Stretch und automatische Entschlüsselung mehrerer Platten

Warum Debian? Was muss ich vorher wissen? Wo geht's nach der Installation weiter?
Antworten
rhHeini
Beiträge: 832
Registriert: 20.04.2006 20:44:10

Stretch und automatische Entschlüsselung mehrerer Platten

Beitrag von rhHeini » 01.05.2018 19:04:38

Mein Fileserver läuft seit Lenny mit mehrerern einzeln verschlüsselten SCSI-Platten. Auch die PCs von meiner Frau und mir laufen mit mehreren einzeln verschlüsselten Platten. In der Regel ist das OS auf einer SSD, /home auf einer separaten Festplatte, und mindestens bei meinem PC ist noch eine weitere Platte drin zum Datenaustausch mit Windows die auch verschlüsselt ist. Die Entschlüsselung läuft beim Boot durch eine für jede Festplatte individuelle unabhängige Abfrage eines Keydevices. Wenn das Keydevice nicht da ist, steht der Rechner. Bis Wheezy hab ich keine grossen Änderungen machen müssen.

Jessie kam mir wegen der Einführung von systemd und dem Hinweis auf die nicht mehr funktionierenden Keyscripts nicht auf den Rechner, und nebenbei auch weil Mate in Wheezy und Jessie eh gleich sind. Fileserver und beide PCs laufen noch mit Wheezy. Da der Support langsam ausläuft, muss allmählich eine Lösung her.

Bei Versuchen mit Stretch mit systemd habe ich es mit Hilfe von viel Input von rendegast geschafft das Verfahren so anzupassen dass das OS auf mit einem Keyscript startet. An dem Verfahren wie im Wiki beschrieben scheitere ich. Ich behaupte der Wiki-Artikel geht soi gar nicht.

Mir ist es auch nicht gelungen eine zweite Platte unabhängig automatisch zu entschlüsseln, so viel ich auch ausprobiert habe. Ich hab auch im Internet nichts gefunden was sich nicht auf Schlüsselableitung bezieht.

Gibt es da überhaupt ein Verfahren mit Stretch so was zu machen?

Danke, Rolf

Benutzeravatar
ThorstenS
Beiträge: 2749
Registriert: 24.04.2004 15:33:31

Re: Stretch und automatische Entschlüsselung mehrerer Platten

Beitrag von ThorstenS » 01.05.2018 19:49:50

Ich stecke in dem Thema nicht so tief drin, aber vllt. hilft dir der nitrokey start|pro weiter: https://www.nitrokey.com/

Benutzeravatar
Profbunny
Beiträge: 560
Registriert: 04.04.2004 11:12:29
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Bautzen

Re: Stretch und automatische Entschlüsselung mehrerer Platten

Beitrag von Profbunny » 02.05.2018 15:16:24

@rhHeini

So richtig habe ich nicht verstanden was du erreichen willst. Beschreibe doch mal den jetzigen Ablauf wie er ist, dann kann dir bestimmt geholfen werden.

Für meinen Desktop Rechner löse ich das über Debianlibpam-mount Dies entschlüsselt über das Login Password mein home und bindet dann über die user conf noch 2 Platten ein, die ebenfalls entschlüsselt werden.
Rechner / Server Debian sid

Benutzeravatar
cosinus
Beiträge: 189
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Stretch und automatische Entschlüsselung mehrerer Platten

Beitrag von cosinus » 02.05.2018 15:49:54

Wozu braucht ein Server denn überhaupt ne Plattenverschlüsselung? Wenn der hochgefahren ist sind die Dateisysteme eh wieder im Klartext gemountet. Oder hast du Angst, dass jmd deinen Server runterfährt und dir die Platten rausrupft? :twisted: :mrgreen:

Benutzeravatar
ThorstenS
Beiträge: 2749
Registriert: 24.04.2004 15:33:31

Re: Stretch und automatische Entschlüsselung mehrerer Platten

Beitrag von ThorstenS » 02.05.2018 17:12:16

Über Sinn und Zweck einer Verschlüsselung muß man in Zeiten der EU-DSVGO nicht mehr diskutieren, denke ich.
Debianmandos könnte in einer größeren Umgebung praktisch sein…

Benutzeravatar
cosinus
Beiträge: 189
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Stretch und automatische Entschlüsselung mehrerer Platten

Beitrag von cosinus » 02.05.2018 23:21:39

ThorstenS hat geschrieben: ↑ zum Beitrag ↑
02.05.2018 17:12:16
Über Sinn und Zweck einer Verschlüsselung muß man in Zeiten der EU-DSVGO nicht mehr diskutieren, denke ich.
Das ist ja nun Quatsch. Einem Fileserver sieht man über Netzwerk nicht an ob sein internes Filesystem verschlüsselt ist oder nicht. Das ist völlig wumpe bei einem Fileserver und spielt nur eine Rolle, wenn man glaubt, der Server also die Hardware selbst könnte geklaut werden. Da muss man sich aber gerade bzgl der DSGVO den Vorwurf gefallen lassen, warum man den den Zutritt zum Server nicht verhindert. Zutritt, Zugang, Zugriff sollten dir ein Begriff sein wenn du schon die DSGVO erwähnst.

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: Stretch und automatische Entschlüsselung mehrerer Platten

Beitrag von breakthewall » 03.05.2018 00:36:08

rhHeini hat geschrieben: ↑ zum Beitrag ↑
01.05.2018 19:04:38
Die Entschlüsselung läuft beim Boot durch eine für jede Festplatte individuelle unabhängige Abfrage eines Keydevices. Wenn das Keydevice nicht da ist, steht der Rechner.
Von so einer Praxis wird oft abgeraten. Eine automatische Entschlüsselung bietet einfach zu viel Raum für Sicherheitsprobleme. Hast dieses Keydevice auch entsprechend abgesichert, oder liegen die Schlüssel im Klartext darauf?
rhHeini hat geschrieben: ↑ zum Beitrag ↑
01.05.2018 19:04:38
Jessie kam mir wegen der Einführung von systemd und dem Hinweis auf die nicht mehr funktionierenden Keyscripts nicht auf den Rechner
Eigentlich müsstest sogar dankbar dafür sein, da es mittels Systemd diesbezüglich erstmals eine "Chain of Trust" gibt, während die Lösung mit den Keyscripts mehr in Richtung der "Dirty Hacks" ging. Es hat zwar funktioniert keine Frage, aber der ganze Vorgang im Zusammenspiel mit allen Komponenten, war keine wasserdichte Sache. Und mit Systemd funktionieren die Dinge lediglich anders, was logischerweise vorherige Konzepte beerdigt.

Allerdings hab ich Verfahren wie deine noch nie gebraucht, da ich nichts automatisch entschlüsseln lasse, und solchen Konzepten nicht vertraue. Doch ich nutze etwas vergleichbares, hinsichtlich meines komplett verschlüsselten Systems, samt Boot-Volume. Zumal das Boot-Volume samt Schlüsseldatei, auf einem wiederum verschlüsselten USB-Stick liegt. Somit muss sowohl der USB-Stick eingesteckt, als auch ein zweiter Faktor präsent sein um das System zu starten. Aber eben bewusst kein Automatismus.

Und um Dir hinsichtlich einer Konfiguration weiterhelfen zu können, sind mehr Informationen notwendig. Also deine Volumes im Detail, inkl. des Inhalts deiner fstab, crypttab, der Init und GRUB. Des weiteren könntest auch mal den Code posten, der deiner Aussage nach nicht funktioniert, also bezüglich des zweiten Datenträgers.

Antworten