Bei Installation verschlüsseln (Auch Swap und Boot)

Alles rund um sicherheitsrelevante Fragen und Probleme.
mcb

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von mcb » 27.03.2021 21:09:27

Ok - die swap ist also doch verschlüsselt. :)

Die hdd kannst du ruhig mit gnome disks einrichten.

Alternativ:

https://www.grund-wissen.de/linux/daten ... elung.html

mcb

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von mcb » 27.03.2021 21:17:04

https://cryptsetup-team.pages.debian.net/cryptsetup/

Encrypting a second hard drive on Ubuntu (post-install)
https://davidyat.es/2015/04/03/encrypti ... t-install/

Sorry ich kann es dir jetzt nicht 100%ig erklären, aber die dritte Anleiung hat mir schon gut geholfen.

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 28.03.2021 09:23:31

mcb hat geschrieben: ↑ zum Beitrag ↑
27.03.2021 21:09:27
Ok - die swap ist also doch verschlüsselt. :)
War nach oder bei der Install nicht ersichtlich. Aber so hätte ich jetzt auch gesagt, die Swap ist verschlüsselt, weil die in dem Hauptknoten mit drin steckt. Wenigstens etwas :-)

Das mit der 2. Disk muss ich mal noch mal probieren. Einfach wieder frisch partitionieren ?

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 28.03.2021 09:31:40

mcb hat geschrieben: ↑ zum Beitrag ↑
27.03.2021 21:17:04
https://cryptsetup-team.pages.debian.net/cryptsetup/

Encrypting a second hard drive on Ubuntu (post-install)
https://davidyat.es/2015/04/03/encrypti ... t-install/

Sorry ich kann es dir jetzt nicht 100%ig erklären, aber die dritte Anleiung hat mir schon gut geholfen.
Cryptsetup ist wieder ne andere App. Wollte das mit Boardmitteln erledigen, das war extra so geplant, sonst könnte ich das auch wieder mit VeraCrypt machen, da gings recht easy, nur ist das wohl nicht so schnell wie wenn mans über Boardmittel macht.

Ist das eine starke und aktuelle Verschlüsselung ?

Code: Alles auswählen

sudo cryptsetup -c aes-xts-plain -y -s 512 luksFormat /dev/sdX1

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von wanne » 28.03.2021 13:51:33

LinuxNewcomer hat geschrieben: ↑ zum Beitrag ↑
28.03.2021 09:31:40
Cryptsetup ist wieder ne andere App. Wollte das mit Boardmitteln erledigen, das war extra so geplant, sonst könnte ich das auch wieder mit VeraCrypt machen, da gings recht easy, nur ist das wohl nicht so schnell wie wenn mans über Boardmittel macht.
Mehr Boardmittel wie cryptsetup geht nicht.
Der Linux-Kernel selbst bietet nur eine C-API. Wenn du also kein C-Programm schreiben willst, musst du immer ein extra Tool nutzen.
Aber cryptsetup ist in sofern kein extra tool, dass es
a) nicht selbst Verschlüsslung oder so macht. Es ruft lediglich die C-API des Kernels auf und weißt diesen an, die Verschlüsslung vor zu nehmen.
b) vom den selben Menschen geschrieben wurde wie der entsprechende Kernel Teil.
Siehe:
https://git.kernel.org/pub/scm/linux/ke ... h=v4.4.263
https://gitlab.com/cryptsetup/cryptsetu ... er/AUTHORS
Ist das eine starke und aktuelle Verschlüsselung ?
AES ist von 1998. Gilt aber noch immer als Gold Standard

Code: Alles auswählen

sudo cryptsetup -c aes-xts-plain -y -s 512 luksFormat /dev/sdX1
Wenn nimm (Beil Platten über 64GiB) den Default aes-xts-plain64. Ich würde immer noch -c aes-cbc-essiv:sha256 -s 128 vorziehen, da schneller und defakto keine Nachteile. (cbc ist einfacher malable. Aber wenn du wirklich irgend welche abgesicherte Hardware hast auf der es sich lohnt sowas zu verhindern (eher nicht) willst du -I nutzen dass das wirklich unterbinden statt XTS, dass das nur erschwert.) Wenn du AES 256 statt AES 128 (Man kann hoffen dass die längeren Schlüssel für mehr Sicherheit sorgen. Real ist AES 256 nach momentanem Kenntnisstand eher schneller zu knacken. Das würde sich mit extrem schnellen Quantencomputern ändern. Die sind aber absolut nicht in Sicht. (Das ist etwas völlig anderes wie bei ECDSA, wo relativ langsame erfolgreiche Angriffe fahren könnten und auch da existieren keine passenden.)) haben willst nimm -s 256.
rot: Moderator wanne spricht, default: User wanne spricht.

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 28.03.2021 16:03:22

wanne hat geschrieben: ↑ zum Beitrag ↑
28.03.2021 13:51:33
LinuxNewcomer hat geschrieben: ↑ zum Beitrag ↑
28.03.2021 09:31:40
Cryptsetup ist wieder ne andere App. Wollte das mit Boardmitteln erledigen, das war extra so geplant, sonst könnte ich das auch wieder mit VeraCrypt machen, da gings recht easy, nur ist das wohl nicht so schnell wie wenn mans über Boardmittel macht.
Mehr Boardmittel wie cryptsetup geht nicht.
Der Linux-Kernel selbst bietet nur eine C-API. Wenn du also kein C-Programm schreiben willst, musst du immer ein extra Tool nutzen.
Aber cryptsetup ist in sofern kein extra tool, dass es
a) nicht selbst Verschlüsslung oder so macht. Es ruft lediglich die C-API des Kernels auf und weißt diesen an, die Verschlüsslung vor zu nehmen.
b) vom den selben Menschen geschrieben wurde wie der entsprechende Kernel Teil.
Siehe:
https://git.kernel.org/pub/scm/linux/ke ... h=v4.4.263
https://gitlab.com/cryptsetup/cryptsetu ... er/AUTHORS
Ist das eine starke und aktuelle Verschlüsselung ?
AES ist von 1998. Gilt aber noch immer als Gold Standard

Code: Alles auswählen

sudo cryptsetup -c aes-xts-plain -y -s 512 luksFormat /dev/sdX1
Wenn nimm (Beil Platten über 64GiB) den Default aes-xts-plain64. Ich würde immer noch -c aes-cbc-essiv:sha256 -s 128 vorziehen, da schneller und defakto keine Nachteile. (cbc ist einfacher malable. Aber wenn du wirklich irgend welche abgesicherte Hardware hast auf der es sich lohnt sowas zu verhindern (eher nicht) willst du -I nutzen dass das wirklich unterbinden statt XTS, dass das nur erschwert.) Wenn du AES 256 statt AES 128 (Man kann hoffen dass die längeren Schlüssel für mehr Sicherheit sorgen. Real ist AES 256 nach momentanem Kenntnisstand eher schneller zu knacken. Das würde sich mit extrem schnellen Quantencomputern ändern. Die sind aber absolut nicht in Sicht. (Das ist etwas völlig anderes wie bei ECDSA, wo relativ langsame erfolgreiche Angriffe fahren könnten und auch da existieren keine passenden.)) haben willst nimm -s 256.
Also AES 128 besser als AES 256 ? Also würde ich so gut fahren :

Code: Alles auswählen

sudo cryptsetup -c aes-cbc-essiv:sha256 -s 128
Was macht den Gnome Disks Utility ? Was nimmt das für eine Verschlüsselung ?

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von wanne » 28.03.2021 18:38:13

Also AES 128 besser als AES 256 ? Also würde ich so gut fahren :
AES 128 ist minimal schneller bzw. eher stromsparender. Da 256 ~40% mehr Rechenaufwand ist bevorzuge ich 128. Welches besser ist, ist IMHO eher Glaubensfrage.
Was macht den Gnome Disks Utility ? Was nimmt das für eine Verschlüsselung ?
Ich tippe, dass das die defaults nehmen wird also aes-xts-plain64 mit AES-265 (also -s 512) (XTS halbiert die Schlüssellänge.) Wie gesagt: Das schenkt sich alles wenig. Alles lange erprobte ungebrochene Verschlüsselungen. Der eine nim AES-128 der andere meint mehr hilft mehr und nimmt AES-256. Der nächste schwört auf twofish, weil djb den entworfen hat der übernächste nimmt serpent, weil er vom AES Konsorzium vor der Wahl für Rijandel/AES als besonders sicher eingestuft wurde oder camellia, weil der von den Koreanern "erfunden" und standartisiert wurde. (Und nicht wie AES vom Belgiern erfunden und von Amerikanern standartisiert) So lange da keiner was bricht sind halt alle sicher mehr oder weniger geht da IMHO nicht...
AES ist halt super schnell und stromsparend, weil überall in Hardware. Du kannst ja mal mit cryptsetup benchmark rumspielen wie schnell deine Hardware so für den ist.
Ich benutze sogar gerne den aes-ctr-plain64 der ist in vielen Fällen nochmal deutlich schneller, weil wie xts sowohl beim ver- wie auch beim entschlüsseln parallelisierbar. cbc nur beim entschlüsseln. – Ob deine Hardware das dann macht ist ne andere Frage. Hat aber für gewisse Einsatzzwecke insbesondere auf SSDs ein paar Probleme, weshalb ich den ungern an unbedarfte weiterempfehle.
Du kannst selbst mal teste mit:

Code: Alles auswählen

cryptsetup benchmark -c aes-ctr -s 128
cryptsetup benchmark -c cast6-cbc -s 256
..
und gucken was wie schnell im Vergleich zu deiner Platte ist.

Code: Alles auswählen

echo 1 > /proc/sys/vm/drop_caches
time head -c 1G /dev/sda | pv > /dev/null
Und dann merkst du dass speed Optimierung auch selten sinnvoll ist. Schneller als die Platte kann deine Crypto eh nicht. Am Ende ist so lange du kein single DES nimmst ein bisschen wane. Und gegen den weigert sich cryptsetup auch mittlerweile.
rot: Moderator wanne spricht, default: User wanne spricht.

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 30.03.2021 18:59:40

wanne hat geschrieben: ↑ zum Beitrag ↑
28.03.2021 18:38:13

Code: Alles auswählen

sudo cryptsetup -c aes-cbc-essiv:sha256 -s 128

Zuvor muss ich aber partitionieren und formatieren ? Dann den Befehl eingeben ?

mcb

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von mcb » 30.03.2021 20:10:31

Was spricht gegen die Voreistellungen ?

Du kannst dich an folgendem Beispielbefehl orientieren:

Code: Alles auswählen

root@debian:~# cryptsetup luksFormat --type luks1 /dev/sda1
lukes1 weglassen / /dev/sdX1 X anpassen.

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von wanne » 31.03.2021 11:08:50

LinuxNewcomer hat geschrieben: ↑ zum Beitrag ↑
30.03.2021 18:59:40
Zuvor muss ich aber partitionieren und formatieren ? Dann den Befehl eingeben ?
1. Partitionieren
2. verschlüsseln: luksFormat /dev/sdxY)
3. entschlüsseln: luksOpen /dev/sdxY NAME (damit du sie zum formatieren und nutzen kannst.)
4. formatieren: mkfs.abc /dev/mapper/NAME
5. mount /dev/mapper/NAME /pfad/ordner

(Die entschlüsselte Variante liegt immer unter /dev/mapper die Verschlüsslte auf der Partition die Partition auf der Platte) lsblk veranschautlicht das schön
Beispiel:

Code: Alles auswählen

NAME           FSTYPE      LABEL             MOUNTPOINT
sda                                                                                              
├─sda1         crypto_LUKS
│ └─newhome3   btrfs       newohome          /media/data
├─sda2
/dev/sda: Platte, /dev/sda1 und /dev/sda2 sind Partitionen /dev/mappter/newhome3 ist die entschlüsselte Variante von /dev/sda1, die btrfs formatiert ist. Die daten, die auf dem btrfs liegen findet man unter /media/data
Wie gesagt es wurden ein paar ausführlichere Anleitungen geopstet. Das nur zum Verständnis.
rot: Moderator wanne spricht, default: User wanne spricht.

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 31.03.2021 15:54:00

Hm, kennt ihr VeraCrypt ? Ich weiß nicht ob ich das doch damit machen soll, das war total easy und hat wunderbar funktioniert. Wäre halt nicht mit Boardmitteln und wohl laut anderen Aussagen, langsamer. Was auch immer damit gemeint ist.

Das andere Raff ich nicht, ich bräuchte eigenltich ne GUI, auch zum partitionieren und formatieren.

Aber, Versuch ::

1. Partitionieren könnte ich mit Gnome Disks Utility ?
2.

Code: Alles auswählen

cryptsetup -c aes-cbc-essiv:sha256 -s 128
oder

Code: Alles auswählen

cryptsetup luksFormat --type /dev/sda1
Hierbei gebe ich das PW bzw die Passphrase mit an ?

3.

Code: Alles auswählen

sudo cryptsetup luksOpen /dev/mapper/storage1
Hier dann erneut, da werde ich gefragt um das zu entschlüsseln ?

4.

Code: Alles auswählen

sudo mkfs.ext4 /dev/mapper/storage1
5. mounten

Hier wirds so gemacht

Code: Alles auswählen

sudo cryptsetup -c aes-cbc-essiv:sha256 -s 128
Das soll doch die verschlüsselung sein,
dann hier wieder mit Luks.

Code: Alles auswählen

cryptsetup luksFormat --type luks1 /dev/sda1
Mit VeraCrypt, sollte ich doch auch gut bedient sein oder ?

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von wanne » 31.03.2021 16:37:10

Es gibt auch ein halbe duzend GUIs für LUKS. Unter anderem Debianzulucrypt-gui Debianpartitionmanager Debiangparted. Da hat nur niemand Bock Erklärungen für zu schreiben, weil es halt 100 mal Komplizierter ist zu raten welche Buttons auf welchem Rechner in welcher Sprache jetzt wo landen und welche defaults der jetzt wo annimmt wie einfach 3 Kommandos zu posten.
rot: Moderator wanne spricht, default: User wanne spricht.

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von wanne » 31.03.2021 16:43:33

Entweder ich war blind oder du hast erst jetzt angefügt. Vermutlich ersteres... Deswegen jetzt die 2. Antwort.
LinuxNewcomer hat geschrieben: ↑ zum Beitrag ↑
31.03.2021 15:54:00
1. Partitionieren könnte ich mit Gnome Disks Utility ?
Ja. Prinzipiell kannst du dem sicher auch gleich irgend wo anklicken, dass es verschlüsseln soll. (Nicht sicher. Aber ich würde drauf wetten.)
LinuxNewcomer hat geschrieben: ↑ zum Beitrag ↑
31.03.2021 15:54:00
2.

Code: Alles auswählen

cryptsetup -c aes-cbc-essiv:sha256 -s 128
oder

Code: Alles auswählen

cryptsetup luksFormat --type /dev/sda1
Eine Mischung aus beidem

Code: Alles auswählen

cryptsetup luksFormat -c aes-cbc-essiv:sha256 -s 128 /dev/sda1
oder schlicht

Code: Alles auswählen

cryptsetup luksFormat /dev/sda1
Wenn du den default AES265-XTS nehmen willst.
Hierbei gebe ich das PW bzw die Passphrase mit an ?
Der fragt dann nach dem Passowrt
3.

Code: Alles auswählen

sudo cryptsetup luksOpen /dev/mapper/storage1
Nein.

Code: Alles auswählen

cryptsetup luksOpen  /dev/sda1 storage1
Du willst sda1 nach storage1 entschlüsseln (das dev/mapper denkt er sich automtisch dazu)
Hier dann erneut, da werde ich gefragt um das zu entschlüsseln ?
Ja.

Code: Alles auswählen

sudo mkfs.ext4 /dev/mapper/storage1
Ja.
rot: Moderator wanne spricht, default: User wanne spricht.

mcb

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von mcb » 31.03.2021 17:22:20

mcb hat geschrieben: ↑ zum Beitrag ↑
30.03.2021 20:10:31
Was spricht gegen die Voreistellungen ?

Du kannst dich an folgendem Beispielbefehl orientieren:

Code: Alles auswählen

root@debian:~# cryptsetup luksFormat --type luks1 /dev/sda1
lukes1 weglassen / /dev/sdX1 X anpassen.
Sorry ich sehe schon -> z.B.:

Code: Alles auswählen

 cryptsetup luksFormat --type luks2 /dev/sda1
oder eben ganz ohne

Code: Alles auswählen

 --type luks1
Ich kann das leider auch nicht so toll erklären, ich mache das zu selten.

Es gibt auch verschiedene Methoden.

- Verschl. Blockdevice mit LVM
- Verschl. Blockdevice ohne LVM
- Verschl. Partition

......

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 01.04.2021 16:46:49

Hab gestern noch mal ein Versuch mit Gnome gestartet, der lief jetzt fast 24h und es war immer noch nicht fertig. Dann hab ichs doch anders probiert.

Eiiiigentlich ganz easy, wenn man einfach mit den Befehlen arbeitet. Kann das aber sein, das das verschlüsseln nur paar Sekunden gedauert hat ? Hatte das noch einmal mit KDE Partitionmanager gemacht und dann auch noch mal per Konsole, beides mal ca. die gleiche Zeit gebraucht.

Müsste aber gut aussehen ?

Code: Alles auswählen

NAME                        MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                           8:0    0 232,9G  0 disk  
├─sda1                        8:1    0   512M  0 part  /boot/efi
├─sda2                        8:2    0   488M  0 part  /boot
└─sda3                        8:3    0 231,9G  0 part  
  └─sda3_crypt              254:0    0 231,9G  0 crypt 
    ├─homeserver--vg-root   254:1    0   231G  0 lvm   /
    └─homeserver--vg-swap_1 254:2    0   980M  0 lvm   [SWAP]
sdb                           8:16   0 298,1G  0 disk  
└─sdb1                        8:17   0 298,1G  0 part  /media/homeserver/Backups
sdc                           8:32   0   3,7T  0 disk  
└─sdc1                        8:33   0   3,7T  0 part  
  └─storage1                254:3    0   3,7T  0 crypt /mnt/Storage1
sdd                           8:48   0   2,7T  0 disk  
└─sdd1                        8:49   0   2,7T  0 part  
So nun müsste ich das ganze in die fstab eintragen, damit das ganze automatisch gemounted wird ? Oder ich probierst mal mit KDE, dort kann man da auch einiges einstellen.

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von wanne » 02.04.2021 08:47:53

Kann das aber sein, das das verschlüsseln nur paar Sekunden gedauert hat ?
Es sollte ziemlich exakt 2 Sekunden dauern.
Hab gestern noch mal ein Versuch mit Gnome gestartet, der lief jetzt fast 24h und es war immer noch nicht fertig.
Google meint, Gnome überschreibt wohl per default alles ein mal mit Zufallszahlen und scheint auch noch stinke lahm, beim erstellen von diesen zu sein.
rot: Moderator wanne spricht, default: User wanne spricht.

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 02.04.2021 10:07:07

Auf jeden Fall hab ichs jetzt geschafft, vielen Dank für eure Hilfe und Geduld :THX: :lol:

Jetzt versuche ich das ganze am Anfang einmal zu entschüsseln, wenn ich das PW für die System Partition eingebe beim booten.

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von wanne » 02.04.2021 12:13:23

Jetzt versuche ich das ganze am Anfang einmal zu entschüsseln, wenn ich das PW für die System Partition eingebe beim booten.
/etc/crypttab

Code: Alles auswählen

storage1 /dev/... none luks
Du kannst da /dev/sdc1 einsetzen. Aber es ist nicht zu empfehlen, weil sich seit systemd die "Nummerirung" oder eher die Buchstabirung jederzeit ändern kann.
Schönste Variante ist: /dev/disk/by-partlabel/ (wenn du gpt nutzt kannst du partlabels mit fdisk oder den meisten anderen Partitionierungsprogrammen vergeben) Geht aber nur bei GPTs und nicht bei MBRs
Du kannst auch /dev/disk/by-uuid/ machen einfach gucken mit ls -l /dev/disk/by-uuid/ gucken welche UUID sdc1 hat. und das rein stopfen. Sieht etwas hässlich aus funktioniert aber zuverlässig.


/etc/fstab

Code: Alles auswählen

/dev/mapper/storage1 /mnt/Storage1 auto defaults 0 0
Dann ein mal

Code: Alles auswählen

systemctl daemon-reload
Und danach sollte alles tun.
rot: Moderator wanne spricht, default: User wanne spricht.

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 02.04.2021 12:16:34

Hm, hätte das jetzt nach dieser Anleitung versucht.
https://davidyat.es/2015/04/03/encrypti ... t-install/

Woher bekommt die HDD das PW zum entschlüsseln, bei deiner Methode ?

Könnte ich das so eintragen in die crypttab ?

Code: Alles auswählen

Storage1 /dev/disk/by-uuid/f7d9f4c6-0c04-4575-8166-82e48dc3f68c
EDIT: Seh schon du hast wärend ich editiert habe auch schon was geschrieben ;-) Dann passt ja meine Zeile mit der UUID, war für mich am einfachsten.
Zuletzt geändert von LinuxNewcomer am 02.04.2021 12:25:29, insgesamt 2-mal geändert.

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von wanne » 02.04.2021 12:22:30

/ ist ja verschlüsselt. Du kannst das passwort also einfach darauf in einer Datei parken, die nur root lesen kann.
Als root

Code: Alles auswählen

install -m 600 /dev/null /etc/hdpw
echo -n password > /etc/hdpw
Dann ist der entsprechende Eintrag in der crypttab

Code: Alles auswählen

storage1 /dev/... /etc/hdpw luks
dnach fstab und systemctl daemon-reload wie gesagt.
rot: Moderator wanne spricht, default: User wanne spricht.

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 02.04.2021 12:27:59

An die PW Datei kommt keiner ran, weil ja das System erst mal vor dem Booten entschüsselt werden muss. Ausser es kommt einer ran, wärend das System entschlüsselt ist und holt sich das aus der Datei ?

In die fstab dann so ?

Code: Alles auswählen

/dev/mapper/storage1 chown -R user:group /mnt/Storage1 auto defaults,dir_mode=0777,file_mode=0777 0 0
Oder mach ich das über uid / gid / mask ?

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von wanne » 02.04.2021 14:14:07

An die PW Datei kommt keiner ran, weil ja das System erst mal vor dem Booten entschüsselt werden muss.
Ja.
Ausser es kommt einer ran, wärend das System entschlüsselt ist und holt sich das aus der Datei ?
Aber dann hat er ja auch zugriff auf die Partition im Klartext.
In die fstab dann so ?
Nein.
Wie gesagt nur

Code: Alles auswählen

/dev/mapper/storage1 /mnt/Storage1 auto defaults 0 0
Wenn du irgend welche Dateirechnte ändern willst musst du das machen, nachdem sie gemountet ist.
rot: Moderator wanne spricht, default: User wanne spricht.

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 02.04.2021 14:31:30

wanne hat geschrieben: ↑ zum Beitrag ↑
02.04.2021 14:14:07
Wenn du irgend welche Dateirechnte ändern willst musst du das machen, nachdem sie gemountet ist.
Fällt das beim nächsten Neustart nicht wieder weg ? Oder wird das dann irgendwo hinterlegt ?

Ich hatte das mal so gemacht, da ging das. War eine CIFS Freigabe und eine ext. HDD, dort hab ich das mit in die fstab gegeben. Geht das hier nicht weil das ein verschlüsselte Partition ist ?

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 03.04.2021 11:22:06

wanne hat geschrieben: ↑ zum Beitrag ↑
02.04.2021 12:13:23

Code: Alles auswählen

storage1 /dev/... none luks
In der Datei steht schon die System SSD drin, dort wird es so geschrieben

Code: Alles auswählen

sda3_crypt UUID=10e75440-0359-4ba2-9b8b-9da4aaa89f99 none luks,discard
sda3_crypt, so wird die angelegt, für mich halt dann in meinem Fall, Storage1 z.b. UUID= kann man so oder so /dev/disk/by-uuid/10e7544 ... eingeben ?

Muss das discard noch mit ? Heißt ja verwerfen, was wird verworfen ?

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von wanne » 03.04.2021 12:27:57

LinuxNewcomer hat geschrieben: ↑ zum Beitrag ↑
03.04.2021 11:22:06
sda3_crypt, so wird die angelegt, für mich halt dann in meinem Fall, Storage1 z.b. UUID= kann man so oder so /dev/disk/by-uuid/10e7544 ... eingeben ?
Ja beide Varianten sollten unter Debian valide sein. Ich bin nur immer ein bisschen unsicher weil ein paar von den Varianten mit = (LABEL=, PARTLABEL=, PATH=...) unter ein paar distros nicht tun. Und das eher unübersichtlich ist, was wo tut. Insbesondere hat systemd ein paar Varianten gekillt. Dafür sollte es jetzt einheitlicher sein, was wo tut. Deswegen bevorzuge ich die /dev-Varianten, die überall immer tun.
LinuxNewcomer hat geschrieben: ↑ zum Beitrag ↑
03.04.2021 11:22:06
Muss das discard noch mit ? Heißt ja verwerfen, was wird verworfen ?
SSDs wird normalerweise verraten, welche Teile frei sind und welche nicht. So kann die die Abnutzung besser über alle Teile verteilen und hält länger. Beim löschen muss der Platte also mitgeteilt werden, dass die Blöcke jetzt frei sind. Das nennt man discard. Daneben muss zum Überschreiben der passende Block erst gelöscht werden. Dies kann die Platte vorsorglich machen, wenn sie weiß welche Blöcke frei sind.

Das kann eine Sicherheitslücke sein: Übliches Besipiel du lädst ein Video von dir ohne Gesicht auf die Seite hoch wo man jetzt nicht mehr hochladen darf. Hat 3495443467Byte. Wenn jetzt jemand deine Festplatte und sieht dass zu ähnlicher zeit eine Datei mit 3495443467Byte geschrieben wurde. Alternativ du bist Journalist und hast von irgend jemand ein Archiv von Dokumenten von der Mafia zugeschoben bekommen. Jetzt kommt der Mafiaboss und findet raus, dass auf auf der Platte deiner Quelle genau in der Reihenfolge Dateien mit den passenden Dateigrößen geschrieben wurden... Vor allem hinterlassen viele Programme absehbare Patterns und du kannst feststellen welche Programme von dir genutzt wurden. Das Datenloch ist nicht zu unterschätzen. Aber es ist eben auch nicht so, dass da jetzt plötzlich die Liebesbriefe enttarnt werden.

Das ist jetzt Abwägungssache, was dir wichtiger ist. Es muss allerdings gesagt werden, dass die Lebensverlängerung von discard nicht ganz riesig ist und manche sogar länger ohne discard leben und die meisten SSDs eh lange vor ihrem Lebensende entsorgt werden. (Weil es für den nächsten Rechner billig zig fach größer und schnellere gibt.) Der Geschwindigkeitsvorteil variiert von nicht messbar bis ordentlich. HDDs verstehen eh kein discard.
rot: Moderator wanne spricht, default: User wanne spricht.

Antworten