System mit TrueCrypt verschlüsseln

[seels]

Hallo zusammen!

Ich bin neu hier in dem Forum und hoffe ihr könnt mir weiterhelfen! :/

Ich schlage mich schon seit einer Woche mit dem Programm TrueCrypt rum und möchte mein gesamtes System verschlüsseln.
Dazu habe ich mir den Debian Etch Netzinstaller gesaugt und ein minimales Debian System mit folgender Partitionstabelle installiert:

Code:

/sda1      ext2      /boot        	200MB
/sda5      swap      swap         	2GB 
/sda6      ext3      /tmp         	1GB 
/sda7      ext3      (nicht eingehängt) 10GB 
/sda8      ext3      /         		66.8GB

Ich habe nun /sda7 gemountet und mit TrueCrypt verschlüsselt. Danach habe ich das System mit allen Links und Ordnerrechten (cp -ax ...) von meinem eigentlichen System /sda8 auf /sda7 kopiert.

Wenn ich nun /etc/fstab und die Grub config in /boot/grub/menu.lst anpasse, könnte ich theoretisch von meinem neuen System booten. Leider nur theoretisch, praktisch geht es noch nicht da es ja verschlüsselt ist und beim Booten erstmal entschlüsselt werden soll

Nun wurde mir gesagt, dass ich auf /boot (was ja unverschlüsselt ist und logischerweise auch bleiben soll) den Kernel mit den TrueCrypt Modulen, sowie TrueCrypt selber kopieren soll.

Nur leider was ich ab hier nicht genau wie ich das machen soll...
- Soll ich einfach einen Ordner mit /kernel und /truecrypt auf /boot erstellen?
- Welche Kernelmodule muss ich überhaupt mit reinnehmen? Habe bisher die AES Module fest im Kernel und natürlich mein filesystem ext2 und ext3.
- Beim Booten wird doch die Initrd aufgerufen, wie sag ich ihr nun wo sich der Kernel und TrueCrypt befinden?
- Ich möchte ja ein Script in den Startprozess einbinden welches nach der Passphrase fragt. Auf http://privat.heinzelzwerg.de/howtos/debian/truecrypt/ gibt es ein sehr gutes Script wie man seine /home Partition verschlüsselt und er beim Booten nach der Passphrase fragt, klappt auch soweit wunderbar. Nur muss man das nach /usr/... kopieren was dann ja quasi auf der zu entschlüsselnen / Partition liegt... Müsste das dann nicht auch irgendwo nach /boot und dort eingebunden werden?


Ich hoffe mir kann jemand weiterhelfen der sein System evtl. auch so verschlüsselt hat. Ich hab hier leider keine Ahnung wie ich weitermachen soll :/

Danke für eure Hinweise!

Liebe Grüße,
seels

[gnuroman]

Macht es überhaupt Sinn, alles zu verschlüsseln?
Reicht es nicht, /home zu verschlüsseln?

[faxxy]

würde ich auch machen.
ich würde das linux-OS an sich nicht verschlüsseln und nur die anderen Daten verschlüsseln lassen

[dominiks]

Also ich verstehe den Ansatz nicht so ganz.

Ich würde auch nur das /home verschlüsseln, wenn man ganz paranoid ist auch noch alle anderen Mount Points und swap.
Allerdings würde ich dafür eher dm-crypt hernehmen, das ist fest im Kernel vorhanden und dafür gibt es auch gute Howtos, dafür habe ich momentan aber keinen Link zu Hand.
Ich selbst habe dm-crypt am laufen, allerdings unter SuSE, wo das schon fest vorkonfiguriert wird.

Truecrypt würde ich nur einsetzen, wenn es sich um eine externe Platte handelt oder du nur eine kleine Menge an Daten auf deiner Platte verschlüsseln willst.

greetz
dominik

[fuffy]

Hi!

Eine Verschlüsselung mittels dm-crypt oder loop-aes kann man direkt mit dem Debian-Installer einrichten. Da kann man sich den ganzen Krampf mit nachträglicher Verschlüsselung sparen.

Gruß
fuffy

[seels]

@all
Das Thema "alles verschlüsseln" oder nur einen Teil der Platte kann man natürlich ausgiebig diskutieren, das habe ich schon oft gemerkt
Allerdings muss man bedenken, dass Programme ihre Daten auch in swap, /tmp und anderen Bereichen auslagern. Bevor man nun diese ganzen Parts verschlüsselt wäre es einfacher gleich alles zu verschlüsseln - ist zumindest meine Meinung.

@fuffy
Wo genau geht das? Ich verwende eigentlich nur den Etch Networkinstaller. Meinst du die LVM Verschlüsselung damit oder ist das nur bei den Debian VollCDs so?
Das würde mir nämlich verdammt viel Arbeit abnehmen

Gruß
seels

//EDIT
Ok habs nun gefunden, vielen Dank für diesen Tipp! Habs irgendwie immer überlesen :/