neuer Artikel zur Installation eines verschl. Systems

bluelupo · 2013/07/30, 09:03:45

Hallo zusammen,
da ich gerade mit Verschlüsselung (LUKS) im Zusammenhang mit Logical Volume Manager experimentiere habe ich einen neunen Artikel im Wiki erstellt der die Installation von siduction in einem verschlüsselten System beschreibt.

Der Artikel gliedert sich in zwei Installationsvarianten, nachzulesen hier unter Verschlüsseltes System mit LUKS/dm-crypt und LVM aufsetzen

Verbesserungsvorschläge und Fehlerkorrekturen sind natürlich erwünscht.

Lanzi · 2013/07/30, 12:57:56

finde gut, dass Du sowas sauber dokumentierst. Sich da einzuarbeiten ist eine Welt für sich und für Laien nicht einfach.
Danke!

hefee · 2013/07/30, 13:04:06

um bei variante 1 nicht sooft das PW einzugeben, kann auch mit einer schlüsseldateien, die auf root liegen gearbeitet werden.

bluelupo · 2013/07/30, 13:28:44

@hefee:
stimmt da hast du Recht. Aber wenn dann würde ich die Schlüsseldateien auf einen USB-Stick legen, auf das verschlüsselte Device die Keys zu legen macht für mich keinen Sinn (Zugriffsschutz). Auch funktioniert das meines Wissens nur für Nicht-Root-Filesysteme. Das heißt, einmal musst du mindestens ein Passwort eingeben ;-)

@Lanzi:
Das Thema ist eigentlich gar nicht so schwer zu verstehen, wenn man erst mal kapiert hat das LUKS/dm-crypt eine weitere logische Schicht zwischen der HW und dem Dateisystem ist, ähnlich wie der LVM auch. Es ist aber genial wie sich die beiden ergänzen ;-)

Wenn ihr beide Lust habt könnt anhand des Artikel das Szenario mal durchspielen sprich installieren und mir Feedback geben, wo etwas noch nicht passt von der Anleitung.

hefee · 2013/07/30, 14:23:57

Ich werde jetzt erstmal keine Installation durchführen

Ich habe ja auch auch schon einen Artikel im dasmals noch Aptosid Wiki geschrieben

Es hat sich ja seit dem eigentlich nicht viel geändert, außer das die Nachbearbeitung weniger geworden ist. Aber deswegen bin ich auch ziemlich sicher das deine Anleitung passt.

Siehe:
http://wiki.siduction.de/index.php?title=Installation_auf_einer_verschlüsselten_Festplatte

Lanzi · 2013/07/30, 15:58:21

@bluelupo:
ich nutze Luks / dm-crpt seit Jahren. Hattest mir damals bei der Einrichtung ehr geholfen. Muss noch zu aptosid oder gar sidux-zeiten gewesen sein.

Das einzige was ich nicht nutze ist LVM.
Festplattenweise habe ich den Eindruck ne bessere Übersicht zu haben.

bluelupo · 2013/07/30, 16:02:06

Zitat von: "Lanzi"
[...]
Festplattenweise habe ich den Eindruck ne bessere Übersicht zu haben.

@Lanzi: verstehe ich ich nicht wie das meinst?

Lanzi · 2013/07/30, 17:31:27

in meinem Server stecken mehrere Platten, und wen ich diese einzeln ansteuer, dann erscheint es mir übersichtlicher. Als LVM wäre das doch dann eher ein Verbund, oder?
Wie gesagt LVM abe ich mich nie eingearbeitet.

bluelupo · 2013/07/30, 17:47:45

Hi Lanzi,
der LVM geht völlig transparent mit der Physik sprich Disks um. Du kannst alle Disks (PV's) in eine Volumegroup (VG) packen, das vom OS dann als ein Device erkannt wird. Diese VG enthält wiederum die logischen Container für das Dateisystem, die Logical Volumes (LV). Du kannst aber auch jede einzelne Disk in eine VG packen und sie quasi wie ein sd*-Device behandeln.

Bei einem Server würde ich immer den LVM einsetzen, da dieser zB. die Backupstrategie doch sehr erleichtert (Stichwort Snapshot). Ein weiterer Vorteil ist die eingebaute RAID1-Funktionalität (Spiegelung) des LVM. Von den Online-Größenänderungen der Dateisysteme ganz zu schweigen ;-)

Ich habe eine langjährige Erfahrung mit dem LVM und kann nur positives berichten und habe ihn zu schätzen gelernt.

cryptosteve · 2013/07/30, 21:02:10

Zitat von: "bluelupo"Aber wenn dann würde ich die Schlüsseldateien auf einen USB-Stick legen, auf das verschlüsselte Device die Keys zu legen macht für mich keinen Sinn (Zugriffsschutz).

Das verstehe ich nicht. Warum genau ergibt das keinen Sinn?

bluelupo · 2013/07/31, 08:23:31

Hi Steve,
die Schlüsseldateien sollen einem doch die Passworteingabe ersparen, d.h. dann aber im Fall der Ablage auf der Festplatte dass das System an dieser Stelle automatisch hochfährt, da die Schlüsseldateien immer vor Ort liegen. Einen USB-Stick muss ich im Gegensatz dazu aktiv an's System anstecken. Verstehe ich da etwas falsch?

ayla · 2013/07/31, 10:12:43

Hi,

ich verstehe nicht ganz welchen Sinn ein verschlüsseltes System macht wenn ich dann keinen Schlüssel brauche um das System hoch zu fahren?

Gruß
ayla (etwas verwirrt)

cryptosteve · 2013/07/31, 12:23:05

Zitat von: "bluelupo"die Schlüsseldateien sollen einem doch die Passworteingabe ersparen, d.h. dann aber im Fall der Ablage auf der Festplatte dass das System an dieser Stelle automatisch hochfährt, da die Schlüsseldateien immer vor Ort liegen. Einen USB-Stick muss ich im Gegensatz dazu aktiv an's System anstecken. Verstehe ich da etwas falsch?

Ja, Du verstehst was falsch. /boot ist unverschlüsselt und lädt die initrd. Dann gibst Du das Passwort ein, um / aufzuschließen. Darauf liegen dann die Keys für alle weiteren Partitionen, sodass Du nur einmal ein Passwort eingeben musst, obwohl mehrere Partitionen einzeln verschlüsselt sind.

Smon · 2013/07/31, 14:32:34

Wieso unter debian nicht /lib/cryptsetup/scripts/decrypt_derived nehmen?

bluelupo · 2013/07/31, 16:09:04

Hi Steve,
ich meinte ich hätte schon im Netz gelesen (finde gerade den Link nicht), das man komplett ohne Passworteingabe nur mit dem physikalischen anstecken eines USB-Sticks, das die Keyfiles für ein oder mehrere verschlüseslte Dateisysteme enthält, das System hochfahren kann.

Im anderen Fall wenn ich den Stick nicht zur Hand habe aber nach den Passwort/Passwörtern gefragt werde. Das die Bootpartition unverschlüsselt sein muss ist mir schon klar.

neuer Artikel zur Installation eines verschl. Systems

hefee

hefee

Smon