error - divided by 0
-
mastermind_the_real_one
- Beiträge: 644
- Registriert: 16.12.2003 15:44:51
Was spricht dagegen? Ein aktueller 2.4er Kernel sollte keine Pobleme mit xfs machen. Allerdings würde ich bei deinem System ext2 nehmen, weil es schneller ist, es sei denn Du legst Wert auf ein journaling Filesystem. Da würde ich entweder ext3 oder xfs nehmen.oli_f hat geschrieben:5. xfs unter woody ich weiss ja nicht...
greetz
mastermind
zu 1. : ich habe nun das 2.4.19 debian kernel source paket gezogen und von http://www.kernel.org/pub/linux/kernel/crypto/v2.4/ den patch-int-2.4.3.1.bz2 .
habe den kernel gepatcht, make menuconfig zeigt die gewünschten crypro-module an, habe gewählt dass sie in den kernel kompiliert werden sollen ( aes & cryptoloop ), aber make bzImage bricht folgendermassen ab:
was könnte das sein??
zu 5. Ich werde ext2 nehmen wegen der performance.
habe den kernel gepatcht, make menuconfig zeigt die gewünschten crypro-module an, habe gewählt dass sie in den kernel kompiliert werden sollen ( aes & cryptoloop ), aber make bzImage bricht folgendermassen ab:
Code: Alles auswählen
drivers/block/block.o: In function `cryptoapi_status':
drivers/block/block.o(.text+0x8b94): undefined reference to `find_transform_by_name'
make: *** [vmlinux] Error 1
zu 5. Ich werde ext2 nehmen wegen der performance.
Zuletzt geändert von oli_f am 08.10.2004 19:48:10, insgesamt 1-mal geändert.
error - divided by 0
habs noch einmal mit einem selber gepatchten 2.4.18 debian kernel probiert und dabei das loopbackdevice als modul kompilliert und dann ist folgender fehler gekommen:
Dies geschah aber während make moldules_install und nicht während make modules wie ich es erwartete.
ka was das bedeutet aber finde dies komisch da ja make modules_install doch vorallem noch die kompilierten module an den richtigen ort verschiebt....
Code: Alles auswählen
depmod: *** Unresolved Symbols in /lib/modules/2.4.18/kernel/drivers/block/loop.o
depmod: find_transform_by_name
make: *** [_modinst_post] Error 1
ka was das bedeutet aber finde dies komisch da ja make modules_install doch vorallem noch die kompilierten module an den richtigen ort verschiebt....
error - divided by 0
So habe es nun geschafft das Ganze einzurichten.
Es ist wahrlich ein Murks unter woody!
Werde es hier mal beschreiben, vielleicht braucht das sonst noch jemand einmal....
Bei grösserem Interesse könnte man es noch in die Wiki-page verfrachten.
Wie oben bemerkt funktioniert das mit dem patch nicht...
Als erstes muss also einmal ein Kernel vorhanden sein in dem das loopback-device als Modul vorhanden ist. Im kernel-image-2.4.18-bf2.4, das beim woody-installer mit der Startoption bf24 eingerichtet wird, ist das Loopback-device jedoch fest mitkompilliert.
Also neuen Kernel backen (s. Wiki) und dabei schauen das in der Sektion Block-Devices vor Loopback-device ein <M> steht (beziehe mich auf make menuconfig). Dazu habe ich einfach das kernel-source-2.4.18 Deb-packet genommen.
Danach braucht es die folgenden Programme: util-linux und loop-AES
Beide werden entpackt und danach ins util-linux Verzeichniss gewechselt. Danach muss dieses gepatcht werden mit diesem Befehl
Danach muss das Programm kompilliert werden.
Dabei werden die kommandos mount usw. durch eine gepatchte Version ersetzt damit auch Verschlüsselte Partitionen eingebunden werden können.
Danach wird im loop-AES Verzeichniss noch ein ausgeführ und mithilfe von das gepatchte Lopback-device-modul geladen.
Für diese Schritte müssen die kernel-sourcen noch vorhanden sein.
Weitere Hilfe:
http://www.pl-berichte.de/t_system/loop-aes.html
ps. Frage 3 ist immer noch offen
denn der fstab eintrag reicht doch nicht aus da ich noch den losetup befehl zuvor ausführen muss. Oder kann ich das irgendwie als option angeben?
Es ist wahrlich ein Murks unter woody!
Werde es hier mal beschreiben, vielleicht braucht das sonst noch jemand einmal....
Bei grösserem Interesse könnte man es noch in die Wiki-page verfrachten.
Wie oben bemerkt funktioniert das mit dem patch nicht...
Als erstes muss also einmal ein Kernel vorhanden sein in dem das loopback-device als Modul vorhanden ist. Im kernel-image-2.4.18-bf2.4, das beim woody-installer mit der Startoption bf24 eingerichtet wird, ist das Loopback-device jedoch fest mitkompilliert.
Also neuen Kernel backen (s. Wiki) und dabei schauen das in der Sektion Block-Devices vor Loopback-device ein <M> steht (beziehe mich auf make menuconfig). Dazu habe ich einfach das kernel-source-2.4.18 Deb-packet genommen.
Danach braucht es die folgenden Programme: util-linux und loop-AES
Beide werden entpackt und danach ins util-linux Verzeichniss gewechselt. Danach muss dieses gepatcht werden mit diesem Befehl
Code: Alles auswählen
cat </pfad/zu>/Loop-AES/util-linux-2.xx.diff | patch -p1 Danach muss das Programm kompilliert werden.
Code: Alles auswählen
./configure
make ADD_RAW=no
cd mount
install -m 4755 -o root mount umount /bin
install -m 755 losetup /sbinDanach wird im loop-AES Verzeichniss noch ein
Code: Alles auswählen
makeCode: Alles auswählen
modconfFür diese Schritte müssen die kernel-sourcen noch vorhanden sein.
Weitere Hilfe:
http://www.pl-berichte.de/t_system/loop-aes.html
ps. Frage 3 ist immer noch offen
denn der fstab eintrag reicht doch nicht aus da ich noch den losetup befehl zuvor ausführen muss. Oder kann ich das irgendwie als option angeben?
error - divided by 0
hmm ich will ja wirklich nicht nerven aber mir ist immer noch schleierhaft wie ich das dateisystem mounten könnte ohne dass init mein skript killt weil ich gerade nicht zur stelle bin um das pw einzugeben oder das ganze in die fstab eintragen, mit dem befehl um den pgp-key zu entschlüsseln....
wenn ich das /home verzeichniss verschlüsseln will, muss das ganze ja früh genug geladen werden!
hatt das denn noch niemand gemacht?
wenn ich das /home verzeichniss verschlüsseln will, muss das ganze ja früh genug geladen werden!
hatt das denn noch niemand gemacht?
error - divided by 0