PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : verschlüsselte Partitionen automatisch während des bootens mounten?



Ocultor
16.11.06, 23:47
Hi,

Ich hoffe ihr könnte mir weiterhelfen.

Ich versuche ein paar meiner verschlüsselten Partitionen automatisch (ohne Passwort eingabe) zu mounten. Die Schlüsseldateien liegen auf einem anderen Rechner der 24/7 läuft.
Bei Partitionen die nicht beim Bootvorgang benötigt werden funktioniert dass auch ohne Probleme (Ich habe die Befehle dazu einfach in die local.start eingetragen).
Nur wie kann man das bei /var und /tmp realisieren? Geht das überhaupt?

Gruss Ocultor

P.S.: Ich nutze Gentoo und Cryptsetup-luks

-hanky-
17.11.06, 10:59
Die Informationen sind etwas dürr ;)

Wie willst du denn auf den anderen PC zugreifen, auf dem die Schlüsseldaten liegen?

Prinzipiell ist dein Vorhaben, bereits beim Booten benötigte Partitionen zu verschlüsseln, problemlos möglich - ich habe auf meinem Laptop die Root-Partition per cryptsetup-luks verschlüsselt.

-hanky-

Ocultor
17.11.06, 16:01
Hi,


Wie willst du denn auf den anderen PC zugreifen, auf dem die Schlüsseldaten liegen?

Auf jedenfall übers Netzwerk (Ob ssh, nfs etc. ist egal). Und genau da liegt mein Problem. Da ich über das Netzwerk auf den "Schlüsselrechner" zugreifen will aber das Netzwerk erst recht spät gestartet wird.

Also der Rechner mit den verschlüsselten Partitionen soll während des hochfahrens über das Netzwerk auf den "Schlüsselrechner" und auf die Schlüsseldateien zugreifen und die Partitionen entschlüsseln. Das Problem seh ich dabei bei Partitionen wie /var und /tmp die schon entschlüsselt werden müssen bevor das Netzwerk gestartet wird.

Mein Problem ist im Augenblick einfach dass mir nichts mehr einfällt dies zu lösen.


Die Informationen sind etwas dürr

Das liegt daran das ich mich schwer damit tue bei solchen sachen mich richtig Auszudrücken ;) Sorry deswegen. Aber vielleicht wird es nun verständlciher, ansonsten versuch ich es nochmal zu beschreiben.

Gruss Ocultor

DarkTron
17.11.06, 17:11
Hi,

Ich hoffe ihr könnte mir weiterhelfen.

Ich versuche ein paar meiner verschlüsselten Partitionen automatisch (ohne Passwort eingabe) zu mounten. Die Schlüsseldateien liegen auf einem anderen Rechner der 24/7 läuft.
Bei Partitionen die nicht beim Bootvorgang benötigt werden funktioniert dass auch ohne Probleme (Ich habe die Befehle dazu einfach in die local.start eingetragen).
Nur wie kann man das bei /var und /tmp realisieren? Geht das überhaupt?

Gruss Ocultor

P.S.: Ich nutze Gentoo und Cryptsetup-luks

Hallo,
ich nutze bei mir LoopAES und habe auch /tmp und swap verschlüsselt, bei jedem start wird dabei ein neuer schlüssel generiert. Sodass nach einem Neustart auch alle Daten weg sind. Für /tmp und swap finde ich das aber ganz praktisch. Vielleicht gibt es die "key-on-the-fly" methode auch bei cryptsetup-LUKS?

-hanky-
17.11.06, 19:12
Hi,

Auf jedenfall übers Netzwerk (Ob ssh, nfs etc. ist egal). Und genau da liegt mein Problem. Da ich über das Netzwerk auf den "Schlüsselrechner" zugreifen will aber das Netzwerk erst recht spät gestartet wird.

Also der Rechner mit den verschlüsselten Partitionen soll während des hochfahrens über das Netzwerk auf den "Schlüsselrechner" und auf die Schlüsseldateien zugreifen und die Partitionen entschlüsseln. Das Problem seh ich dabei bei Partitionen wie /var und /tmp die schon entschlüsselt werden müssen bevor das Netzwerk gestartet wird.


Also ich persönlich habe das über eine initramfs gelöst. Das ist eine Ramdisk - ähnlich wie die initrd - die vom Kernel gebootet wird bevor die Kontrolle an das eigentliche System übergeben wird. Es sollte eigentlich kein Problem sein dort das Modul für die Netzwerkkarte ( jetzt sag bitte nicht dass das eine WLAN-Karte ist :ugly: ;) ) unterzubringen und zu laden. Anschließend kann man dann je nach Wunsch über NFS oder SSH den Hostkey vom Zielrechner übertragen. Für maximale Sicherheit würde ich SSH nehmen und mich per Public Key dort einloggen; damit wird das Passwort verschlüsselt übertragen.

Ich habe mich an eine Anleitung aus dem Gentoo-Forum und einen Artikel aus dem Linux-Magazin gehalten. Wenn du dich etwas mit Bash Scripting auskennst kannst du gerne mein Skript haben welches ich mir erstellt habe um bei Bedarf rasch eine neue initramfs zu bauen; du musst es dann natürlich deinen Wünschen entsprechend um die benötigten Programme anpassen. Die Links zu den Artikeln ( [1], [2] ) findest du am Ende meines Beitrags; das Skript lade ich dir bei Bedarf hoch ( ich muss noch ein wenig daran basteln, ein paar kleinere Fehler beheben ).



Das liegt daran das ich mich schwer damit tue bei solchen sachen mich richtig Auszudrücken ;) Sorry deswegen. Aber vielleicht wird es nun verständlciher, ansonsten versuch ich es nochmal zu beschreiben.

Gruss Ocultor

Soweit habe ich es jetzt verstanden. Allerdings würde mich interessieren was du dir davon erhoffst. /tmp würde ich ( genau wie swap ) wie von DarkTron vorgeschlagen mit einem zufällig generierten Schlüssel mounten; die Daten benötigst du nach einem Neustart sowieso nicht mehr. Bleibt noch /var - sind dort so wichtige Dateien? Ich hatte vor der Komplettverschlüsselung ( die bei meiner Partitionierung /var und /tmp mit einschließt ) eine extra verschlüsselte Partition auf der ich die für mich wichtigen Daten abgelegt habe.

Will heißen: Dein Vorhaben sollte machbar sein, allerdings mit erheblichem Aufwand, selbst wenn du mein Skript anpasst. Warum möchtest du denn den Schlüssel unbedingt übers Netzwerk holen?

@ Darktron: Die Methode gibts auch bei cryptsetup-LUKS :)

-hanky-

[1] http://gentoo-wiki.com/SECURITY_Encrypting_Root_Filesystem_with_DM-Crypt_with_LUKS
[2] http://www.linux-magazin.de/Artikel/ausgabe/2006/10/cryptofshowto/cryptofshowto.html

Ocultor
18.11.06, 16:47
Vielen Dank für die Anworten.

/tmp mit zufälligem Schlüssel zu verschlüsseln ist eine gute Idee. Werde ich so machen.

Erhoffen tue ich mir davon etwas mehr bequemlichkeit. Also ich habe ein Notebook und pendle damit zwischen zwei netzwerken hin und her. und ich will nicht jedesmal ein passwort eigeben müssen, sondern ich will von der verschlüsselung nichts merken. Trotzdem sollen die Daten sicher sein falls mir das notebook unterwegs mal geklaut wird.

Ob auf /var so wichtige Daten sind weiß ich ehrlichgesagt nicht mal genau. Als ich mich hier im Forum über die Suchfunktion informiert habe welche Verzeichnisse man verschlüssel sollte kam dabei /tmp, /home und /var raus.
Vielleicht laß ich /var auch einfach weg. Ich werde mal Nutzen und Aufwand gegenüberstellen.

Vielleicht kann mir jemand von euch sagen was ausser Mails sensibles in /var liegen könnte.

Gruss Ocultor

-hanky-
19.11.06, 12:04
Vielen Dank für die Anworten.

/tmp mit zufälligem Schlüssel zu verschlüsseln ist eine gute Idee. Werde ich so machen.

Erhoffen tue ich mir davon etwas mehr bequemlichkeit. Also ich habe ein Notebook und pendle damit zwischen zwei netzwerken hin und her. und ich will nicht jedesmal ein passwort eigeben müssen, sondern ich will von der verschlüsselung nichts merken. Trotzdem sollen die Daten sicher sein falls mir das notebook unterwegs mal geklaut wird.

Ob auf /var so wichtige Daten sind weiß ich ehrlichgesagt nicht mal genau. Als ich mich hier im Forum über die Suchfunktion informiert habe welche Verzeichnisse man verschlüssel sollte kam dabei /tmp, /home und /var raus.
Vielleicht laß ich /var auch einfach weg. Ich werde mal Nutzen und Aufwand gegenüberstellen.

Vielleicht kann mir jemand von euch sagen was ausser Mails sensibles in /var liegen könnte.

Gruss Ocultor

Hi,

also bei mir liegen auch keine Mails unter /var. Welchen Mailclient verwendest du denn?

Ansonsten liegen unter /var halt noch diverse Logfiles, Druckaufträge & Co. Musst du wissen inwiefern das interessant sein könnte.

Um dir einen Tipp zu geben: Vergiss das mit dem Netzwerk. Du wirst schon einen ordentlichen Aufwand betreiben müssen und es stellt sich die Frage ob sich das lohnt. Was machst du z.B. wenn du mal nicht in einem der beiden Netze bist oder der Server mit dem Schlüssel nicht funktioniert? Das wäre mir viel zu riskant.

Viel sinnvoller finde ich z.B. als Lösung das Speichern des Passworts auf einem USB-Stick oder - falls dein Laptop einen integrierten Kartenleser hat noch besser - auf einer SD-Karte o.Ä.. Beim Booten einfach den Stick einstecken oder die Karte einlegen, Passwort davon lesen lassen und fertig. Sollte sich mit vertretbarem Aufwand einrichten lassen.

Damit kannst du dein System komplett verschlüsseln ( sofern gewünscht ). SD-Karte/USB-Stick und den Rechner natürlich getrennt voneinander aufbewahren ;)

-hanky-

Ocultor
19.11.06, 16:54
Hi,


also bei mir liegen auch keine Mails unter /var. Welchen Mailclient verwendest du denn?

IMAP legt Daten dort ab, allerdings fliegt das auf kurz oder lang runter und auf einen anderen Rechner.

Ich bin überzeugt. /var wird erstmal nicht verschlüsselt. Das ist den Aufwand nicht wert.

Danke für eure Hilfe