Bei Installation verschlüsseln (Auch Swap und Boot)

Alles rund um sicherheitsrelevante Fragen und Probleme.
wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von wanne » 02.04.2021 08:47:53

Kann das aber sein, das das verschlüsseln nur paar Sekunden gedauert hat ?
Es sollte ziemlich exakt 2 Sekunden dauern.
Hab gestern noch mal ein Versuch mit Gnome gestartet, der lief jetzt fast 24h und es war immer noch nicht fertig.
Google meint, Gnome überschreibt wohl per default alles ein mal mit Zufallszahlen und scheint auch noch stinke lahm, beim erstellen von diesen zu sein.
rot: Moderator wanne spricht, default: User wanne spricht.

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 02.04.2021 10:07:07

Auf jeden Fall hab ichs jetzt geschafft, vielen Dank für eure Hilfe und Geduld :THX: :lol:

Jetzt versuche ich das ganze am Anfang einmal zu entschüsseln, wenn ich das PW für die System Partition eingebe beim booten.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von wanne » 02.04.2021 12:13:23

Jetzt versuche ich das ganze am Anfang einmal zu entschüsseln, wenn ich das PW für die System Partition eingebe beim booten.
/etc/crypttab

Code: Alles auswählen

storage1 /dev/... none luks
Du kannst da /dev/sdc1 einsetzen. Aber es ist nicht zu empfehlen, weil sich seit systemd die "Nummerirung" oder eher die Buchstabirung jederzeit ändern kann.
Schönste Variante ist: /dev/disk/by-partlabel/ (wenn du gpt nutzt kannst du partlabels mit fdisk oder den meisten anderen Partitionierungsprogrammen vergeben) Geht aber nur bei GPTs und nicht bei MBRs
Du kannst auch /dev/disk/by-uuid/ machen einfach gucken mit ls -l /dev/disk/by-uuid/ gucken welche UUID sdc1 hat. und das rein stopfen. Sieht etwas hässlich aus funktioniert aber zuverlässig.


/etc/fstab

Code: Alles auswählen

/dev/mapper/storage1 /mnt/Storage1 auto defaults 0 0
Dann ein mal

Code: Alles auswählen

systemctl daemon-reload
Und danach sollte alles tun.
rot: Moderator wanne spricht, default: User wanne spricht.

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 02.04.2021 12:16:34

Hm, hätte das jetzt nach dieser Anleitung versucht.
https://davidyat.es/2015/04/03/encrypti ... t-install/

Woher bekommt die HDD das PW zum entschlüsseln, bei deiner Methode ?

Könnte ich das so eintragen in die crypttab ?

Code: Alles auswählen

Storage1 /dev/disk/by-uuid/f7d9f4c6-0c04-4575-8166-82e48dc3f68c
EDIT: Seh schon du hast wärend ich editiert habe auch schon was geschrieben ;-) Dann passt ja meine Zeile mit der UUID, war für mich am einfachsten.
Zuletzt geändert von LinuxNewcomer am 02.04.2021 12:25:29, insgesamt 2-mal geändert.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von wanne » 02.04.2021 12:22:30

/ ist ja verschlüsselt. Du kannst das passwort also einfach darauf in einer Datei parken, die nur root lesen kann.
Als root

Code: Alles auswählen

install -m 600 /dev/null /etc/hdpw
echo -n password > /etc/hdpw
Dann ist der entsprechende Eintrag in der crypttab

Code: Alles auswählen

storage1 /dev/... /etc/hdpw luks
dnach fstab und systemctl daemon-reload wie gesagt.
rot: Moderator wanne spricht, default: User wanne spricht.

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 02.04.2021 12:27:59

An die PW Datei kommt keiner ran, weil ja das System erst mal vor dem Booten entschüsselt werden muss. Ausser es kommt einer ran, wärend das System entschlüsselt ist und holt sich das aus der Datei ?

In die fstab dann so ?

Code: Alles auswählen

/dev/mapper/storage1 chown -R user:group /mnt/Storage1 auto defaults,dir_mode=0777,file_mode=0777 0 0
Oder mach ich das über uid / gid / mask ?

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von wanne » 02.04.2021 14:14:07

An die PW Datei kommt keiner ran, weil ja das System erst mal vor dem Booten entschüsselt werden muss.
Ja.
Ausser es kommt einer ran, wärend das System entschlüsselt ist und holt sich das aus der Datei ?
Aber dann hat er ja auch zugriff auf die Partition im Klartext.
In die fstab dann so ?
Nein.
Wie gesagt nur

Code: Alles auswählen

/dev/mapper/storage1 /mnt/Storage1 auto defaults 0 0
Wenn du irgend welche Dateirechnte ändern willst musst du das machen, nachdem sie gemountet ist.
rot: Moderator wanne spricht, default: User wanne spricht.

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 02.04.2021 14:31:30

wanne hat geschrieben: ↑ zum Beitrag ↑
02.04.2021 14:14:07
Wenn du irgend welche Dateirechnte ändern willst musst du das machen, nachdem sie gemountet ist.
Fällt das beim nächsten Neustart nicht wieder weg ? Oder wird das dann irgendwo hinterlegt ?

Ich hatte das mal so gemacht, da ging das. War eine CIFS Freigabe und eine ext. HDD, dort hab ich das mit in die fstab gegeben. Geht das hier nicht weil das ein verschlüsselte Partition ist ?

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 03.04.2021 11:22:06

wanne hat geschrieben: ↑ zum Beitrag ↑
02.04.2021 12:13:23

Code: Alles auswählen

storage1 /dev/... none luks
In der Datei steht schon die System SSD drin, dort wird es so geschrieben

Code: Alles auswählen

sda3_crypt UUID=10e75440-0359-4ba2-9b8b-9da4aaa89f99 none luks,discard
sda3_crypt, so wird die angelegt, für mich halt dann in meinem Fall, Storage1 z.b. UUID= kann man so oder so /dev/disk/by-uuid/10e7544 ... eingeben ?

Muss das discard noch mit ? Heißt ja verwerfen, was wird verworfen ?

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von wanne » 03.04.2021 12:27:57

LinuxNewcomer hat geschrieben: ↑ zum Beitrag ↑
03.04.2021 11:22:06
sda3_crypt, so wird die angelegt, für mich halt dann in meinem Fall, Storage1 z.b. UUID= kann man so oder so /dev/disk/by-uuid/10e7544 ... eingeben ?
Ja beide Varianten sollten unter Debian valide sein. Ich bin nur immer ein bisschen unsicher weil ein paar von den Varianten mit = (LABEL=, PARTLABEL=, PATH=...) unter ein paar distros nicht tun. Und das eher unübersichtlich ist, was wo tut. Insbesondere hat systemd ein paar Varianten gekillt. Dafür sollte es jetzt einheitlicher sein, was wo tut. Deswegen bevorzuge ich die /dev-Varianten, die überall immer tun.
LinuxNewcomer hat geschrieben: ↑ zum Beitrag ↑
03.04.2021 11:22:06
Muss das discard noch mit ? Heißt ja verwerfen, was wird verworfen ?
SSDs wird normalerweise verraten, welche Teile frei sind und welche nicht. So kann die die Abnutzung besser über alle Teile verteilen und hält länger. Beim löschen muss der Platte also mitgeteilt werden, dass die Blöcke jetzt frei sind. Das nennt man discard. Daneben muss zum Überschreiben der passende Block erst gelöscht werden. Dies kann die Platte vorsorglich machen, wenn sie weiß welche Blöcke frei sind.

Das kann eine Sicherheitslücke sein: Übliches Besipiel du lädst ein Video von dir ohne Gesicht auf die Seite hoch wo man jetzt nicht mehr hochladen darf. Hat 3495443467Byte. Wenn jetzt jemand deine Festplatte und sieht dass zu ähnlicher zeit eine Datei mit 3495443467Byte geschrieben wurde. Alternativ du bist Journalist und hast von irgend jemand ein Archiv von Dokumenten von der Mafia zugeschoben bekommen. Jetzt kommt der Mafiaboss und findet raus, dass auf auf der Platte deiner Quelle genau in der Reihenfolge Dateien mit den passenden Dateigrößen geschrieben wurden... Vor allem hinterlassen viele Programme absehbare Patterns und du kannst feststellen welche Programme von dir genutzt wurden. Das Datenloch ist nicht zu unterschätzen. Aber es ist eben auch nicht so, dass da jetzt plötzlich die Liebesbriefe enttarnt werden.

Das ist jetzt Abwägungssache, was dir wichtiger ist. Es muss allerdings gesagt werden, dass die Lebensverlängerung von discard nicht ganz riesig ist und manche sogar länger ohne discard leben und die meisten SSDs eh lange vor ihrem Lebensende entsorgt werden. (Weil es für den nächsten Rechner billig zig fach größer und schnellere gibt.) Der Geschwindigkeitsvorteil variiert von nicht messbar bis ordentlich. HDDs verstehen eh kein discard.
rot: Moderator wanne spricht, default: User wanne spricht.

mcb

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von mcb » 03.04.2021 12:33:20

Ist Trim nicht standartmäßig aus ?

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von wanne » 03.04.2021 14:34:33

mcb hat geschrieben: ↑ zum Beitrag ↑
03.04.2021 12:33:20
Ist Trim nicht standartmäßig aus ?
Ging ein paar mal hin und her. Im Moment ist glaube ich der status, dass die meisten Dateisysteme (ext4/xfs) trim abgeschaltet haben, wenn man es nicht explizit in der fstab angeschaltet hat. Aber per default fstrim.service läuft, der alle Platten wo das möglich ist ein mal stündlich trimt. (Hintergrund ist wohl, dass sich einige Platten dämlich verhalten, wenn man zu oft kleine Bereiche trimt.) Das ist defakto kein Schutz, weil man an den Positionen abschätzen kann, in welcher Reihenfolge die Dateien geschrieben wurden. Daneben gibt es irgend wo eine Blacklist von Devices, wo trim kaputt ist.
rot: Moderator wanne spricht, default: User wanne spricht.

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 10.04.2021 10:02:37

HDD Standby, sollte dennoch klappen, oder geht das mit Verschlüsselung nicht ? Hab nach dieser Anleitung mal zwei HDD's eingerichtet, da tut sich aber nichts. https://www.foxplex.com/sites/festplatt ... d-hd-idle/
Kann ich am Stromverbrauch sehen. Der Sollte ja dann sinken.

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 11.04.2021 16:32:26

Hm, kann es sein, wenn man die Sys SSD verschlüsselt hat, Clonezilla nicht starten kann ? Ich hab jetzt Fast Boot aus, das heißt ich kann am Anfang wählen Debian oder Clonezilla, wenn ich Clonezilla wähle, startet es nicht, es gibt Fehlermeldungen und ich komme wieder zum Auswahlmenü. Unter anderem steht dort es muss erst ein Kernel geladen werden. Denke, weil Clonezilla mit auf der verschlüsselten SSD liegt, kommt es da nicht ran, weil ich es erst entschlüsseln müsste, richtig ?

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 14.09.2023 09:15:00

wanne hat geschrieben: ↑ zum Beitrag ↑
03.04.2021 14:34:33
ich hab mal eine Frage. Ich ziehe auf ein neues System um. Ich nutze Proxmox und erstelle dort einen LXC. So die anderen HDD's sind ja jetzt verschlüsselt.

Ich muss die doch jetzt erst mal wieder im neuen System in dev/mapper bekommen, danach kann ich sie ja wieder in der fstab mounten.

Oder bekomme ich die HDD's über crypttab da rein ?

Vorher wurden die ja glaub durch den Prozess des Verschlüsselns und Formatierens in dev/mapper gebracht, das fällt ja jetzt weg.

Die HDDs stehen in der crypttab und werden in der fstab gemounted. Nur ist es jetzt so wenn ich die VM starte, will er von mir das Passwort für die hdds nacheinander. Ich denke er macht das mit der crypttab, oder muss ich die noch irgendwo hinpacken, oder dem System was sagen ?

Code: Alles auswählen

Storage1 /dev/disk/by-uuid/f7d9f4c6-0c04-4575-8166-82e48dc3f68c /etc/hdpw luks
Das pw hab ich ja so angelegt.

Code: Alles auswählen

sudo install -m 600 /dev/null /etc/hdpw
sudo echo -n password > /etc/hdpw 

Antworten