Heimserver verschlüsseln

Alles rund um sicherheitsrelevante Fragen und Probleme.
Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Heimserver verschlüsseln

Beitrag von weshalb » 17.06.2018 21:44:47

Hallo, ich möchte meinen Heimserver (N54L)auf Stretch umstellen und möchte diesen weitgehend verschlüsseln.

Drei Festplatten sollen im System eingebaut werden.
  • 6 GB für das Grundsystem mit Samba, Cups und KVM (verschlüsselt)
  • eine für das Backup (verschlüsselt)
  • eine für Videos (unverschlüsselt)
Wie gehe ich am Besten vor? LVM gleich bei der Installation auswählen und zwei Festplatten verschlüsseln oder Veracrypt nehmen?

TomL

Re: Heimserver verschlüsseln

Beitrag von TomL » 18.06.2018 09:09:49

weshalb hat geschrieben: ↑ zum Beitrag ↑
17.06.2018 21:44:47
  • 6 GB für das Grundsystem mit Samba, Cups und KVM (verschlüsselt)
Ist der Server die meiste Zeit ausgeschaltet und du möchtest verhindern, dass ihn jemand einsehen oder starten kann, wenn du außer Haus bist oder nachdem er ihn mitgenommen hat?

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Heimserver verschlüsseln

Beitrag von bluestar » 18.06.2018 09:31:01

weshalb hat geschrieben: ↑ zum Beitrag ↑
17.06.2018 21:44:47
Wie gehe ich am Besten vor?
Das könnten wir dir sicher leichter beantworten, wenn wir ein wenig mehr über dein System und über deine Anforderungen wüssten. z.B.
* Hast du eine Tastatur + Monitor an dem System zur Eingabe der Passwörter?
* Willst du das Passwort über eine SSH-Session eingeben?
* Hängt der Server an einer USV?
weshalb hat geschrieben: ↑ zum Beitrag ↑
17.06.2018 21:44:47
LVM gleich bei der Installation auswählen und zwei Festplatten verschlüsseln oder Veracrypt nehmen?
LVM hat ja erst einmal nichts mit Verschlüsselung zu tun, wenn dann wäre LUKS das Verschlüsselungs-Layer.

uname
Beiträge: 12044
Registriert: 03.06.2008 09:33:02

Re: Heimserver verschlüsseln

Beitrag von uname » 18.06.2018 09:55:55

Wenn es keinen Aufwand macht kannst du natürlich den Server verschlüsseln. Wie TomL schreibt bringt es für die Sicherheit wenig. Beschäftige dich doch mal mit clientseitiger Verschlüsselung wie ecryptfs [1]. Damit erreichst du echte Sicherheit.

[1] https://wiki.debian.org/TransparentEncr ... HomeFolder

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: Heimserver verschlüsseln

Beitrag von weshalb » 18.06.2018 11:15:17

TomL hat geschrieben: ↑ zum Beitrag ↑
18.06.2018 09:09:49
weshalb hat geschrieben: ↑ zum Beitrag ↑
17.06.2018 21:44:47
  • 6 GB für das Grundsystem mit Samba, Cups und KVM (verschlüsselt)
Ist der Server die meiste Zeit ausgeschaltet und du möchtest verhindern, dass ihn jemand einsehen oder starten kann, wenn du außer Haus bist oder nachdem er ihn mitgenommen hat?
Gesetz dem Fall, der Server wird von unautorisierten Leuten mitgenommen und es wird versucht, die Platten auszulesen. Ja, das Ding hängt an einer USV und an einem Monitor mit Tastatur.

Das Passwort über SSH einzugeben wäre natürlich besser. Geht das überhaupt?

Und ja, eigentlich meinte ich auch LVM mit Luks, das liest man immer irgendwie zusammen. Inzwischen lese ich allerdings, dass ich LVM gar nicht benötige. Luks würde reichen.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Heimserver verschlüsseln

Beitrag von MSfree » 18.06.2018 11:53:22

weshalb hat geschrieben: ↑ zum Beitrag ↑
18.06.2018 11:15:17
Gesetz dem Fall, der Server wird von unautorisierten Leuten mitgenommen und es wird versucht, die Platten auszulesen. Ja, das Ding hängt an einer USV und an einem Monitor mit Tastatur.
Wenn es zu einer Hausdurchsuchung kommt, sind die "Kollegen" heute inzwischen richtig gut ausgerüstet. Die kommen mit Akkupack und nehmen den laufenden Server mit. Verschlüsselte Platten, die beim Booten per Paßworteingabe entschlüsselt werden, sind damit wirkungslos.

Mit deiner USV machst du es den "Kollegen" sogar richtig einfach. Dagegen würde nur ein Notaus-Schalter helfen, den du bei Eintreffen der "Kollegen" noch rechtzeitig betätigen kannst, allerdings wirst du in so einem Fall bestimmt daran gehindert, Rettungsmaßnahemn zu ergreifen.

DeletedUserReAsG

Re: Heimserver verschlüsseln

Beitrag von DeletedUserReAsG » 18.06.2018 13:06:22

Soll ja auch noch ordinäre Diebe geben, bei denen man nicht möchte, dass sie auf die Daten zugreifen können. Dafür eignet sich eine Verschlüsselung sehr wohl. Oder auch: es ist wohl bald soweit, dass zum Zwecke der Überwachung (gegen Terror, wissen's schon) eingebrochen und ein Trojaner installiert werden darf - wenn die Kiste aus ist, wenn man sich nicht im Haus befindet, stellt das schon noch eine Hürde dar.

Man kann das System so einrichten, das man es via SSH entsperren kann. Wenn man zudem noch /boot auf einen externen Datenträger packt und den nur zum Booten kurz anschließt, legt man die Latte für einen Bösling schon ziemlich hoch. Ich würde auch dm_crypt/LUKS den Vorzug gegenüber Veracrypt geben.

uname
Beiträge: 12044
Registriert: 03.06.2008 09:33:02

Re: Heimserver verschlüsseln

Beitrag von uname » 18.06.2018 13:59:31

Eine vollständige Festplattenverschlüsselung ist eigentlich ziemlich einfach mit allen Vor- und Nachteilen einzurichten. Aber vielleicht reicht ja auch eine Einschränkung auf tatsächlich vertrauliche Daten. Ja ich weiß, dass man z. B. Swap verschlüsseln sollte ... die Frage ist wie realistisch sind Cyberangriffe bei einer Privatperson und wie weit geht der Angreifer.

Falls eine Verschlüsselung beim Client z. B. mit "ecryptfs" nicht in Frage kommt (willst z. B. den Browser von unterwegs verwenden), kannst du ja nur einzelne Partitionen oder Container (ISO-Dateien) verschlüsseln. Dann bootet das System zuverlässig ohne diese Bereiche zu entschlüsseln, recht unwichtige Dateien sind direkt lesbar und vertraulichere Dateien müssen erst entschlüsselt gemountet werden (z. B. per SSH). Auch das Backup ist einfach, da die verschlüsselten ISO-Dateien einfach gebackupt (HTTP-Download) werden können. Bei großen Containern oder ganzen Partitionen könnte es evtl. Probleme geben. Kleinere Container (ISO-Dateien) kannst du auch downloaden und lokal mounten. Liegt dein Backup in irgendeiner Cloud kommst du immer an deine vertraulichen Daten dran.


[1] https://wiki.ubuntuusers.de/LUKS/Containerdatei

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: Heimserver verschlüsseln

Beitrag von weshalb » 18.06.2018 20:28:53

MSfree hat geschrieben: ↑ zum Beitrag ↑
18.06.2018 11:53:22
weshalb hat geschrieben: ↑ zum Beitrag ↑
18.06.2018 11:15:17
Gesetz dem Fall, der Server wird von unautorisierten Leuten mitgenommen und es wird versucht, die Platten auszulesen. Ja, das Ding hängt an einer USV und an einem Monitor mit Tastatur.
Wenn es zu einer Hausdurchsuchung kommt, sind die "Kollegen" heute inzwischen richtig gut ausgerüstet. Die kommen mit Akkupack und nehmen den laufenden Server mit. Verschlüsselte Platten, die beim Booten per Paßworteingabe entschlüsselt werden, sind damit wirkungslos.

Mit deiner USV machst du es den "Kollegen" sogar richtig einfach. Dagegen würde nur ein Notaus-Schalter helfen, den du bei Eintreffen der "Kollegen" noch rechtzeitig betätigen kannst, allerdings wirst du in so einem Fall bestimmt daran gehindert, Rettungsmaßnahemn zu ergreifen.
Mir geht es nicht um irgendwelche Behörden, sondern ich habe wichtige Konfigurationsdateien von Leuten, die ich betreue, auf dem Server zu liegen. Es wäre gar nicht gut, wenn beispielsweise im Falle eines Einbruchs diese Daten in die falschen Hände geraten würden.

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Heimserver verschlüsseln

Beitrag von bluestar » 18.06.2018 20:53:47

weshalb hat geschrieben: ↑ zum Beitrag ↑
18.06.2018 20:28:53
Mir geht es nicht um irgendwelche Behörden, sondern ich habe wichtige Konfigurationsdateien von Leuten, die ich betreue, auf dem Server zu liegen. Es wäre gar nicht gut, wenn beispielsweise im Falle eines Einbruchs diese Daten in die falschen Hände geraten würden.
In diesem Falle würde ich dir eher dazu raten diese Daten grundsätzlich nur bei Zugriffsbedarf zu entschlüsseln.

Ich habe ZFS im Einsatz und nutze LUKS über einem ZVol, welches nie permanent gemountet ist, sondern lediglich für die Zeit der Benutzung von mir entschlüsselt wird.

Ob du deinen Server letztlich komplett verschlüsselst, nun das solltest du abhängig vom Einsatzzweck des Systems entscheiden... Als Beispiel, wenn du deinen Server von remote über SSH neu starten willst oder z.B. das System nach einem Stromausfall wieder „ohne“ Freischaltung hochfahren und einen Teil seiner Services bereitstellen soll, dann ist eine Vollverschlüsselung eher unpraktisch. Natürlich verschwendest du auch Leistung wenn du unkritische Daten, z.B. /bin, /sbin, /usr/bin und /usr/sbin und weiteres auf ein verschlüsseltes Dateisystem packst.

Von daher, entscheide einfach nach Einsatzzweck und nach Schutzniveau deiner Daten.

Lamont
Beiträge: 50
Registriert: 16.11.2009 15:23:35

Re: Heimserver verschlüsseln

Beitrag von Lamont » 06.07.2018 13:16:29

Der Grund für eine Verschlüsselung kann auch wesentlich profaner sein: Gewährleistungsfall der Festplatte. Das Ding "raucht" ab, man kommt nicht mehr ran und muss die HD (ungelöscht) einschicken.

Natürlich braucht man die Platte nicht einschicken und kann sich eine neue kaufen 8)

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Heimserver verschlüsseln

Beitrag von bluestar » 06.07.2018 13:21:30

Lamont hat geschrieben: ↑ zum Beitrag ↑
06.07.2018 13:16:29
Der Grund für eine Verschlüsselung kann auch wesentlich profaner sein: Gewährleistungsfall der Festplatte. Das Ding "raucht" ab, man kommt nicht mehr ran und muss die HD (ungelöscht) einschicken.
Auch in diesem Falle wäre mir ein "unverschlüsseltes Debian" die ohne sensible Daten auf der Platte relativ unproblematisch.

Wobei ich grundsätzlich einem sicherheitsbewussten Anwender immer empfehlen würde, eine defekte Platte zu vernichten, statt sie zwecks Garantieaustausch einzusenden, an ein paar hundert Euro für eine Ersatz-HDD sollte Sicherheit nicht scheitern.

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Heimserver verschlüsseln

Beitrag von wanne » 06.07.2018 14:15:44

So ein paar Kommentare:
  • Halb verschlüsselte Systeme sind deutlich komplizierter zu konfigurieren (Keymanagement etc.) als Vollverschlüsselte und noch schwieriger sicher zu bekommen. Sie sind einfach eine Loose-Loose-Variante. Wenn man nicht wirklich extrem gute Gründe dafür hat, (Wie z.B. temproäres mounten mit Passwort über SSH bei zugriff) würde ich von sowas stark abraten.
  • Seit von den Freunde und Helfern in Blau europaweit enorme Nachfrage nach Tools zum umgehen solcher Verschlüsselungen besteht gibt es die natürlich auch entsprechend Idiotensicher am Markt für jedermann. Die passende Software für das Auslesen der Keys von unverschlüsselte SWAP Partitionen gibt es Idiotensicher in jedem besseren Security-Shop. Die Hardware zum unter Strom halten genauso. Allerdings bedeutet letzteres einen Mehraufwand beim Einbruch. Wer es also nur auf die Hardware abgesehen hat und die Daten nur als Beifang sieht rückt vielleicht nicht mit Akkupack an. Nutzt aber nachträglich eine passende Software zum Auslesen des SWAP. Selbst zufällig verschlüsslte SWAPs sind für die also ein Problem. Für Einbrecher die es explizit auf Daten abgesehen haben ist ein Dauerentschlüsseltes System kein Problem.
  • Festplattenpasswörter lassen sich zwar einfach mit einer baugleichen Festplatte umgehen, und schützen die Platten nur selten wirklich gut. (Einige Festplatten verschlüsseln nutzen keine festen Keys in allen baugleichen modellen.) Machen Festplattendiebstäle deutlich unattraktiver. Wenn du eine neue baugleiche kaufen musst um die alte wieder zum laufen zu bekommen, ist das kein Gewinn mehr die dann weiter zu verkaufen. der Einbrecher wird sie entsprechend entsorgen.
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Heimserver verschlüsseln

Beitrag von Lord_Carlos » 06.07.2018 14:57:59

Waere es nicht einfach den Server total zu verschluesseln (Auser boot?) und den Schluessel auf einen USB stick bei sich zu tragen?

Dann kann man halt nur nicht remote rebooten.
Akku Angriff egal, da außerhalb der Aufgabenstellung.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Heimserver verschlüsseln

Beitrag von MSfree » 06.07.2018 15:42:58

Lord_Carlos hat geschrieben: ↑ zum Beitrag ↑
06.07.2018 14:57:59
Waere es nicht einfach den Server total zu verschluesseln (Auser boot?) und den Schluessel auf einen USB stick bei sich zu tragen?
Glaubst du, daß die, die deine Wohnung durchsuchen, dich nicht auch durchsuchen würden? Da fiele so ein Stick doch ganz schnell auf. Die Passphrase, die in Brain 1.0 gespeichert ist, kann keiner auslesen.
Akku Angriff egal, da außerhalb der Aufgabenstellung.
Wenn man wirklich den Inhalt seines Servers schützen möchte, hätte ich den Server an einer funkfernsteuerbaren Steckdose angeschlossen (gibt es im Baumarkt für 15 Euro) mit einer griffbereit liegenden Fernsteuerung zum Abschalten. Während die Herren noch mit ihrem Durchsuchungsbefehl vor deiner Nase wedeln, kann man ganz unauffällig mal den Server stromlos machen.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Heimserver verschlüsseln

Beitrag von Lord_Carlos » 06.07.2018 16:13:53

MSfree hat geschrieben: ↑ zum Beitrag ↑
06.07.2018 15:42:58
Lord_Carlos hat geschrieben: ↑ zum Beitrag ↑
06.07.2018 14:57:59
Waere es nicht einfach den Server total zu verschluesseln (Auser boot?) und den Schluessel auf einen USB stick bei sich zu tragen?
Glaubst du, daß die, die deine Wohnung durchsuchen, dich nicht auch durchsuchen würden? Da fiele so ein Stick doch ganz schnell auf. Die Passphrase, die in Brain 1.0 gespeichert ist, kann keiner auslesen.
Sind Einbrecher nicht eher dann unterwegs wenn keiner zu Hause ist?

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

TomL

Re: Heimserver verschlüsseln

Beitrag von TomL » 06.07.2018 17:03:03

Lord_Carlos hat geschrieben: ↑ zum Beitrag ↑
06.07.2018 16:13:53
Sind Einbrecher nicht eher dann unterwegs wenn keiner zu Hause ist?
Wie mans macht isses eh verkehrt.... hängt nämlich ganz vom Mafi-Boss ab, was Best-Practice ist ....für die einen ist es besser, den Stick am Körper zu haben, für die anderen nicht.... aber egal ob Polit-Mafia oder die andere.... das Resultat ist dennoch das gleiche, wenn man Opfer von Willkür und Gewalt ist.
https://netzpolitik.org/2018/zwiebelfre ... lt-werden/

sergej2018

Re: Heimserver verschlüsseln

Beitrag von sergej2018 » 17.07.2018 15:23:42

Hm, wie hält man denn einen Server für den Abtransport unter Strom, der nicht an einer USV hängt?

MIT USV:
Klar, Stromversorgung der USV an ein mitgebrachtes Akku-Pack stecken... tada.

Ohne USV:
Ich muss IMMER irgendwie den Netzstecker des Geräts ziehen, um eine transportable Stromversorgung anzuschließen... und solange das nicht in deutlich unter einer Sekunde geschehen kann, ist der Server stromlos und somit sicher.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Heimserver verschlüsseln

Beitrag von MSfree » 17.07.2018 15:37:41

sergej2018 hat geschrieben: ↑ zum Beitrag ↑
17.07.2018 15:23:42
Ich muss IMMER irgendwie den Netzstecker des Geräts ziehen, um eine transportable Stromversorgung anzuschließen...
Mit Gummihandschuhen kannst du das Stromkabel vorsichtig abisolieren, einen zweiten Stecker an die abisolierte Stelle schrauben und den in eine mitgebrachte USV stecken. Danach kann man das Kabel aus der Wandsteckdose ziehen.

Hört sich nach Aufwand an, wird aber je nach vermutetem Straftatbestand durchaus gemacht.

Und ja, Kinder, nicht nachmachen!

sergej2018

Re: Heimserver verschlüsseln

Beitrag von sergej2018 » 17.07.2018 16:00:22

Stimmt, könnte man so machen!
Frage mich bloß, wie fehleranfällig das ist... ein kurzer Spannungsabfall und die Aktion fällt ins Wasser.
Außerdem müsste man's ja bei jedem Rechner so machen, den man konfisziert, denn von außen ist nicht immer ersichtlich, ob er verschlüsselt ist oder nicht.

DeletedUserReAsG

Re: Heimserver verschlüsseln

Beitrag von DeletedUserReAsG » 17.07.2018 16:03:33

Frag’ doch mal bei den Spezialisten der Unsicherheitsbehörden nach. Die haben da Equipment, soweit ich informiert bin. Der handelsübliche Dieb wird sich den Aufwand nicht machen, der wäre aber sowieso eher an der Hardware interessiert – private Daten lassen sich schwer verkaufen, und richtig erpressen kann auch nicht jeder.

sergej2018

Re: Heimserver verschlüsseln

Beitrag von sergej2018 » 17.07.2018 16:10:14

Das stimmt wohl ;-)

Finde einfach die theoretischen Möglichkeiten immer interessant.
Denn das man - richtige - Verschlüsselung momentan nicht sinnvoll angreifen kann ist ja klar.

geier22

Re: Heimserver verschlüsseln

Beitrag von geier22 » 17.07.2018 17:55:12

Mir geht es nicht um irgendwelche Behörden, sondern ich habe wichtige Konfigurationsdateien von Leuten, die ich betreue, auf dem Server zu liegen. Es wäre gar nicht gut, wenn beispielsweise im Falle eines Einbruchs diese Daten in die falschen Hände geraten würden.
Ich habe keine Ahnung, wie oft du auf diese Daten zugreifen musst, welchen Umfang diese Dateien haben, und ob Fernzugriff notwendig ist.

Aber wenn sie so wichtig sind, würde ich die auf eine mobile verschlüsselte SSD packen. die ich bei Bedarf mounte oder eben nicht.
Hat ja auch den Vorteil, dass eine nicht gemountete Platte selbst bei laufenden Server immer noch wertlos ist.
Außerdem kann man die Daten so überall mitnehmen, falls man sie braucht. Und wenn man sie dann unter dem Kopfkissen versteckt, finden die Diebe sie ja auch nicht. :wink: :mrgreen:

sergej2018

Re: Heimserver verschlüsseln

Beitrag von sergej2018 » 20.07.2018 12:45:52

Dazu würde mich mal interessieren:
Wie ist das unter Debian eig, wenn man eine vormals gemountete cryptsetup-Platte wieder aushängt, also "cryptsetup luksClose"?
Wird der verwendete Key dann wirklich vollständig aus dem Speicher entfernt? Ist die Platte also genauso sicher, als läge sie neben mir auf dem Schrank?

DeletedUserReAsG

Re: Heimserver verschlüsseln

Beitrag von DeletedUserReAsG » 20.07.2018 12:47:27

Theoretisch sollte™ es so sein – die Funktion wurde mit Blick auf diese Problematik geschrieben.

Antworten