Siduction Forum
BUGS => Archiv Wiki => Topic started by: bluelupo on 2013/07/30, 09:03:45
-
Hallo zusammen,
da ich gerade mit Verschlüsselung (LUKS) im Zusammenhang mit Logical Volume Manager experimentiere habe ich einen neunen Artikel im Wiki erstellt der die Installation von siduction in einem verschlüsselten System beschreibt.
Der Artikel gliedert sich in zwei Installationsvarianten, nachzulesen hier unter Verschlüsseltes System mit LUKS/dm-crypt und LVM aufsetzen (http://wiki.siduction.de/index.php?title=Verschl%C3%BCsseltes_System_mit_LUKS/dm-crypt_und_LVM_aufsetzen)
Verbesserungsvorschläge und Fehlerkorrekturen sind natürlich erwünscht.
-
finde gut, dass Du sowas sauber dokumentierst. Sich da einzuarbeiten ist eine Welt für sich und für Laien nicht einfach.
Danke!
-
um bei variante 1 nicht sooft das PW einzugeben, kann auch mit einer schlüsseldateien, die auf root liegen gearbeitet werden.
-
@hefee:
stimmt da hast du Recht. Aber wenn dann würde ich die Schlüsseldateien auf einen USB-Stick legen, auf das verschlüsselte Device die Keys zu legen macht für mich keinen Sinn (Zugriffsschutz). Auch funktioniert das meines Wissens nur für Nicht-Root-Filesysteme. Das heißt, einmal musst du mindestens ein Passwort eingeben ;-)
@Lanzi:
Das Thema ist eigentlich gar nicht so schwer zu verstehen, wenn man erst mal kapiert hat das LUKS/dm-crypt eine weitere logische Schicht zwischen der HW und dem Dateisystem ist, ähnlich wie der LVM auch. Es ist aber genial wie sich die beiden ergänzen ;-)
Wenn ihr beide Lust habt könnt anhand des Artikel das Szenario mal durchspielen sprich installieren und mir Feedback geben, wo etwas noch nicht passt von der Anleitung.
-
Ich werde jetzt erstmal keine Installation durchführen :D Ich habe ja auch auch schon einen Artikel im dasmals noch Aptosid Wiki geschrieben :) Es hat sich ja seit dem eigentlich nicht viel geändert, außer das die Nachbearbeitung weniger geworden ist. Aber deswegen bin ich auch ziemlich sicher das deine Anleitung passt.
Siehe:
http://wiki.siduction.de/index.php?title=Installation_auf_einer_verschlüsselten_Festplatte
-
@bluelupo:
ich nutze Luks / dm-crpt seit Jahren. Hattest mir damals bei der Einrichtung ehr geholfen. Muss noch zu aptosid oder gar sidux-zeiten gewesen sein.
Das einzige was ich nicht nutze ist LVM.
Festplattenweise habe ich den Eindruck ne bessere Übersicht zu haben.
-
[...]
Festplattenweise habe ich den Eindruck ne bessere Übersicht zu haben.
@Lanzi: verstehe ich ich nicht wie das meinst?
-
in meinem Server stecken mehrere Platten, und wen ich diese einzeln ansteuer, dann erscheint es mir übersichtlicher. Als LVM wäre das doch dann eher ein Verbund, oder?
Wie gesagt LVM abe ich mich nie eingearbeitet.
-
Hi Lanzi,
der LVM geht völlig transparent mit der Physik sprich Disks um. Du kannst alle Disks (PV's) in eine Volumegroup (VG) packen, das vom OS dann als ein Device erkannt wird. Diese VG enthält wiederum die logischen Container für das Dateisystem, die Logical Volumes (LV). Du kannst aber auch jede einzelne Disk in eine VG packen und sie quasi wie ein sd*-Device behandeln.
Bei einem Server würde ich immer den LVM einsetzen, da dieser zB. die Backupstrategie doch sehr erleichtert (Stichwort Snapshot). Ein weiterer Vorteil ist die eingebaute RAID1-Funktionalität (Spiegelung) des LVM. Von den Online-Größenänderungen der Dateisysteme ganz zu schweigen ;-)
Ich habe eine langjährige Erfahrung mit dem LVM und kann nur positives berichten und habe ihn zu schätzen gelernt.
-
Aber wenn dann würde ich die Schlüsseldateien auf einen USB-Stick legen, auf das verschlüsselte Device die Keys zu legen macht für mich keinen Sinn (Zugriffsschutz).
Das verstehe ich nicht. Warum genau ergibt das keinen Sinn?
-
Hi Steve,
die Schlüsseldateien sollen einem doch die Passworteingabe ersparen, d.h. dann aber im Fall der Ablage auf der Festplatte dass das System an dieser Stelle automatisch hochfährt, da die Schlüsseldateien immer vor Ort liegen. Einen USB-Stick muss ich im Gegensatz dazu aktiv an's System anstecken. Verstehe ich da etwas falsch?
-
Hi,
ich verstehe nicht ganz welchen Sinn ein verschlüsseltes System macht wenn ich dann keinen Schlüssel brauche um das System hoch zu fahren?
Gruß
ayla (etwas verwirrt)
-
die Schlüsseldateien sollen einem doch die Passworteingabe ersparen, d.h. dann aber im Fall der Ablage auf der Festplatte dass das System an dieser Stelle automatisch hochfährt, da die Schlüsseldateien immer vor Ort liegen. Einen USB-Stick muss ich im Gegensatz dazu aktiv an's System anstecken. Verstehe ich da etwas falsch?
Ja, Du verstehst was falsch. /boot ist unverschlüsselt und lädt die initrd. Dann gibst Du das Passwort ein, um / aufzuschließen. Darauf liegen dann die Keys für alle weiteren Partitionen, sodass Du nur einmal ein Passwort eingeben musst, obwohl mehrere Partitionen einzeln verschlüsselt sind.
-
Wieso unter debian nicht /lib/cryptsetup/scripts/decrypt_derived nehmen?
-
Hi Steve,
ich meinte ich hätte schon im Netz gelesen (finde gerade den Link nicht), das man komplett ohne Passworteingabe nur mit dem physikalischen anstecken eines USB-Sticks, das die Keyfiles für ein oder mehrere verschlüseslte Dateisysteme enthält, das System hochfahren kann.
Im anderen Fall wenn ich den Stick nicht zur Hand habe aber nach den Passwort/Passwörtern gefragt werde. Das die Bootpartition unverschlüsselt sein muss ist mir schon klar.
-
Hi BlueLupo,
ja, das kann man machen. Das hatte ich vor einiger Zeit unter Gentoo realisiert. Mir gefiel dann aber die Idee nicht so gut, nur eine Hardwarekomponente zum Hochfahren zu haben. Mir ist die Variante mit Passwort, dass nur ich im Kopf habe, irgendwie lieber.
Später hatte ich dann die USB-Keyvariante zusätzlich mit gnupg abgesichert, das passte auch ganz gut. Man neigt dann aber schlussendlich dazu, den Stick doch hin und wieder im PC stecken zu lassen, was die ganze Idee ab absurdum führt, wenn kein zusätzliches Passwort abgefragt wird.
-
Hier noch ein Link zur Verschlüsselung: http://www.dyne.org/software/tomb/
greetz
devil