Nachträgliche Verschlüsselung eines Systems

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
weedy
Beiträge: 585
Registriert: 02.11.2002 21:47:49
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Nachträgliche Verschlüsselung eines Systems

Beitrag von weedy » 26.01.2017 11:44:10

Hi,

ich habe hier Debian Jessie auf einem Rechner und will ihn nachträglich komplett vercrypten.

Was könnt ihr mir empfehlen? Kann ich nachträglich cryptsetup anwenden, oder muss ich sowas, wie veracrypt verwenden?

Gruß

gbotti
Beiträge: 846
Registriert: 16.07.2010 14:24:43
Wohnort: München

Re: Nachträgliche Verschlüsselung eines Systems

Beitrag von gbotti » 26.01.2017 13:24:06

Den /home-Ordner könntest du nachträglich verschlüsseln.

Komplett kannst du es theoretisch machen indem du alles sicherst, das Layout so erstellst wie du es haben willst und dann alles wieder zurück kopierst. Zumindest ist mir keine andere Methode bekannt. Allerdings musst du dann alles mögliche anpassen.

Ich denke du würdest mit einer Neuinstallation leichter zum Ergebnis kommen.
Georg
RTFM, LMGTFY, Orakel... Ach... Warum muss man suchen...
Schrödingers Backup --- "Der Zustand eines Backups ist unbekannt, solange man es nicht wiederherstellt" --- Quelle: Nixcraft

Benutzeravatar
weedy
Beiträge: 585
Registriert: 02.11.2002 21:47:49
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: Nachträgliche Verschlüsselung eines Systems

Beitrag von weedy » 26.01.2017 14:18:05

gbotti hat geschrieben:Den /home-Ordner könntest du nachträglich verschlüsseln.

Komplett kannst du es theoretisch machen indem du alles sicherst, das Layout so erstellst wie du es haben willst und dann alles wieder zurück kopierst. Zumindest ist mir keine andere Methode bekannt. Allerdings musst du dann alles mögliche anpassen.

Ich denke du würdest mit einer Neuinstallation leichter zum Ergebnis kommen.
Das bezweifle ich. Ich habe derzeit 3903 Pakete installiert - die alle exakt genauso zu installieren und zu konfigurieren ist eine Heidenarbeit.

Gruß

Benutzeravatar
TRex
Moderator
Beiträge: 8038
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: Nachträgliche Verschlüsselung eines Systems

Beitrag von TRex » 26.01.2017 14:19:04

/etc/ sichern und partiell wiederherstellen?
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

DeletedUserReAsG

Re: Nachträgliche Verschlüsselung eines Systems

Beitrag von DeletedUserReAsG » 26.01.2017 17:09:13

Hat er doch gesagt: das ist ’ne Heidenarbeit. Christen machen sowas nicht. [scnr]

Wenn’s keine Neuinstallation sein soll: System/Daten sichern, Partition(en) verschlüsselt einrichten, System/Daten zurückkopieren, Bootloader und initrd anpassen, fertig.

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: Nachträgliche Verschlüsselung eines Systems

Beitrag von breakthewall » 27.01.2017 23:06:41

weedy hat geschrieben:Hi, ich habe hier Debian Jessie auf einem Rechner und will ihn nachträglich komplett vercrypten.
Was könnt ihr mir empfehlen? Kann ich nachträglich cryptsetup anwenden, oder muss ich sowas, wie veracrypt verwenden?Gruß
Das ist eine schlechte Idee sein System im Nachhinein verschlüsseln zu wollen. Die Standard-Methode des cryptsetup, ist nicht grundlos ein luksFormat. Hier wird das Volume erst entsprechend formatiert, was das Volume prinzipiell vorab zu einem Krypto-Container macht. Im Anschluss wird dieser geöffnet, und darin wird dann das System installiert. Somit verbleiben niemals Informationen über dessen Inhalt, ausserhalb des Krypto-Containers, was im umgekehrten Fall problematisch sein kann, besonders bei SSDs. Zwar gäbe es die Möglichkeit, mittels plain-mode über das cryptsetup nachträglich zu verschlüsseln, doch diese Verfahrensweise hat nicht unwesentliche Nachteile bzgl. Komfort und Sicherheit. Wäre daher nicht empfehlenswert. Theoretisch könnte man natürlich auch Veracrypt nehmen, sofern man dieser Lösung vertraut.
weedy hat geschrieben:Das bezweifle ich. Ich habe derzeit 3903 Pakete installiert - die alle exakt genauso zu installieren und zu konfigurieren ist eine Heidenarbeit.
Ist das wirklich so? :)

Dafür muss nicht mehr getan werden als das:

1. Ein Backup von /etc und /home
2. Ein Backup aller Pakete des Paketmanagers via dpkg --get-selections > BACKUP
3. Nun eine komplette Neuinstallation von Debian in verschlüsselter Form, und nur mit dem reinen Basissystem ohne Desktop
4. Im Anschluss ins neue System einloggen als Root, die Paket-Daten des Paketmanagers mit dpkg --clear-selections löschen, und das Paket-Backup mit dpkg --set-selections < BACKUP wieder einspielen.
5. Bei Bedarf noch die sources.list editieren, sofern unfreie Pakete bzw. zusätzliche Paketquellen genutzt wurden
6. Jetzt noch ein apt-get dselect-upgrade, und Apt wird deine aktuelle Installation wiederherstellen

Nun können /etc und /home aus dem Backup wiederhergestellt werden, damit die Konfigurationen nicht verloren gehen. Nach einem Neustart, wirst dein jetziges System vorfinden. :wink:

Es kann auch sehr von Vorteil sein, von der Installation des Grundsystems ein Paket-Backup anzufertigen, um bei Bedarf wieder zum Zustand des Basissystems zurückkehren zu können.

debianoli
Beiträge: 4068
Registriert: 07.11.2007 13:58:49
Wohnort: Augschburg

Re: Nachträgliche Verschlüsselung eines Systems

Beitrag von debianoli » 28.01.2017 15:51:40

niemand hat geschrieben:Hat er doch gesagt: das ist ’ne Heidenarbeit. Christen machen sowas nicht. [scnr]

Wenn’s keine Neuinstallation sein soll: System/Daten sichern, Partition(en) verschlüsselt einrichten, System/Daten zurückkopieren, Bootloader und initrd anpassen, fertig.
Ein bisschen mehr Arbeit ist das schon, denn /boot muss doch eine eigene Partition bekommen, die nicht verschlüsselt ist.

Am sinnvollsten ist eine nachträgliche Verschlüsselung von swap und /home . Vor was willst du deine Daten denn schützen? Für normale Nutzer macht doch nur ein Schutz der privaten Daten Sinn,falls der Rechner geklaut wird. Alles andere ist paranoid.

DeletedUserReAsG

Re: Nachträgliche Verschlüsselung eines Systems

Beitrag von DeletedUserReAsG » 28.01.2017 16:46:21

Ein bisschen mehr Arbeit ist das schon, denn /boot muss doch eine eigene Partition bekommen, die nicht verschlüsselt ist.
Hast Recht. Sind zwei Schritte á eine Minute mehr. Kann man keinem zumuten. Sorry für meine idiotische Idee.

Benutzeravatar
schorsch_76
Beiträge: 2535
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Re: Nachträgliche Verschlüsselung eines Systems

Beitrag von schorsch_76 » 28.01.2017 16:52:58


scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Nachträgliche Verschlüsselung eines Systems

Beitrag von scientific » 28.01.2017 17:15:19

Und nicht vergessen, /usr/local auch mit ins backup nehmen.
Und wenn ein mailserver läuft, auch /var/spool... crontab und incrontab tummeln sich auch in /var...
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

Antworten