FESTPLATTEN UNTER LINUX / SUSE 9.2 VERSCHLÜSSELN! SO GEHTS!

Hallo

Die Anleitung bezieht dich auf die Verschlüsselung einer zweiten Festplatte oder Partition und nicht der Start Partition!!!

Die Anleitung habe ich für SUSE 9.2 mit dem Kernel 2.6 geschrieben und weiß nicht ob sie auch auf einer anderen Version funktioniert (wer es auf einer anderen Version testet, soll es bitte posten)!

Die ANLEITUNG könnt ihr euch hier runterladen. (http://81.169.165.234/linux/LINUX_SUSE_HDD_VERSCHLUESSELN.pdf)
(LINUX_SUSE_HDD_VERSCHLUESSELN.PDF)




Gruß

Dino2004

Sehr dürftig gehalten, das Ganze.
Ich kann mir nicht vorstellen, dass das einem Neuling auf diesem Gebiet helfen würde.

Hallo


Sorry aber ich bin seit ganze 12 Tagen mit Linux beschäftigt und ich blicke da selber durch!!!

Wenn natürlich jemand anregungen hat und verbesserungen, dann soll er es bitte posten, ich werde die Datei liebend gerne verbessern!!!


Gruß


Dino

Sorry aber ich bin seit ganze 12 Tagen mit Linux beschäftigt und ich blicke da selber durch!
Wenn natürlich jemand anregungen hat und verbesserungen, dann soll er es bitte posten, ich werde die Datei liebend gerne verbessern!

Ich würde EXT2 (ein dateisystem ohne journal benutzen) das ist sicherer.

Ich würde EXT2 (ein dateisystem ohne journal benutzen) das ist sicherer.


Das hört sich gut an, aber leider weiß ich nicht wie man das macht!!!

Ich bin zwar nach 13 Tagen Suse ;-) schon ein "wenig" vertraut, aber an erfahrungen fehlen mir noch ein paar Jahre ;-)



Gruß


Dino

Das hört sich gut an, aber leider weiß ich nicht wie man das macht!!!

Ich bin zwar nach 13 Tagen Suse ;-) schon ein "wenig" vertraut, aber an erfahrungen fehlen mir noch ein paar Jahre ;-)



Gruß


Dino

Mit mkfs.ext2 kannst du ganz einfach eine ext2-Partition erstellen.

Was das Howto angeht - finde ich auch etwas "dürftig". Einerseits deshalb weil deine Methode nur unter SuSE funktioniert und vermutlich auch nur dort funktionieren wird ( loop-aes ist nicht standardmäßig im Linux-Kernel integriert und erfordert u.A. ein gepatchtes util-linux - der Aufwand ist also bei einer Distribution mit Vanilla-Kernel um ein Vielfaches höher ), andererseits weil einige inhaltliche Schnitzer eingebaut sind, beispielsweise ist die Aussage



Wenn ihr nach einem Neustart oder nach einem umount[...]


so nicht korrekt - auf das Device wird überhaupt nicht zugegriffen da es nicht eingebunden ist, die Daten werden also einfach in den Ordner /mnt/xyz geschrieben ( unverschlüsselt ). Insofern stimmt die Aussage nur teilweise.

Gleiches gilt für



[...]wenn ihr immer die Platte eingebunden habt, kommt auch keiner an eure Daten dran.


Wenn die Platte entschlüsselt eingebunden ist und sich jemand unberechtigt Zugang zum Rechner verschafft, kann er die Daten problemlos auslesen. Die Verschlüsselung ist nur dann wirklich wirksam, wenn die Platte nicht eingebunden ist - denn dann kann nicht ohne Passwort auf die Daten zugegriffen werden.

-hanky-

P.S.: Ich nehme an, dass du nur die wirklich wichtigen Daten verschlüsseln möchtest. Dann wäre es eigentlich ratsamer, einen verschlüsselten Container anzulegen anstatt eine ganze Partition zu verschlüsseln, denn natürlich verbraucht die Verschlüsselung auch Ressourcen ( und zwar ziemlich heftig im Zweifelsfall ) und "bremst" die Platte aus - ich schaffe beispielsweise maximal 25 mb/s laut hdparm beim Zugriff auf eine verschlüsselte Partition - und das bei 100% CPU-Last. Im Gegensatz dazu stehen 55 mb/s bei max. 5% Last ;)

P.P.S.: Manchmal ist weniger mehr - in deinem Fall bezogen auf die Ausrufezeichen ;)

Die Anleitung habe ich für SUSE 9.2 mit dem Kernel 2.6 geschrieben
Man kann auch einfach im Handbuch unter "Verschlüsseln" nachschlagen und dann ab Seite 671 lesen wie es geht. Der Trick mit dem Handbuch funktioniert auch bei anderen Suse Versionen.

Hallo


Vielen Dank für die Antworten!

-hanky-


P.S.: Ich nehme an, dass du nur die wirklich wichtigen Daten verschlüsseln möchtest. Dann wäre es eigentlich ratsamer, einen verschlüsselten Container anzulegen anstatt eine ganze Partition zu verschlüsseln, denn natürlich verbraucht die Verschlüsselung auch Ressourcen ( und zwar ziemlich heftig im Zweifelsfall ) und "bremst" die Platte aus - ich schaffe beispielsweise maximal 25 mb/s laut hdparm beim Zugriff auf eine verschlüsselte Partition - und das bei 100% CPU-Last. Im Gegensatz dazu stehen 55 mb/s bei max. 5% Last


Das habe ich natürlich grade getestet, ich schaffe 47 mb/s bei einer CPU Last von 14%!

Athlon XP 3000+ Bathon
1024MB RAM
MAXTOR ATA 200GB 7200upm 8MB


Das mit dem anderen Format werde ich die Tage mal Testen und das es oder so ähnlich im Handbuch steht, wusste ich nicht, da ich keins habe ;-)



Gruß


Dino

und das es oder so ähnlich im Handbuch steht, wusste ich nicht, da ich kein habe

Natürlich hast du das Handbuch. Starte mal via Yast die Softwareinstallation und suche nach dem Paket "adminguide". Der installiert dir dann das Handbuch nach /usr/share/doc/manual. Die konkrete Anleitung für Kryptopartitionen findet sich dann unter /usr/share/doc/manual/suselinux-adminguide_de/html/ch27s03.html

Das habe ich natürlich grade getestet, ich schaffe 47 mb/s bei einer CPU Last von 14%!

Athlon XP 3000+ Bathon
1024MB RAM
MAXTOR ATA 200GB 7200upm 8MB


Da misst du definitiv falsch. 47 mb/s sind ein Ding der Unmöglichkeit ;)

Vermutlich hast du hdparm auf die Platte direkt angewandt; du musst es allerdings natürlich auf das verschlüsselte Device anwenden.

Beispiel:



root@hanky:/dev/mapper# hdparm -tT /dev/loop0

/dev/loop0:
Timing cached reads: 1456 MB in 2.00 seconds = 726.30 MB/sec
Timing buffered disk reads: 62 MB in 3.07 seconds = 20.17 MB/sec


Im Vergleich dazu:



root@hanky:/dev/mapper# hdparm -tT /dev/hdb1

/dev/hdb1:
Timing cached reads: 1148 MB in 2.00 seconds = 573.51 MB/sec
Timing buffered disk reads: 108 MB in 3.01 seconds = 35.89 MB/sec


Die 35 mb/s sind für diese Platte normal ( da nur 5400 U/m ). Wie man sieht macht es in der Geschwindigkeit durchaus einen gewaltigen Unterschied, bei einer 7200er-Platte wird dieser noch gravierender.

-hanky-

plinux011 phil # hdparm -tT /dev/loop0

/dev/loop0:
Timing cached reads: 2976 MB in 2.00 seconds = 1488.23 MB/sec
Timing buffered disk reads: 42 MB in 3.13 seconds = 13.44 MB/sec


das schafft mein a64 3000 mit loop-aes 256bit

@ MrIch: Das kommt mir aber ein bisschen wenig vor.

Ich habe nämlich ebenfalls als Verschlüsselung AES256 gewählt, und meine Hardware ist bedeutend schlechter:

AMD Athlon XP 2100+
1024 MB RAM

-hanky-

ich habe gelesen das im 32bit modus assembler code(hochoptimiert) eingesetzt wird... beim a64 allerdings c.

ich habe gelesen das im 32bit modus assembler code(hochoptimiert) eingesetzt wird... beim a64 allerdings c.

Ach so - das wäre natürlich eine plausible Erklärung.

Blöd allerdings, dass ich mir demnächst auch einen A64 zulegen will :(

Naja, mal abwarten :)

-hanky-

wobei das wirklich sehr lahm ist... mein via c3 ist kaum langsamer... ob dm-crypt mit nem a64 schneller ist?

http://www.spinics.net/lists/crypto/msg02780.html

wobei das wirklich sehr lahm ist... mein via c3 ist kaum langsamer... ob dm-crypt mit nem a64 schneller ist?


Kann ich dir bei Gelegenheit sagen, wenn mein neuer A64 hier steht ( könnte allerdings noch etwas dauern ;) ).

Was den Via C3 angeht - kann der das nicht sogar in Hardware?



http://www.spinics.net/lists/crypto/msg02780.html

Hmmm, seltsam. Kernel 2.4.27 ist ja nun doch schon eine Weile her, die verlinkten News ebenfalls.

Ich nehme an du hast den loop-aes-Treiber selbst kompiliert? ( ist ja afaik bei manchen Distributionen bereits dabei )

-hanky-

ja habe die neuste Version selbst gebaut.

Der C3 kann es bei mir nur im software Modus weil meine version noch keine padlock engine hat. Der schafft fast 6mb pro sekunde in 128bit... mit 800MHz

also der A64 sollte doch locker 25Mb pro Sekunde schaffen denke ich... wo ich doch schnell Platten und 1GB Dual Channel habe. Also mein XP1700@1833 schaffte ca. 20mb pro Sekunde.

ja habe die neuste Version selbst gebaut.

Der C3 kann es bei mir nur im software Modus weil meine version noch keine padlock engine hat. Der schafft fast 6mb pro sekunde in 128bit... mit 800MHz

also der A64 sollte doch locker 25Mb pro Sekunde schaffen denke ich... wo ich doch schnell Platten und 1GB Dual Channel habe. Also mein XP1700@1833 schaffte ca. 20mb pro Sekunde.

Von der Platte hängt es in diesem Zusammenhang glaube ich weniger ab. Wie gesagt, ich packe knapp 20 mb/s bei einer Festplatte mit nur 5400 U/m. Der limitierende Faktor sollte die CPU sein, auch wenn ich auf meiner schnelleren Platte noch keine Verschlüsselung getestet habe.

Da erstaunen mich die 13 mb/s doch ein wenig. Selbst wenn der A64 nicht bedeutend schneller sein sollte in dieser Hinsicht ( was ich ein wenig bezweifle ), sollte er wenigstens die gleichen Werte erreichen, sprich ~ 20 mb/s.

Falls du Lust, Zeit und eine freie Partition hast kannst du dir ja mal testweise dm_crypt installieren. Ist eigentlich wirklich leicht einzurichten und macht keine Probleme in Verbindung mit loop-aes - habe es hier selbst parallel laufen.

Unter [1] & [2] findest du recht gute Anleitungen, die du halt an deine Anforderungen anpassen musst. Falls du Fragen hast kannst du dich auch gerne an mich wenden.

-hanky-

[1] http://forums.gentoo.org/viewtopic.php?p=1250192
[2] http://forums.gentoo.org/viewtopic.php?t=143301

edit: Völlig OT: Arbeitest du an deinem VIA C3? Ich hab momentan einen Barebone mit einem Celeron 2400, der sich allerdings sehr sehr träge anfühlt, hauptsächlich durch den nicht vorhanden AGP-Steckplatz und die lahme Grafikkarte. Wie schlägt sich denn der VIA C3? Würde mich nämlich reizen, er soll rein zum Arbeiten dienen ( allerdings auch große Programme wie Eclipse, etc. gut verkraften ), Spieleperformance ist völlig egal. Nur im Desktopbereich sollte er flüssig Arbeiten, DVDs/Videos wären auch ganz nett - mit der Padlock-Engine bietet sich ein Via C3 nämlich eigentlich sehr gut an.

Ich würde EXT2 (ein dateisystem ohne journal benutzen) das ist sicherer.
hi!

das journal machts nichts, wenn das dateisystem auf einer platte liegt.
auf das journal sollte man nur verzichten, wenn das dateisystem in einer datei, also einen container liegt.
siehe loop-aes docu.


falls jemand interesse hat:
http://docs.indymedia.org/view/Local/UkCrypto#Filesystem

//richard

der C3 ist bei mir reiner Server... er verschlüsselt halt alles 128bit loop-aes.... bei 100mbit fällt das mit 6mb pro Sekunde crypt Leistung gar nicht so auf.

Habe allerdings vor mir einen mit padlock engine zu holen, aber laut ct bringt das auch nicht soooo viel.

Mein 256bit aes Sys fühlt sich überigens relativ träge an wenn ich mein 1gb Postfache öffne... ich werde das ganze mal auf ne externe Platte sichern und dann ne neue Partition erstellen.

falls jemand interesse hat:
http://docs.indymedia.org/view/Local/UkCrypto#Filesystem


Das ist die Quelle nach der ich gesucht habe - besten Dank!!!

mfg
cane

Mal sehen wie sich dieser Thread entwickelt:
http://forums.gentoo.org/viewtopic-t-343724.html

es geht um 64bit aes Leistung.

plinux011 phil # hdparm -tT /dev/loop0

/dev/loop0:
Timing cached reads: 2816 MB in 2.00 seconds = 1408.21 MB/sec
Timing buffered disk reads: 114 MB in 3.08 seconds = 37.01 MB/sec


so nun geht es schneller... habe allerdings auch ne neue sata Platte...