Bei Installation verschlüsseln (Auch Swap und Boot)
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Die hdd kannst du ruhig mit gnome disks einrichten.
Alternativ:
https://www.grund-wissen.de/linux/daten ... elung.html
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Encrypting a second hard drive on Ubuntu (post-install)
https://davidyat.es/2015/04/03/encrypti ... t-install/
Sorry ich kann es dir jetzt nicht 100%ig erklären, aber die dritte Anleiung hat mir schon gut geholfen.
-
- Beiträge: 56
- Registriert: 22.03.2021 19:42:19
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
War nach oder bei der Install nicht ersichtlich. Aber so hätte ich jetzt auch gesagt, die Swap ist verschlüsselt, weil die in dem Hauptknoten mit drin steckt. Wenigstens etwas
Das mit der 2. Disk muss ich mal noch mal probieren. Einfach wieder frisch partitionieren ?
-
- Beiträge: 56
- Registriert: 22.03.2021 19:42:19
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Cryptsetup ist wieder ne andere App. Wollte das mit Boardmitteln erledigen, das war extra so geplant, sonst könnte ich das auch wieder mit VeraCrypt machen, da gings recht easy, nur ist das wohl nicht so schnell wie wenn mans über Boardmittel macht.mcb hat geschrieben:27.03.2021 21:17:04https://cryptsetup-team.pages.debian.net/cryptsetup/
Encrypting a second hard drive on Ubuntu (post-install)
https://davidyat.es/2015/04/03/encrypti ... t-install/
Sorry ich kann es dir jetzt nicht 100%ig erklären, aber die dritte Anleiung hat mir schon gut geholfen.
Ist das eine starke und aktuelle Verschlüsselung ?
Code: Alles auswählen
sudo cryptsetup -c aes-xts-plain -y -s 512 luksFormat /dev/sdX1
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Mehr Boardmittel wie cryptsetup geht nicht.LinuxNewcomer hat geschrieben:28.03.2021 09:31:40Cryptsetup ist wieder ne andere App. Wollte das mit Boardmitteln erledigen, das war extra so geplant, sonst könnte ich das auch wieder mit VeraCrypt machen, da gings recht easy, nur ist das wohl nicht so schnell wie wenn mans über Boardmittel macht.
Der Linux-Kernel selbst bietet nur eine C-API. Wenn du also kein C-Programm schreiben willst, musst du immer ein extra Tool nutzen.
Aber cryptsetup ist in sofern kein extra tool, dass es
a) nicht selbst Verschlüsslung oder so macht. Es ruft lediglich die C-API des Kernels auf und weißt diesen an, die Verschlüsslung vor zu nehmen.
b) vom den selben Menschen geschrieben wurde wie der entsprechende Kernel Teil.
Siehe:
https://git.kernel.org/pub/scm/linux/ke ... h=v4.4.263
https://gitlab.com/cryptsetup/cryptsetu ... er/AUTHORS
AES ist von 1998. Gilt aber noch immer als Gold StandardIst das eine starke und aktuelle Verschlüsselung ?
Wenn nimm (Beil Platten über 64GiB) den Default aes-xts-plain64. Ich würde immer noch -c aes-cbc-essiv:sha256 -s 128 vorziehen, da schneller und defakto keine Nachteile. (cbc ist einfacher malable. Aber wenn du wirklich irgend welche abgesicherte Hardware hast auf der es sich lohnt sowas zu verhindern (eher nicht) willst du -I nutzen dass das wirklich unterbinden statt XTS, dass das nur erschwert.) Wenn du AES 256 statt AES 128 (Man kann hoffen dass die längeren Schlüssel für mehr Sicherheit sorgen. Real ist AES 256 nach momentanem Kenntnisstand eher schneller zu knacken. Das würde sich mit extrem schnellen Quantencomputern ändern. Die sind aber absolut nicht in Sicht. (Das ist etwas völlig anderes wie bei ECDSA, wo relativ langsame erfolgreiche Angriffe fahren könnten und auch da existieren keine passenden.)) haben willst nimm -s 256.Code: Alles auswählen
sudo cryptsetup -c aes-xts-plain -y -s 512 luksFormat /dev/sdX1
-
- Beiträge: 56
- Registriert: 22.03.2021 19:42:19
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Also AES 128 besser als AES 256 ? Also würde ich so gut fahren :wanne hat geschrieben:28.03.2021 13:51:33Mehr Boardmittel wie cryptsetup geht nicht.LinuxNewcomer hat geschrieben:28.03.2021 09:31:40Cryptsetup ist wieder ne andere App. Wollte das mit Boardmitteln erledigen, das war extra so geplant, sonst könnte ich das auch wieder mit VeraCrypt machen, da gings recht easy, nur ist das wohl nicht so schnell wie wenn mans über Boardmittel macht.
Der Linux-Kernel selbst bietet nur eine C-API. Wenn du also kein C-Programm schreiben willst, musst du immer ein extra Tool nutzen.
Aber cryptsetup ist in sofern kein extra tool, dass es
a) nicht selbst Verschlüsslung oder so macht. Es ruft lediglich die C-API des Kernels auf und weißt diesen an, die Verschlüsslung vor zu nehmen.
b) vom den selben Menschen geschrieben wurde wie der entsprechende Kernel Teil.
Siehe:
https://git.kernel.org/pub/scm/linux/ke ... h=v4.4.263
https://gitlab.com/cryptsetup/cryptsetu ... er/AUTHORS
AES ist von 1998. Gilt aber noch immer als Gold StandardIst das eine starke und aktuelle Verschlüsselung ?Wenn nimm (Beil Platten über 64GiB) den Default aes-xts-plain64. Ich würde immer noch -c aes-cbc-essiv:sha256 -s 128 vorziehen, da schneller und defakto keine Nachteile. (cbc ist einfacher malable. Aber wenn du wirklich irgend welche abgesicherte Hardware hast auf der es sich lohnt sowas zu verhindern (eher nicht) willst du -I nutzen dass das wirklich unterbinden statt XTS, dass das nur erschwert.) Wenn du AES 256 statt AES 128 (Man kann hoffen dass die längeren Schlüssel für mehr Sicherheit sorgen. Real ist AES 256 nach momentanem Kenntnisstand eher schneller zu knacken. Das würde sich mit extrem schnellen Quantencomputern ändern. Die sind aber absolut nicht in Sicht. (Das ist etwas völlig anderes wie bei ECDSA, wo relativ langsame erfolgreiche Angriffe fahren könnten und auch da existieren keine passenden.)) haben willst nimm -s 256.Code: Alles auswählen
sudo cryptsetup -c aes-xts-plain -y -s 512 luksFormat /dev/sdX1
Code: Alles auswählen
sudo cryptsetup -c aes-cbc-essiv:sha256 -s 128
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
AES 128 ist minimal schneller bzw. eher stromsparender. Da 256 ~40% mehr Rechenaufwand ist bevorzuge ich 128. Welches besser ist, ist IMHO eher Glaubensfrage.Also AES 128 besser als AES 256 ? Also würde ich so gut fahren :
Ich tippe, dass das die defaults nehmen wird also aes-xts-plain64 mit AES-265 (also -s 512) (XTS halbiert die Schlüssellänge.) Wie gesagt: Das schenkt sich alles wenig. Alles lange erprobte ungebrochene Verschlüsselungen. Der eine nim AES-128 der andere meint mehr hilft mehr und nimmt AES-256. Der nächste schwört auf twofish, weil djb den entworfen hat der übernächste nimmt serpent, weil er vom AES Konsorzium vor der Wahl für Rijandel/AES als besonders sicher eingestuft wurde oder camellia, weil der von den Koreanern "erfunden" und standartisiert wurde. (Und nicht wie AES vom Belgiern erfunden und von Amerikanern standartisiert) So lange da keiner was bricht sind halt alle sicher mehr oder weniger geht da IMHO nicht...Was macht den Gnome Disks Utility ? Was nimmt das für eine Verschlüsselung ?
AES ist halt super schnell und stromsparend, weil überall in Hardware. Du kannst ja mal mit cryptsetup benchmark rumspielen wie schnell deine Hardware so für den ist.
Ich benutze sogar gerne den aes-ctr-plain64 der ist in vielen Fällen nochmal deutlich schneller, weil wie xts sowohl beim ver- wie auch beim entschlüsseln parallelisierbar. cbc nur beim entschlüsseln. – Ob deine Hardware das dann macht ist ne andere Frage. Hat aber für gewisse Einsatzzwecke insbesondere auf SSDs ein paar Probleme, weshalb ich den ungern an unbedarfte weiterempfehle.
Du kannst selbst mal teste mit:
Code: Alles auswählen
cryptsetup benchmark -c aes-ctr -s 128
cryptsetup benchmark -c cast6-cbc -s 256
..
Code: Alles auswählen
echo 1 > /proc/sys/vm/drop_caches
time head -c 1G /dev/sda | pv > /dev/null
-
- Beiträge: 56
- Registriert: 22.03.2021 19:42:19
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
wanne hat geschrieben:28.03.2021 18:38:13Code: Alles auswählen
sudo cryptsetup -c aes-cbc-essiv:sha256 -s 128
Zuvor muss ich aber partitionieren und formatieren ? Dann den Befehl eingeben ?
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Du kannst dich an folgendem Beispielbefehl orientieren:
Code: Alles auswählen
root@debian:~# cryptsetup luksFormat --type luks1 /dev/sda1
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
1. PartitionierenLinuxNewcomer hat geschrieben:30.03.2021 18:59:40Zuvor muss ich aber partitionieren und formatieren ? Dann den Befehl eingeben ?
2. verschlüsseln: luksFormat /dev/sdxY)
3. entschlüsseln: luksOpen /dev/sdxY NAME (damit du sie zum formatieren und nutzen kannst.)
4. formatieren: mkfs.abc /dev/mapper/NAME
5. mount /dev/mapper/NAME /pfad/ordner
(Die entschlüsselte Variante liegt immer unter /dev/mapper die Verschlüsslte auf der Partition die Partition auf der Platte) lsblk veranschautlicht das schön
Beispiel:
Code: Alles auswählen
NAME FSTYPE LABEL MOUNTPOINT
sda
├─sda1 crypto_LUKS
│ └─newhome3 btrfs newohome /media/data
├─sda2
Wie gesagt es wurden ein paar ausführlichere Anleitungen geopstet. Das nur zum Verständnis.
-
- Beiträge: 56
- Registriert: 22.03.2021 19:42:19
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Das andere Raff ich nicht, ich bräuchte eigenltich ne GUI, auch zum partitionieren und formatieren.
Aber, Versuch ::
1. Partitionieren könnte ich mit Gnome Disks Utility ?
2.
Code: Alles auswählen
cryptsetup -c aes-cbc-essiv:sha256 -s 128
Code: Alles auswählen
cryptsetup luksFormat --type /dev/sda1
3.
Code: Alles auswählen
sudo cryptsetup luksOpen /dev/mapper/storage1
4.
Code: Alles auswählen
sudo mkfs.ext4 /dev/mapper/storage1
Hier wirds so gemacht
Code: Alles auswählen
sudo cryptsetup -c aes-cbc-essiv:sha256 -s 128
dann hier wieder mit Luks.
Code: Alles auswählen
cryptsetup luksFormat --type luks1 /dev/sda1
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Ja. Prinzipiell kannst du dem sicher auch gleich irgend wo anklicken, dass es verschlüsseln soll. (Nicht sicher. Aber ich würde drauf wetten.)LinuxNewcomer hat geschrieben:31.03.2021 15:54:001. Partitionieren könnte ich mit Gnome Disks Utility ?
Eine Mischung aus beidemLinuxNewcomer hat geschrieben:31.03.2021 15:54:002.oderCode: Alles auswählen
cryptsetup -c aes-cbc-essiv:sha256 -s 128
Code: Alles auswählen
cryptsetup luksFormat --type /dev/sda1
Code: Alles auswählen
cryptsetup luksFormat -c aes-cbc-essiv:sha256 -s 128 /dev/sda1
Code: Alles auswählen
cryptsetup luksFormat /dev/sda1
Der fragt dann nach dem PassowrtHierbei gebe ich das PW bzw die Passphrase mit an ?
Nein.3.Code: Alles auswählen
sudo cryptsetup luksOpen /dev/mapper/storage1
Code: Alles auswählen
cryptsetup luksOpen /dev/sda1 storage1
Ja.Hier dann erneut, da werde ich gefragt um das zu entschlüsseln ?
Ja.Code: Alles auswählen
sudo mkfs.ext4 /dev/mapper/storage1
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Sorry ich sehe schon -> z.B.:mcb hat geschrieben:30.03.2021 20:10:31Was spricht gegen die Voreistellungen ?
Du kannst dich an folgendem Beispielbefehl orientieren:
lukes1 weglassen / /dev/sdX1 X anpassen.Code: Alles auswählen
root@debian:~# cryptsetup luksFormat --type luks1 /dev/sda1
Code: Alles auswählen
cryptsetup luksFormat --type luks2 /dev/sda1
Code: Alles auswählen
--type luks1
Es gibt auch verschiedene Methoden.
- Verschl. Blockdevice mit LVM
- Verschl. Blockdevice ohne LVM
- Verschl. Partition
......
-
- Beiträge: 56
- Registriert: 22.03.2021 19:42:19
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Eiiiigentlich ganz easy, wenn man einfach mit den Befehlen arbeitet. Kann das aber sein, das das verschlüsseln nur paar Sekunden gedauert hat ? Hatte das noch einmal mit KDE Partitionmanager gemacht und dann auch noch mal per Konsole, beides mal ca. die gleiche Zeit gebraucht.
Müsste aber gut aussehen ?
Code: Alles auswählen
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 232,9G 0 disk
├─sda1 8:1 0 512M 0 part /boot/efi
├─sda2 8:2 0 488M 0 part /boot
└─sda3 8:3 0 231,9G 0 part
└─sda3_crypt 254:0 0 231,9G 0 crypt
├─homeserver--vg-root 254:1 0 231G 0 lvm /
└─homeserver--vg-swap_1 254:2 0 980M 0 lvm [SWAP]
sdb 8:16 0 298,1G 0 disk
└─sdb1 8:17 0 298,1G 0 part /media/homeserver/Backups
sdc 8:32 0 3,7T 0 disk
└─sdc1 8:33 0 3,7T 0 part
└─storage1 254:3 0 3,7T 0 crypt /mnt/Storage1
sdd 8:48 0 2,7T 0 disk
└─sdd1 8:49 0 2,7T 0 part
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Es sollte ziemlich exakt 2 Sekunden dauern.Kann das aber sein, das das verschlüsseln nur paar Sekunden gedauert hat ?
Google meint, Gnome überschreibt wohl per default alles ein mal mit Zufallszahlen und scheint auch noch stinke lahm, beim erstellen von diesen zu sein.Hab gestern noch mal ein Versuch mit Gnome gestartet, der lief jetzt fast 24h und es war immer noch nicht fertig.
-
- Beiträge: 56
- Registriert: 22.03.2021 19:42:19
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Jetzt versuche ich das ganze am Anfang einmal zu entschüsseln, wenn ich das PW für die System Partition eingebe beim booten.
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
/etc/crypttabJetzt versuche ich das ganze am Anfang einmal zu entschüsseln, wenn ich das PW für die System Partition eingebe beim booten.
Code: Alles auswählen
storage1 /dev/... none luks
Schönste Variante ist: /dev/disk/by-partlabel/ (wenn du gpt nutzt kannst du partlabels mit fdisk oder den meisten anderen Partitionierungsprogrammen vergeben) Geht aber nur bei GPTs und nicht bei MBRs
Du kannst auch /dev/disk/by-uuid/ machen einfach gucken mit ls -l /dev/disk/by-uuid/ gucken welche UUID sdc1 hat. und das rein stopfen. Sieht etwas hässlich aus funktioniert aber zuverlässig.
/etc/fstab
Code: Alles auswählen
/dev/mapper/storage1 /mnt/Storage1 auto defaults 0 0
Code: Alles auswählen
systemctl daemon-reload
-
- Beiträge: 56
- Registriert: 22.03.2021 19:42:19
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
https://davidyat.es/2015/04/03/encrypti ... t-install/
Woher bekommt die HDD das PW zum entschlüsseln, bei deiner Methode ?
Könnte ich das so eintragen in die crypttab ?
Code: Alles auswählen
Storage1 /dev/disk/by-uuid/f7d9f4c6-0c04-4575-8166-82e48dc3f68c
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Als root
Code: Alles auswählen
install -m 600 /dev/null /etc/hdpw
echo -n password > /etc/hdpw
Code: Alles auswählen
storage1 /dev/... /etc/hdpw luks
-
- Beiträge: 56
- Registriert: 22.03.2021 19:42:19
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
In die fstab dann so ?
Code: Alles auswählen
/dev/mapper/storage1 chown -R user:group /mnt/Storage1 auto defaults,dir_mode=0777,file_mode=0777 0 0
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Ja.An die PW Datei kommt keiner ran, weil ja das System erst mal vor dem Booten entschüsselt werden muss.
Aber dann hat er ja auch zugriff auf die Partition im Klartext.Ausser es kommt einer ran, wärend das System entschlüsselt ist und holt sich das aus der Datei ?
Nein.In die fstab dann so ?
Wie gesagt nur
Code: Alles auswählen
/dev/mapper/storage1 /mnt/Storage1 auto defaults 0 0
-
- Beiträge: 56
- Registriert: 22.03.2021 19:42:19
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Fällt das beim nächsten Neustart nicht wieder weg ? Oder wird das dann irgendwo hinterlegt ?wanne hat geschrieben:02.04.2021 14:14:07Wenn du irgend welche Dateirechnte ändern willst musst du das machen, nachdem sie gemountet ist.
Ich hatte das mal so gemacht, da ging das. War eine CIFS Freigabe und eine ext. HDD, dort hab ich das mit in die fstab gegeben. Geht das hier nicht weil das ein verschlüsselte Partition ist ?
-
- Beiträge: 56
- Registriert: 22.03.2021 19:42:19
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
wanne hat geschrieben:02.04.2021 12:13:23In der Datei steht schon die System SSD drin, dort wird es so geschriebenCode: Alles auswählen
storage1 /dev/... none luks
sda3_crypt, so wird die angelegt, für mich halt dann in meinem Fall, Storage1 z.b. UUID= kann man so oder so /dev/disk/by-uuid/10e7544 ... eingeben ?Code: Alles auswählen
sda3_crypt UUID=10e75440-0359-4ba2-9b8b-9da4aaa89f99 none luks,discard
Muss das discard noch mit ? Heißt ja verwerfen, was wird verworfen ?
Re: Bei Installation verschlüsseln (Auch Swap und Boot)
Ja beide Varianten sollten unter Debian valide sein. Ich bin nur immer ein bisschen unsicher weil ein paar von den Varianten mit = (LABEL=, PARTLABEL=, PATH=...) unter ein paar distros nicht tun. Und das eher unübersichtlich ist, was wo tut. Insbesondere hat systemd ein paar Varianten gekillt. Dafür sollte es jetzt einheitlicher sein, was wo tut. Deswegen bevorzuge ich die /dev-Varianten, die überall immer tun.LinuxNewcomer hat geschrieben:03.04.2021 11:22:06sda3_crypt, so wird die angelegt, für mich halt dann in meinem Fall, Storage1 z.b. UUID= kann man so oder so /dev/disk/by-uuid/10e7544 ... eingeben ?
SSDs wird normalerweise verraten, welche Teile frei sind und welche nicht. So kann die die Abnutzung besser über alle Teile verteilen und hält länger. Beim löschen muss der Platte also mitgeteilt werden, dass die Blöcke jetzt frei sind. Das nennt man discard. Daneben muss zum Überschreiben der passende Block erst gelöscht werden. Dies kann die Platte vorsorglich machen, wenn sie weiß welche Blöcke frei sind.LinuxNewcomer hat geschrieben:03.04.2021 11:22:06Muss das discard noch mit ? Heißt ja verwerfen, was wird verworfen ?
Das kann eine Sicherheitslücke sein: Übliches Besipiel du lädst ein Video von dir ohne Gesicht auf die Seite hoch wo man jetzt nicht mehr hochladen darf. Hat 3495443467Byte. Wenn jetzt jemand deine Festplatte und sieht dass zu ähnlicher zeit eine Datei mit 3495443467Byte geschrieben wurde. Alternativ du bist Journalist und hast von irgend jemand ein Archiv von Dokumenten von der Mafia zugeschoben bekommen. Jetzt kommt der Mafiaboss und findet raus, dass auf auf der Platte deiner Quelle genau in der Reihenfolge Dateien mit den passenden Dateigrößen geschrieben wurden... Vor allem hinterlassen viele Programme absehbare Patterns und du kannst feststellen welche Programme von dir genutzt wurden. Das Datenloch ist nicht zu unterschätzen. Aber es ist eben auch nicht so, dass da jetzt plötzlich die Liebesbriefe enttarnt werden.
Das ist jetzt Abwägungssache, was dir wichtiger ist. Es muss allerdings gesagt werden, dass die Lebensverlängerung von discard nicht ganz riesig ist und manche sogar länger ohne discard leben und die meisten SSDs eh lange vor ihrem Lebensende entsorgt werden. (Weil es für den nächsten Rechner billig zig fach größer und schnellere gibt.) Der Geschwindigkeitsvorteil variiert von nicht messbar bis ordentlich. HDDs verstehen eh kein discard.