Bei Installation verschlüsseln (Auch Swap und Boot)
-
- Beiträge: 56
- Registriert: 22.03.2021 19:42:19
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Gut dann sollte für mich das verschlüsseln ohne boot ja reichen.
Bissel Off Topic
Aber kurz zum Thema Swap, einrichten oder nicht. Swap ist doch für die SSD eher nicht so gesund, weil doch da ständig geschrieben wird, wenn der Ram überläuft und auf die Swap ausgelagert wird. Wenn man S3 also StR nutzt, braucht man die ja sowieso nicht ? Wenn würde ich nur StR nutzen, oder das System im Leerlauf und die HDD's in den Standby versetzten.
Soll ein Home Serve werden.
Bissel Off Topic
Aber kurz zum Thema Swap, einrichten oder nicht. Swap ist doch für die SSD eher nicht so gesund, weil doch da ständig geschrieben wird, wenn der Ram überläuft und auf die Swap ausgelagert wird. Wenn man S3 also StR nutzt, braucht man die ja sowieso nicht ? Wenn würde ich nur StR nutzen, oder das System im Leerlauf und die HDD's in den Standby versetzten.
Soll ein Home Serve werden.
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Er hat Jehova gesagt.LinuxNewcomer hat geschrieben:23.03.2021 15:36:08Bissel Off Topic
Aber kurz zum Thema Swap, einrichten oder nicht.
Man könnte jetzt auch einfach still und leise das Forum nach dem Für und Wider von Swap durchsuchen. Eine unltimative Antwort wirst du nicht finden.
Tja, entweder du hast genug RAM oder du brauchst Swap. Ein bißchen schwanger gibt es nicht.Swap ist doch für die SSD eher nicht so gesund, weil doch da ständig geschrieben wird, wenn der Ram überläuft
Zumindest kann man die Swapbenutzung über den Kernelparameter /proc/sys/vm/swappiness so beinflussen, daß wirklich nur im äussesrten Notfall geswappt wird, was die SSD entsprechend schonen würde.
-
- Beiträge: 56
- Registriert: 22.03.2021 19:42:19
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Kann ich eigentlich per Terminal das PW zum entschlüsseln eingeben, oder muss ich dann an den Server und dort eingeben, wenn er neu startet ? Denke die PW Abfrage kommt vor dem booten oder bzw danach bevor er Linux startet
Kann man das PW später ändern ? Wenn man das System einrichtet muss man vllt öfters mal neu starten, bei einem langen PW wäre das recht nervig.
Kann man das PW später ändern ? Wenn man das System einrichtet muss man vllt öfters mal neu starten, bei einem langen PW wäre das recht nervig.
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Ja, bei luks kann man die Passphrase ändern – der eigentliche Schlüssel bleibt aber der gleiche (sonst müsste man ja alles neu verschlüsseln). Ich glaube das läuft etwa so ab, dass der mit einem von der Passphrase abgeleitenen Schlüssel verschlüsselte eigentliche Schlüssel im luks-Header gespeichert wird.
So kann man auch mehrere unterschiedliche gültige Passphrases haben und sie wieder löschen und/oder ändern – mit dem Nachteil, dass man bei SSDs defakto nicht prüfen kann ob die Daten einer alten Passphrase tatsächlich gelöscht wurden.
Auch das mit dem Terminal sollte meines Wissens mit ssh klappen. Habe sie mir jetzt selbst nicht durchgelesen, aber eine Anleitung gäbe es hier:
https://www.thomas-krenn.com/de/wiki/Vo ... eischalten
So kann man auch mehrere unterschiedliche gültige Passphrases haben und sie wieder löschen und/oder ändern – mit dem Nachteil, dass man bei SSDs defakto nicht prüfen kann ob die Daten einer alten Passphrase tatsächlich gelöscht wurden.
Auch das mit dem Terminal sollte meines Wissens mit ssh klappen. Habe sie mir jetzt selbst nicht durchgelesen, aber eine Anleitung gäbe es hier:
https://www.thomas-krenn.com/de/wiki/Vo ... eischalten
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Was ist denn ein geMACtes /boot?wanne hat geschrieben:23.03.2021 14:56:04[...]
Und die liegt auf /boot. Deswegen willst du dann ein geMACtes boot haben. Dann kann man das nicht manipulieren.
-
- Beiträge: 56
- Registriert: 22.03.2021 19:42:19
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Danke dir, das klingt schon mal nicht schlecht.smutbert hat geschrieben:23.03.2021 16:45:32Ja, bei luks kann man die Passphrase ändern – der eigentliche Schlüssel bleibt aber der gleiche (sonst müsste man ja alles neu verschlüsseln). Ich glaube das läuft etwa so ab, dass der mit einem von der Passphrase abgeleitenen Schlüssel verschlüsselte eigentliche Schlüssel im luks-Header gespeichert wird.
So kann man auch mehrere unterschiedliche gültige Passphrases haben und sie wieder löschen und/oder ändern – mit dem Nachteil, dass man bei SSDs defakto nicht prüfen kann ob die Daten einer alten Passphrase tatsächlich gelöscht wurden.
Auch das mit dem Terminal sollte meines Wissens mit ssh klappen. Habe sie mir jetzt selbst nicht durchgelesen, aber eine Anleitung gäbe es hier:
https://www.thomas-krenn.com/de/wiki/Vo ... eischalten
Steht zwar für Ubuntu, aber denke klappt auch unter Debian, worauf ja Ubuntu aufbaut.
-
- Beiträge: 56
- Registriert: 22.03.2021 19:42:19
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
So ich beim partitionieren schreibt er Random Daten, sind das 0 und 1 er ? Oder hätte ich das vorher irgendwie machen solle ? Muss die SSD ja formatieren und am besten mit 0 voll schreiben sonst sieht man ja trotzdem die Daten die vorher drauf waren. Da ja nicht verschlüsselt.
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Ein MAC (Message Authetication Code) ist ein Anhängsel um zu erkennen ob etwas verädert wurde. Ich habe versucht das einzudeutschen... luks2 kann sowas in die Verschlüsslung integrieren.
Nö. Beim Partitionieren macht der gar nichts.So ich beim partitionieren schreibt er Random Daten
Bei SSDs ist das sehr schwierig. Hat die SSD das gefühl, dass ein Teil zu stark belastet wurde versteckt sie den uns schiebt einen bis dahin versteckten an die passende Stelle. So kannst du dir nie sicher sein, was jetzt wirklich überschrieben wurde und was irgend wann irgend wo wieder auftaucht. Es gibt dafür hdparm und das secure-erease Kommando, dass die SSD anweist alle (inklusive der versteckten) Teile unlesbar zu machen.und am besten mit 0 voll schreiben sonst sieht man ja trotzdem die Daten die vorher drauf waren
Das ist aber etwas komplizierter.
Du kannst blkdiscard /dev/sdx nutzen oder einfach ein mal ext4 formatieren. Dann verstecken die meisten SSDs alle Teile (Und ein Zugriff auf diese gibt dann 0 zurück.) Das ist aber natürlich nicht wirklich sicher. Wer die SSD auseinander nimmt wird auch an die versteckten Teile kommen. Modernere Devices können
blkdiscard --secure /dev/sdx. Das macht dann das selbe wie secure-erease.
rot: Moderator wanne spricht, default: User wanne spricht.
-
- Beiträge: 56
- Registriert: 22.03.2021 19:42:19
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Wenn das klappt, wäre das die sichere Methode ? Somit erwischt er auch die versteckten ?wanne hat geschrieben:23.03.2021 17:58:08blkdiscard --secure /dev/sdx. Das macht dann das selbe wie secure-erease.
Mit dd klappt das nicht ?
dd if=/dev/urandom of=/dev/sdX bs=1M
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Ja solltest™ du. Ich weiß aber nicht wie man raus bekommt, ob es geklappt hat... Der Befehl ist stumm wie ein Fisch...LinuxNewcomer hat geschrieben:23.03.2021 18:14:54Wenn das klappt, wäre das die sichere Methode ? Somit erwischt er auch die versteckten ?
Wie gesagt. Da schreibst du ja nur auf die sichtbaren. Üblicherweise fällt da so jeder 20 nicht drunter.Mit dd klappt das nicht ?
Das übliche blabla, warum der Befehl ineffizient ist.dd if=/dev/urandom of=/dev/sdX bs=1M
urandom ist viel langsamer als openssl macht aber für den Zweck das gleiche:
Code: Alles auswählen
openssl enc -aes-128-ofb -in /dev/zero -k $(head -c 32 /dev/urandom | base64 ) -out /dev/sdX
Die sind viel schneller und viel intuitiver aber genau so sicher:
Code: Alles auswählen
cp /dev/zero /dev/sdX
Code: Alles auswählen
cat /dev/zero > /dev/sdX
rot: Moderator wanne spricht, default: User wanne spricht.
-
- Beiträge: 56
- Registriert: 22.03.2021 19:42:19
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Hm kommt da irgendwann mal was, nachdem ich sudo CP /Dev/Zero /Dev/sda eingegeben habe ?
- jph
- Beiträge: 1049
- Registriert: 06.12.2015 15:06:07
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Greven/Westf.
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Das funktioniert problemlos. Nach der Entschlüsselung der VG erkennt init/systemd, dass im Swap ein Hibernation Image liegt, und lädt dieses in den Hauptspeicher.JTH hat geschrieben:23.03.2021 11:11:48Anmerkung an der Stelle immer: Wenn man den Ruhezustand aka Hibernation aka S4 aka Suspend-to-Disk aka sowieso benutzen möchte, braucht man zwingend eine Swap-Partition. (Aber ich hab keine Ahnung, ob sich das überhaupt mit Verschlüsselung verträgt.)
-
- Beiträge: 56
- Registriert: 22.03.2021 19:42:19
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Gibt's auch irgendwas grafisches ? Der will nicht, es kommt ewig nichts, dann kommt Error und was mit keinen Speicher vorhanden. (cp: write error: No space left on device)wanne hat geschrieben:23.03.2021 18:50:47Ja solltest™ du. Ich weiß aber nicht wie man raus bekommt, ob es geklappt hat... Der Befehl ist stumm wie ein Fisch...LinuxNewcomer hat geschrieben:23.03.2021 18:14:54Wenn das klappt, wäre das die sichere Methode ? Somit erwischt er auch die versteckten ?Wie gesagt. Da schreibst du ja nur auf die sichtbaren. Üblicherweise fällt da so jeder 20 nicht drunter.Mit dd klappt das nicht ?Das übliche blabla, warum der Befehl ineffizient ist.dd if=/dev/urandom of=/dev/sdX bs=1M
urandom ist viel langsamer als openssl macht aber für den Zweck das gleiche:Gerade für ne SSD sind zufallszahlen sicher nicht besser als Nullen und cp oder cat sind viel Nutzerfreundlcihere Programme wie dd.Code: Alles auswählen
openssl enc -aes-128-ofb -in /dev/zero -k $(head -c 32 /dev/urandom | base64 ) -out /dev/sdX
Die sind viel schneller und viel intuitiver aber genau so sicher:Code: Alles auswählen
cp /dev/zero /dev/sdX
Aber wie gesagt willst du eh nicht machen. Trim ist worst case noch schneller und genau so gut und im best case (er versteht --secure) besser.Code: Alles auswählen
cat /dev/zero > /dev/sdX
Gibts doch bestimmt auch nen Tool wo ich das per GUI machen kann ? Gnome Disks Utility, kann Erase aber das wird nicht das sein ?
Zuletzt geändert von LinuxNewcomer am 23.03.2021 20:58:54, insgesamt 1-mal geändert.
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Mach ich immer auf der Konsole. Zur Übung.
Um eine Fortschrittsanzeige zu bekommen hängt man ein status=progress ans Ende des dd-Befehls an, und schon sieht man was das Tool tut. Geht ab dd Version 8.25.
Rolf
Um eine Fortschrittsanzeige zu bekommen hängt man ein status=progress ans Ende des dd-Befehls an, und schon sieht man was das Tool tut. Geht ab dd Version 8.25.
Rolf
-
- Beiträge: 56
- Registriert: 22.03.2021 19:42:19
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
dd soll ich doch nicht nehmen
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Sorry ich kenne dein Gefährdungslevel nicht.
Aber der Installer überschreibt das Cryptodevice mit Zufallszahlen.
Sicher wäre es auch vor der Installation ein Secureerase auf der SSD abzusetzen Bios/UEFi <-> Überschreiben funktioniert bei SSDs nicht richtig ..
das könnte man sich nach dem Secureerase sowieso schenken (mein Kenntnisstand).
Aber der Installer überschreibt das Cryptodevice mit Zufallszahlen.
Sicher wäre es auch vor der Installation ein Secureerase auf der SSD abzusetzen Bios/UEFi <-> Überschreiben funktioniert bei SSDs nicht richtig ..
das könnte man sich nach dem Secureerase sowieso schenken (mein Kenntnisstand).
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Ja bei dd man muss schon wissen was man tut.
Alternativ kannst Du einfach den Installer sein Werk verrichten lassen. Wenn Du da ein verschlüsseltes Device anlegst, fragt der Dich ob er das Device überschreiben soll. Geht bei einer SSD recht fix, kann bei grösseren Festplatten dann aber dauuuuuuuuuuuern. Bis zu Tagen.
Wenn Du den graphischen Installer verwendest hast Du quasi eine GUI.
Noch ne andere Idee: probier doch erst mal in einer VM auf Windows aus was da auf Dich zukommt.
Rolf
-
- Beiträge: 56
- Registriert: 22.03.2021 19:42:19
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Für dieses secure erase gibt's da was für Windows ? Dann könnte ich die 250er SSD dort mit einstecken. Der ist Recht potent, i9 10900k 32ram und sie dort einmal lösche . Dann mit dem install3r drüber.
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Äh ja das ist die Idee so lange nullen rein zu schreiben, bis kein Speicher mehr vorhanden ist...dann kommt Error und was mit keinen Speicher vorhanden.
progress oder pv können dir den Fortschritt anzeigen:Der will nicht, es kommt ewig nichts,
Code: Alles auswählen
pv /dev/zero > /dev/sdx
Code: Alles auswählen
cp /dev/zero /dev/sdx &
progress -m -p $!
Die SSD ist so schnell wie sie ist. Das wird nicht schneller von einer schnelleren cpu, (Esseiden du nutzt /dev/urandom, was deutlich langsamer als die SSD ist. Aber das gibt es unter Windows eh nicht.)Der ist Recht potent, i9 10900k 32ram und sie dort einmal lösche .
rot: Moderator wanne spricht, default: User wanne spricht.
-
- Beiträge: 56
- Registriert: 22.03.2021 19:42:19
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Ach so dann ist das erfolgreich abgeschlossen, dachte da kommt eine andere Meldung, das es erledigt ist. Wenn da was mit Error steht, war ich etwas unsicher. Ja klar aber wenn du das so sagst macht es dann Sinn. Write error nicht genug freier Speicher. So das ist jetzt aber lückenhaft ? Weil die SSD versteckt und nach schiebt ? Hätte gedacht dauert länger. Lese hier immer von Stunden oder gar Tagen. Aber vllt bei einer 250gb SSD doch Recht schnell. So 15min schätze ich.
Blkdiscard kam die Meldung das es nicht unterstützt wird, mit -- secure.
Das mit der PC Leistung, hatte ich glaube mit dem Verschlüsseln verwechselt, da das ja durch die CPU berechnet wird.
Blkdiscard kam die Meldung das es nicht unterstützt wird, mit -- secure.
Das mit der PC Leistung, hatte ich glaube mit dem Verschlüsseln verwechselt, da das ja durch die CPU berechnet wird.
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Wenn man z.B. eine 14TB Festplatte auf die Art mit Zufallszahlen überschreieben will, kann das eine halbe Ewigkeit dauern. Selbst, wenn /dev/urandom schnell genug Zahlen liefert, bremst die Festplatte. Ich rechne als Daumenregel bei Festplatte mit durchschnittlich 100MByte/s, bei 14TB würde es also 140000 Sekunden dauern, bis die Beschrieben ist, also rund 1.5 Tage. Wie gesagt, alles Pi mal Daumen, aber selbst bei einer doppelt so schnellen Festplatte würde es noch 18 Stunden dauern.LinuxNewcomer hat geschrieben:24.03.2021 06:39:23Hätte gedacht dauert länger. Lese hier immer von Stunden oder gar Tagen.
Heutige SSDs beschreibt man mit mindestens 300MByte/s, was bei 250GB 833 Sekunden dauern würde, also rund 15 Minuten. Auch hier gibt es deutlich schnellere Modelle.
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Nein. Einfach weil /dev/zero oder /dev/urandom unendlich groß sind. Und entsprechend auf keine noch so große Platte passen werden. Deswegen der Fehler, wenn die Platte voll ist. Da geben dir die tools aber fast exakt die Selbe Fehlermeldung:LinuxNewcomer hat geschrieben:24.03.2021 06:39:23Write error nicht genug freier Speicher. So das ist jetzt aber lückenhaft ? Weil die SSD versteckt und nach schiebt ?
Code: Alles auswählen
cat: write error: No space left on device
dd: error writing '/dev/sdx': No space left on device
cp: error writing '/dev/sdx': No space left on device
pv: write failed: No space left on device
Wie schon angemerkt rotierende Festplatten sind durch die Airodynamik in ihrer Rotationsgeschwindigkeit begrenzt üblicherweise 5400-7200rpm. Und da zum überschreiben jeder Ring mit Daten ein mal abgefahren werden muss... Ergibt sich da ne ziemlich feste Lesegeschwindigkeit auf die Plattengröße die mit der in der Wurzel zu nimmt. Für ne 2TiB Platte bei 5400rpm bist du da bei gut 5h für 4TiB sinds ~8h und bei 14TiB wärst du bei ~15h. Aber SSDs sind schneller und vor allem viel kleiner.Hätte gedacht dauert länger. Lese hier immer von Stunden oder gar Tagen.
14min wären 300MB/s oder die Geschwindigkeit von SATA2. Würde mal tippen, dass die über genau das angeschlossen ist...Aber villt bei einer 250gb SSD doch Recht schnell. So 15min schätze ich.
Die zufallszahlen werden tatsächlich über Verschlüsselung erzeugt. Unter anderem deswegen ist die urandom-Methode so langsam. Openssl nutzt hardwarebeschleunigung und AES. Das dürfte schneller als die Festplatte sein. Nullen erzeguen sowieso.Das mit der PC Leistung, hatte ich glaube mit dem Verschlüsseln verwechselt, da das ja durch die CPU berechnet wird.
Btw. Pass ein bisschen beim Sielen auf: SSDs nutzen sich beim Schreiben ab. Bei "normaler" Nutzung ist das eher irrelevant. Aber du schreibst hier jedes mal 250GiB. Du kannst das Spiel üblicherweise so 500mal spielen.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Naja, Heise hatte das mal mit 250GB SSDs getestet und kam im schlechtesten Fall auf 1000 Zyklen:wanne hat geschrieben:24.03.2021 13:53:40Btw. Pass ein bisschen beim Sielen auf: SSDs nutzen sich beim Schreiben ab. Bei "normaler" Nutzung ist das eher irrelevant. Aber du schreibst hier jedes mal 250GiB. Du kannst das Spiel üblicherweise so 500mal spielen.
https://www.heise.de/newsticker/meldung ... 55009.html
Eine Samsung hat 9.1PByte geschafft, also über 35000 Zyklen.Zwar bildeten die beiden Exemplare von Crucials BX200 die Schlusslichter, aber selbst sie erreichten 187 respektive 280 TByte
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Ich habe einfach mal die Herstellerangaben genommen. Dass die im Normalfall um ne Größenordnung nicht stimmen weiß ich von unseren Scratch-Dateisystemen. Du hast also vom Prinzip her vollständig recht. Aber ich hatte tatsächlich auch schon welche, die früher aufgegeben haben. (Und dass dann auch ohne Kommentar. Überschreiben funktionierte ohne Fehler einfach nicht mehr.) Insbesondere bei den kleinen. 12 Platten sind halt einfach keine Basis. Ich nehme an, dass die Hersteller deswegen so vorsichtig sind.Naja, Heise hatte das mal mit 250GB SSDs getestet und kam im schlechtesten Fall auf 1000 Zyklen:
rot: Moderator wanne spricht, default: User wanne spricht.
-
- Beiträge: 56
- Registriert: 22.03.2021 19:42:19
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Oh ok, dann sollte ich nicht groß weiter löschen und überschreiben.
Hätte es auch so machen können ? Dann hätte ich sicheres löschen.
Hätte es auch so machen können ? Dann hätte ich sicheres löschen.
Schreiben Sie Parted Magic auf einen USB-Stick, das erledigt zum Beispiel das Tool Rufus. Booten Sie dann Ihr System vom Stick und klicken Sie in Parted Magic unter "System Tools" auf "Erase Disk". Das Tool bietet Ihnen einige Optionen an, wählen Sie ganz unten "Internal Secure Erase command" aus.