Laptop einrichten mit verschlüsseltem LVM und ecryptf

[feldmaus]

Guten abend,

bin gerade dabei den Laptop meines Bruder neu einzurichten. Ich wollte auf jeden Fall die Festplatte verschlüsseln. D.h. LVM bietet sich da an als verschlüsselte Grundlage.

Nur brauche ich dann noch das ecryptfs verschlüsselte /home/Benutzer Verzeichnis?

Im Falle das der Beutzer automatisch abgemeldet wird, wird doch auch das HOME-Verzeichnis verschlüsselt mit ecryptfs.

Oder sollte man das aus Performance Gründen lassen.

Grüße

[rhHeini]

Klassisch:
- /boot unverschlüsselt auf eigener Partition
- luks-Container für LVM darin / und swap
- eigene Partition für /home, auch luks-verschlüsselt

Bei heutigen CPUs keine Performance-Probleme. Hab das schon mit einem AM2? 940e-CPU vor rund 15 Jahren auf meinem Fileserver mit SCSI-Platten laufen gehabt.

[schwedenmann]

Hallo


Oder / + /home als physikalisches verschlüseltes (sprich 1 Partition) device und dann 2 LVM`s mit / und /home darin. macht nur 1 PW für luks.


mfg
schwedenmann

[jph]

Nutze einfach die Voreinstellung des Installers: „geführte Partitionierung“ und dann „verschlüsseltes LVM“, siehe auch https://www.debian.org/releases/bookwor ... -partition.

Dies wird eine unverschlüsselte /boot-Partition erzeugen und ein verschlüsseltes LVM mit / und Swap darin. Optional kannst du ein zusätzliches LV für /home anlegen, davon hast du allerdings nur in genau definierten Anwendungsfällen etwas, weshalb das für einen Laptop, der nur zum Surfen etc. verwendet werden soll, überflüssige Komplexität ist. Das das ganze LVM verschlüsselt ist, ist eine zusätzliche Verschlüsselung des Home-Verzeichnisses nicht erforderlich.

Beim Booten des Rechners wirst du zur Eingabe des Verschlüsselungspasswortes aufgefordert. Über die Performance musst du dir keine Gedanken machen; ich fahre dieses Setup seit den Zeiten meines seligen ThinkPad X30 mit Pentium-III-Prozessor, schon der hat sich seinerzeit nicht groß drum gekümmert.

[hikaru]

Beim Booten des Rechners wirst du zur Eingabe des Verschlüsselungspasswortes aufgefordert. Über die Performance musst du dir keine Gedanken machen; ich fahre dieses Setup seit den Zeiten meines seligen ThinkPad X30 mit Pentium-III-Prozessor, schon der hat sich seinerzeit nicht groß drum gekümmert.

Ich habe ein Notebook mit Core2Duo-CPU und luks-verschlüsselten /home- und Daten-Partitionen (ohne lvm). Das ist also schneller als dein X30, aber auch weit entfernt von modern. Es hat noch kein AES-NI, muss also die Ver-/Entschlüsselung in Software auf der CPU machen.
Vergleichstests haben ergeben, dass Serpent hier schneller ist als AES, weshalb ich auf diesem Notebook Ersteres nutze.

Die durch die Ver-/Entschlüsselung erzeugte CPU-Auslastung bremst den Durchsatz der Datenträger bereits aus. Bei sporadischen Zugriffen ist das noch nicht spürbar, aber wenn ich größere Datenmengen hin- und herschaufle (z.B. VM-Images von einer internen HDD auf die Andere), dann merke ich einen Unterschied gegenüber vorher, als die Dateisysteme noch nicht verschlüsselt waren.
Und auch der Bootprozess wird durch die Entschlüsselung merklich verlangsamt.

[feldmaus]

Vielen lieben Dank Euch. Ich lasse es einfach so.

Sorgen müsste man haben.

Wünsche Allen schöne und angenehme Tage