Moin,

ich habe mich gerade gefragt ob es möglich ist, eine Partition sanft, also ohne "umount -f" auszuhängen obwohl noch Programme auf Daten darauf zugreifen.

Hintergrund ist der, dass ich auf meinem Laptop eine verschlüsselte Partition habe und bei einem Suspend to Ram/Disk diese natürlich auch aushängen muss damit die Daten bei Diebstahl sicher sind. Natürlich ist es nervig alle Programme zu beenden bzw. dies ein Skript tun zu lassen, da ich sonst Suspend nicht bräuchte.

Ich könnte mir sowas wie ein Dateisystem vorstellen, welches noch zwischen meiner Crypto Partition und einer virtuellen Partition sitzt und Schreib/Lesevorgänge solange aussetzt bis die Partition wieder da ist.

Hat jemand Erfahrungen gemacht oder muss ich doch fuser anschmeissen?

-robert

Ich benutze die von Ubuntu automatisch eingerichtete Verschlüsselung, die ein großes verschlüsseltes lvm ist, in dem dann die eigentlichen partitionen liegen, / und swap. Beim kurz durchschauen der entsprechenden skripte habe ich da jetzt nichts gefunden wo partitionen ausgehängt werden, vielleicht solltest du einfach auch den swap oder die suspenddatei auch verschlüsseln.

Ich sehe da folgendes Problem:
du willst Sicherheit aber gleichzeitig nur ein Unterbinden des Zugriffs auf die verschlüsselte Partition, das bedeutet
a) wenn dein Wunsch möglich ist, dass ein Teil der Daten noch im Speicher liegen und dadurch Informationen über den Inhalt der Festplatte vorhanden sind
b) wenn dein Wunsch nicht möglich ist, dass höchstens Historys von einzelnen Programmen noch Pfade auf diese Partition enthalten

Ich würde die Partition immer aushängen und entsprechnde Programme schließen, das ist zwar umständlicher, aber durch die andere Alternative (wenn diese möglich wäre!) untergräbst du die Sicherheit deiner verschlüsselten Partition.
Wenn du dennoch sehr viel Wert darauf legst würde ich zu einer Software greifen, die die gesamte Festplatte verschlüsselt inklusive Betriebssystem.

Ich würde die Partition immer aushängen und entsprechnde Programme schließen, das ist zwar umständlicher, aber durch die andere Alternative (wenn diese möglich wäre!) untergräbst du die Sicherheit deiner verschlüsselten Partition.

Ja, dann kann er das mit Suspend aber auch gleich lassen, wenn man dabei alle Programme schließen muss.

Hallo, die Suspenddatei zu verschlüsseln wäre ne nette Idee. Dann bräuchte man wieder nur ein Passwort um zu starten.

Das Problem, welches ihr angesprochen habt, dass die geöffneten Programme dann natürlich die unverschlüsselten Daten geladen haben nehme ich in Kauf, da es sich dabei nur um einen kleinen Teil meiner Daten handelt. Klingt zwar nicht konsequent, aber irgendwo muss man halt Kompromisse eingehen.

Danke für den Tip, mal sehen was Suspend da so kann.

Gruß Robert

Hmmm wir brauchen encrypted RAM wie bei der Xbox360 ;) Wie machen die das? Wurde im 24C3-Vortrag glaub nich genau beschrieben.

1. Schritt wäre Linux auf der XBox zu installieren :)

Hab mal getestet, uswsusp unterstützt auf jeden Fall die Suspenddatei mit Blowfish zu verschlüsseln. Nicht viel, aber immerhin ein Anfang. Mehr ist wahrscheinlich nur mit TuxOnIce möglich.

-robert

Wie machen die das?
In Hardware. Von daher leider nicht praktikabel.

'cuda

IIRC ist die einzige Möglichkeit eine GNU/Linux-Installation mit verschlüsselten Partitionen zu suspenden, Linux mit suspend2 zu versehen.

http://www.tuxonice.net/HOWTO-7.html#ss7.3

In Hardware. Von daher leider nicht praktikabel.

'cuda
Wär halt mal en interessanter neuer Chipsatz nötig, eh? Dem RAM selbst dürfte das ja egal sein was drin is.

Wär halt mal en interessanter neuer Chipsatz nötig, eh? Dem RAM selbst dürfte das ja egal sein was drin is.

Natuerlich ist es dem RAM egal. Aber ich koennte wetten, dass sich dann wieder jeder beschwert, dass der Chipsatz ja so langsam ist. Hatten wir ja in der Vergangenheit auch des oefteren ;)

'cuda

Laut dem Vortrag ham die das ohne nennenswertere Performance-Einbußen gemacht. Und langsam is die Kiste nun wirklich nicht.

Kunststueck, bei drei Power-Cores :)
Nee, im Ernst: Wenn ich mir immer die Diskussionen anguck, dass CPU#1 gedisst wird, weil sie 2% (oder wegen mir auch 10%) langsamer ist als CPU#2, Groessenordnungen, die man eh nicht spuert, dann weiss ich auch, in was fuer Diskussionen selbst minimalste Geschwindigkeitseinbussen fuer den Kryptoteil hervorrufen wuerden.
Klar, 99% der User waere das eigentlich ziemlich egal, weil die Rechner prinzipiell fuer die meisten Dinge schnell genug sind.

'cuda