Sie sind nicht angemeldet.

Lieber Besucher, herzlich willkommen bei: GentooForum.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

1

12.03.2011, 17:02

ROOT SWAP nachträglich verschlüsseln?

Hallo GentooForum,

ich hoffe ich sitze in diesem Unterforum richtig.
Mittlerweile habe ich eine Menge zum Thema Verschlüsselung gelesen. Dennohc habe ich einige Fragen zur Verschlüsselung

A) Kann man SWAP auch ohne LVM verschlüsseln? (beim booten mit initramfs) ?
B) Ist es möglich die ROOT-Partition nachträglich zu verschlüsseln? (bzw. überhaupt eine Partition).
(ich mag nämlich nur ungern komplett neu installieren)


Vielen Dank im vorraus

2

12.03.2011, 18:41

Hallo lonmed

Mittels LVM ist es möglich eine Partition zu verschlüsseln, wann immer du willst. Zur ersten Frage kann ich nicht viel sagen. Nach kurzem Googlen habe ich ein Tool namens cryptsetup-luks gefunden, wenn es das ist, was du willst.


3

12.03.2011, 18:43

Zitat


A) Kann man SWAP auch ohne LVM verschlüsseln? (beim booten mit initramfs) ?

sure u can, [/b]cryptsetup create[/b] und dann swap drauf.

Zitat


B) Ist es möglich die ROOT-Partition nachträglich zu verschlüsseln? (bzw. überhaupt eine Partition).

jop, wenn noch irgendwo etwas platz hast kannst du einfach das root tar'n und dann nachdem du eine crypt/luks volume erstellt hast root drauf packen, its ease

Swap kannst du aus den laufenden system tun, für root empfehle ich dir sysrcd und das du dann via das dann crypt machst.

Btw crypt suX hard, wenn es nur Absicherung gegen Bekanntenkreis sein soll reichts einfach wenn du die festplatte mit ein pw abriegelst.
wenn du genkernel benutzt brauchst du einfach nur --luks übergeben, in generellen läuft das sogar recht gut mit tuxonice zusammen behalte nur in hinterkopf in kernel Late init call unter tuxonice zu aktivieren

4

12.03.2011, 18:59

Danke Danke für die fixen Antworten :-)

@TayTay, thx aber ich habe leider kein LVM (war mir zu kompliziert)


@Xaiyu (hübsches Profilbild ;) )
Danke für die Antwort
also im InitRam einfach die SWAP-Partition "entschlüsseln " und ein mkswap gefolgt von einem SWAPON ?

für mein ROOT einfach "Backupen" in ein TAR und dann crypten/formatieren und zurück kopieren = das geht ? goil :-)

nein nein, es ist für mein Notebook, da mir das alte schonmal geklaut wurde (und die daten doch recht sensibel sind)
mein /home & /data ist verschlüsselt nur zur sicherheit wollte ich auch noch SWAP und ROOT verschlüsseln (nicht dass sich da irgendwie noch was mit wiederherstellen lässt ;) )

die Kollegen nutzen z.ZT. windows mit TrueCrypt - ich wollte es aber "besser" machen UND ein Gentoo nutzen :-) (die schlüssel kommen dann auf einen USB-Stift der beim booten benötigt würde)

vielen Dank im vorraus

ionMed - der sich an die arbeit macht :-)

5

12.03.2011, 19:46

Zitat

also im InitRam einfach die SWAP-Partition "entschlüsseln " und ein mkswap gefolgt von einem SWAPON ?

genau, natürlich kannst du auch ein swap jedesmal neu erstellen das ist nur für tuxonice etwas gefährlich

Zitat

für mein ROOT einfach "Backupen" in ein TAR und dann crypten/formatieren und zurück kopieren

Jo ^^ einfach tar cvpf file.tar, wichtig ist das >p< für permissions.
wenn du sysrcd benutzt kannst du auch einfach auf fsarchiver zurückgreifen war ungefähr auch nur tar + fun ist.

Zitat

es ist für mein Notebook, da mir das alte schonmal geklaut wurde (und die daten doch recht sensibel sind)

Jap das kenn ich, wobei ich eher das problem mit usb-sticks habe, hab mir da mit etwas band beholfen sodas mans garnich mehr verlieren kann :D
ok dann würde ich auch eher crypto empfehlen weil hdd-passwort mitlerweile nich mehr so sicher ist. bei manchen hdd's kann man auch direct in firmware rumwühlen wo das pw drin rumschwebt, dafür hats halt den vorteil wenn man 3mal zu blöd war das die platte sich selbst löscht. (zero's oder random bits jenach wie man will)

Zitat

die Kollegen nutzen z.ZT. windows mit TrueCrypt

Ja das ist hier wegen lizens gründen hier nich so belibt.
wenn du luks benutzt kann ich dir freeOTFE empfehlen, das kommt ingegensatz zu truecrypt zum teil auch ohne admin rechte aus auf windows boxen.

Zitat

ich wollte es aber "besser" machen UND ein Gentoo nutzen :-) (die schlüssel kommen dann auf einen USB-Stift der beim booten benötigt würde)

wenn dann tue mir den gefallen und sei nich zufaul und benutz eine passphrase für den key, dafür kannste dir auch später für den userlogin eins sparen (pam_usb)

So genug gequotet

6

12.03.2011, 20:33

Die einfachste Möglichkeit ist folgendes zu nutzen:

Quellcode

1
2
3
4
5
6
7
8
nano /etc/conf.d/dmcrypt
## swap
# Swap partitions. These should come first so that no keys make their
# way into unencrypted swap.
# If no options are given, they will default to: -c aes -h sha1 -d /dev/urandom
# If no makefs is given then mkswap will be assumed
#swap=crypt-swap
#source='/dev/hda2'

Damit wird Swap beim jeden Start verworfen und mit einem Zufallsschlüssel neu verschlüsselt. Ich nutze es auf meinem Lap.
Damit kannst Du jedoch Suspend2Disk vergessen.

Keine Änderungen in der initramfs nötig, einfach ein

Quellcode

1
rc-update add dmcrypt boot
Auch wenn Open-Source kostenlos ist, ist sie nicht umsonst. Dein Preis ist Dein Engagement und Mitarbeit an OS-Projekten.
Wenn Du keinen Preis bezahlen willst, bist Du die Ware. Und das ist nicht Open Source, geschweigedenn frei.

7

12.03.2011, 21:33

@Bell - ider gedanke eines zufalligen schluessels fuer swap ist super - dies uebernehme ich - danke / sicherheit ist wichtiger als komfort

@xaiyu
der gendanke war, dass der usb-stift beim booten eingestoepselt sein muss damit das system entschluesselt wird...

der usb-stift selbst ist sichergenung aufbewart (um meinen hals :-) da braeuchte ich keine passphrases mehr - es wird ausser mir auch niemals einen anderen nutzer des notebooks geben :-)

8

13.03.2011, 17:22

hab diesen post mal gelesen .... hätte da nur eine dumme zwischen frage

also auf manchen rechnern und auch per google schon gesehen und gelesen ist die "swap" partition meist als unnötig bezeichnet worden da heutzutage genügen ram zur verfügung steht .. (4gb + mehr)

jetzt versteh ich ned was es bringen soll wenn ich die "swap" part verschlüssle ? ... oder ist das nur zusätzlich ? wird dabei auch root und/oder home auch verschlüsselt ??

hoffe ich nerv jetzt nicht mit den fragen ....

bezüglich sicherheit bin ich in der linuxwelt leider noch ned so fit aber ich hab diese distri gefunden was mir teilweise unter windows lücken aufzeigt --> cain - Linux (Computer Forensics Linux Live Distro )
vieleicht hilft es ja auch euch beim testen von div. verschlüsselungen...

mfg
schatti
''''''''''''''''''''''''''''''''''''''''''''''''
Gentoo-Linux
der G-Punkt eines Pc´s

''''''''''''''''''''''''''''''''''''''''''''''''

9

13.03.2011, 18:16

@schatti
es gibt keine dummen fragen :-)

naja das mit dem SWAP stimmt eigentlich (meist wird der SWAP nicht mehr wirklich benötigt) bei mir z.b. wird er sehr selben benötigt. Eine Variante ist bei Notebooks immer noch das RAM-in-SWAP - Standby (ram&Graka-Ram werden zum Standby in den SWAP geschrieben) . Die andere bei mir kommt aber auch noch vor: wenn ich "riesige" Bilder öffne reichen ab & an leider auch 4GB nicht sauber aus - und wenn das System dann auf dem SWAP zurückgreifen darf ist das eine tolle sache :-)

zur Verschlüsselung des SWAP: wie gesagt, da mir bisher nicht erst ein Notebook abhanden gekommen ist möchte ich mich in Zukunft absichern! Sollte sich ein Passwort oder ähnliches im Speicher (hier SWAP) dann möchte ich sichergehen, das da so schnell niemand dran kommt.!
Eigentlich würde es ja ausreichen die Daten (Home) Partition zu verschlüsseln. Aber die befürchtung, dass dann Das PWD noch irgendwo im Speicher ist - naja ist vielleicht etwas übertrieben aber so genau kenne ich mich dann aber mit der IT dann doch nicht aus.
Root wird natürlich auch verschlüsselt und man benötigt dann eine initramfs datei zum booten (daran hänge ich im moment :-((

Gentoo gefällt mir, da ich hier viele Freiheiten und Anpassungen geniesse und ein Gentoo-GNOME-System sich flüssiger & sicherher anfühlt als Ubuntu.

10

13.03.2011, 20:09

danke für die nette antwort ... alles klar ich dachte immer das der swap bereich automatisch gelöscht wird beim hoch oder runterfahren .. hmm hab auch erlicherweise noch nie darüber gedanken gemacht das dort ja auch passwörter stehen bleiben können ..

na man lernt echt nie aus bei linux systemen... das meiste was ich mit swap in verbindunggebracht habe war immer nur .. .wenig speicher ... um so wichtiger swap fürs compilieren .. na dann sollte ich mir auch mal das angucken wenn ich zeit hab...


aber ein laptop mit 4gb speicher ist eh schon ne wucht :-) .... mein laptop hatte gerade mal 1 gb wo noch grafik abgezwackt wird ... naja jetzt ist er leider kaputt ... laptop + autodach + losfahren mögen die dinger wohl nicht .. hmmm

mfg
schatti
''''''''''''''''''''''''''''''''''''''''''''''''
Gentoo-Linux
der G-Punkt eines Pc´s

''''''''''''''''''''''''''''''''''''''''''''''''

11

21.03.2011, 18:22

Zitat

Aber die befürchtung, dass dann Das PWD noch irgendwo im Speicher ist - naja ist vielleicht etwas übertrieben aber so genau kenne ich mich dann aber mit der IT dann doch nicht aus.

Übertrieben ist das ganz und garnich.
Der key hängt in ram nahe am kernel herum und ram ist noch pi mal daumen 4minuten nach den ausschalten mit entsprechenden Hürden auslesbar, nur mal für die Paranoiker unter uns ^^ naja ansonsten wird der key selber nich ausgeswapd das ist nich das problem, nur können da andere sachen landen die auch nich so schön sind. Wer will kann ja mit sein hex-editor der wahl sein swap durch greppen und schaun was drin liegt.

@Swap
Swap ist prinizpiel nicht so nutzlos wie es immer gesagt wird, es ist nur einfach nich mehr nötig diese swap = ram * 1.5 regel zu befolgen auser man hat vor hibernate zu benutzen. Linux benutzt intensiv caching und crap was den ram einfach nur zu-messi'ed lagert linux einfach in die mulltonne<>swap aus. Zudem ist wie bereits erwänht wurde es praktisch falls man den (Dr.) OOM-Killer herauszögern will bevor der ausversehn mal X erschießt.

Zitat


@xaiyu
der gendanke war, dass der usb-stift beim booten eingestoepselt sein muss damit das system entschluesselt wird...

Jap schonklar nur kannst dir dann nochmal später ersparen wenn du schonmal den dongle angeschlossen hast noch mal bei den gdm den pw eintippen zu müssen, schau dir mal pam_usb an, du wirst dich freun :D