PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Komplette Festplattenverschlüsselung "Out of the Box" ?



Rubycon
11.02.07, 13:49
Hallo allerseits,

gibt es mittlerweile eigentlich eine Distribution die eine komplette (bis auf /boot) Festplatten-/Partitionsverschlüsselung "out of the box" bei der Installation anbietet, ohne das man selbst "rumbasteln" muß?

Die Anleitungen im Netz sind für mich zu kompliziert und scheinen auch nicht immer zuverlässig zu funktionieren, desweiteren sind sie meist auf englisch, was für mich nicht in Frage kommt.

Besten Dank für Infos

Andre

drunkenPenguin
11.02.07, 13:59
Frueher wurde man bei einer Suse-Installation noch danach gefragt (AFAIR), bzw. konnte man das zumindest nachtraeglich ueber Yast einrichten.
Ansonsten -- falls Du etwas distributionsunabhaengig bleiben willst -- kannst Du Dir mal cryptmount (http://cryptmount.sourceforge.net/) anschauen. Das erhaelt zwar auch nicht den "Most Userfriendly User Interface Design Award" von mir, aber immerhin ein Fortschritt.

Rubycon
11.02.07, 15:04
Stimmt, habe mit Suse immer meine /home Partition verschlüsselt. leider klappt das mit /root nicht, deswegen suche ich nach einer Alternative die möglichst einfach zu handhaben ist. Es handelt sich bei der zu verschlüsselnden Festplatte um eine SCSI U320. Denke das muß auch beachtet werden.

-hanky-
11.02.07, 16:23
Ich habe das auf dem Laptop bislang immer mit einer eigenen Lösung gemacht, seitdem ich Ubuntu einsetze bin ich nach der Anleitung auf [1] vorgegangen und bis jetzt funktioniert es einwandfrei.

Fordert allerdings auch Handarbeit und ist auf englisch, trotzdem lohnt es sich meiner Meinung nach, denn wenn man es einmal eingerichtet hat sind keine weiteren Aktionen nötig.

Ach ja, den Ratschlag unter [1] zunächst eine Serverinstallation kannst du getrost ignorieren - damit hatte ich nur Stress.

In der Praxis sieht das dann so aus, dass Ubuntu normal mit Splashscreen bootet, danach das Passwort abfragt und anschließend ganz normal mit Splashscreen weiterbootet. Sieht also schick aus und funktioniert.

Leider hat sich in der Anleitung ein kleiner Fehler eingeschlichen:

Die Zeile



cp /etc/console/boottime.kmap.gz ${DESTDIR}/etc/console


muss unter Ubuntu 6.10 durch



cp /etc/console-setup/boottime.kmap.gz ${DESTDIR}/etc/console


ersetzt werden. Weiterhin hat man eine US-Tastatur eingestellt, also darauf achten dass Y und Z vertauscht sind. Ich schreib dem Autor des Artikels noch und weise ihn auf diese Tatsachen hin bzw. editiere den Artikel selbst sofern dies möglich ist. Muss jetzt aber zunächst selbst meinen Laptop noch einrichten ( Kaputter RAM ist böse ;) ).

-hanky-

P.S.: Fast vergessen: Ich hab das System und danach sämtliche verfügbaren Update installiert und es erst dann kopiert. Ich hatte bei meiner ersten Installation das Problem dass ich den Kernel nicht mehr upgraden konnte ( angeblich war die abgeänderte initramfs nicht kompatibel zur Kernelversion ). Allerdings habe ich den Verdacht dass das System infolge des kaputten RAMs bereits einen Schlag hatte und es daran lag ( Firefox z.B. wollte auch gar nicht erst starten und meckerte über fehlende Dateien ).

[1] https://help.ubuntu.com/community/EncryptedFilesystem

edit: @ drunkenpenguin: Ich hab das nach [2] gelöst. Scheint ein ähnlicher Ansatz zu sein und hat sich im täglichen Einsatz absolut bewährt :)

[2] http://de.gentoo-wiki.com/Partition_verschl%C3%BCsseln#T.C3.A4glicher_Gebrau ch

/dev/null_Peter
11.02.07, 17:14
Hi,

schon mal danach geschaut:

http://www.ce-infosys.com/deutsch/downloads/free_compusec/index.html

(die Linuxversion ist etwas versteckt ...).


MfG Peter

Rubycon
11.02.07, 17:45
@ -hanky-

Vielen Dank !
Das liest sich ja gut. Einzige Bedenken habe ich bloß mit dem scsi-Modul das ich ja mit Sicherheit benötige, woll ? Oder spielt das keine Rolle und ich muß es nicht separat einbinden ? Hmmm...ich probiere es einfach mal.....

@ /dev/null_Peter

Dir auch vielen Dank !
Es steht in der Anleitung, das modifizierte Kernel nicht unterstützt werden....
Wie schaut es denn nach einem Standart-Kernel-Update aus....?
Läuft die Geschichte dann noch ? Ich denke dabei an die Nvidia-Treiber nach einem Kernel-Update, das ist zwar einfach zu handhaben, aber bei der Verschlüsselungsgeschichte stell ich mir das problematisch vor.
Erfahrung ?

Apoll
12.02.07, 11:57
Debian bietet (seit dem etch RC1 installer) die Möglichkeit, direkt bei der Installation ein encrypted LVM zu erstellen.

-hanky-
12.02.07, 14:53
@ -hanky-

Vielen Dank !
Das liest sich ja gut. Einzige Bedenken habe ich bloß mit dem scsi-Modul das ich ja mit Sicherheit benötige, woll ? Oder spielt das keine Rolle und ich muß es nicht separat einbinden ? Hmmm...ich probiere es einfach mal.....


Das spielt meines Wissens keine Rolle. Allerdings kannst du um auf Nummer Sicher zu gehen das SCSI-Modul einfach unter /etc/initramfs-tools/modules mit hinzufügen, es sollte dann wohl ebenfalls automatisch geladen werden.

-hanky-

fuffy
12.02.07, 15:19
Hi!


gibt es mittlerweile eigentlich eine Distribution die eine komplette (bis auf /boot) Festplatten-/Partitionsverschlüsselung "out of the box" bei der Installation anbietet, ohne das man selbst "rumbasteln" muß?
Klar, ArchLinux (0.8 beta) und Debian (etch). Bei Fedora ist das eigentlich auch geplant.

Gruß
fuffy

PS. Die Workarounds mit einer vorübergehenden unverschlüsselten root-Partition und einer freien Partition, die später das verschlüsselte root-Dateisystem enthalten soll, finde ich schrecklich.