Bei Installation verschlüsseln (Auch Swap und Boot)

Alles rund um sicherheitsrelevante Fragen und Probleme.
LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 22.03.2021 19:51:15

Hallo Com,

ich würde gerne mal mein System verschlüsseln. Das kann man ja ganz gut bei der Installation realisieren, hier ist die Frage ob nur die Sys Partition oder auch Swap und Boot, was ich in ein paar Anleitungen gelesen habe https://www.dwarmstrong.org/fde-debian/, das die eben die komplette SSD verschüsseln mit Swap und Boot, weil man wohl über Swap recht easy an die Daten kommt und wohl auch an das PW zum entschlüsseln. Ist das so ?

Grüße

mcb

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von mcb » 22.03.2021 22:27:05

Der Installer "Auswahl ganze Platte verschlüsselt" erstellt dir eine /boot (unverschlüsselt) und den Rest in ein Cryptodevice.

Encrypted /boot ist ein riesen Gebastel ...

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 23.03.2021 07:40:10

OK das reicht dann auch aus ? Swap ist mit dabei nur Boot nicht ? Aber da ist ja normal auch nichts wichtiges drin oder ?

am2
Beiträge: 276
Registriert: 20.08.2016 21:56:44

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von am2 » 23.03.2021 10:49:32

LinuxNewcomer hat geschrieben: ↑ zum Beitrag ↑
23.03.2021 07:40:10
(...) Aber da ist ja normal auch nichts wichtiges drin oder ?
Das kommt darauf an. Mal is es wichtig, mal nicht. Ich habe 16GB RAM und komme wunderbar ohne Swap aus, hatte nie den Eindruck, dass ich sie je gebraucht hätte. Falls man dennoch Swap braucht kann auch eine Swap-Datei beim laufenden System angelegt werden und diese kann man löschen. Von verschlüsselter boot-Partition rate ich auch ab, ich wäre sogar geneigt zu sagen, dass dort tatsächlich nichts wichtiges drin ist, es sei denn du hast dort etwas abgelegt.

Wichtige Sachen sollten auch in verschlüsselten Containern auf der Festplatte liegen, egal ob die Platte verschlüsselt ist oder nicht. Das baut im Falle des Falles eine zusätzliche Hürde ein, die für den Knacker sehr ärgerlich ist. Ganz wichtige Sachen sollte man auf einem Computer ohne Netzwerkkarte aufbewahren/bearbeiten/betrachten.

mcb

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von mcb » 23.03.2021 10:57:45

Es ist alles verschlüsselt / nur boot & EFI nicht ...

Das reicht normalerweise aus.

z.b. so:

Code: Alles auswählen

nvme0n1p2         259:2    0   477M  0 part  /boot/efi
├─nvme0n1p5         259:3    0   954M  0 part  /boot
└─nvme0n1p6         259:4    0   356G  0 part  
  └─nvme0n1p6_crypt 254:0    0   356G  0 crypt 
    ├─VG-root       254:1    0  33.7G  0 lvm   /
    ├─VG-swap       254:2    0   9.5G  0 lvm   [SWAP]
Encrypted /boot ist recht complicated ...

https://cryptsetup-team.pages.debian.ne ... -boot.html

Da nimmt man ev. ein ATA-Festplattenpasswort zusätzlich anstatt des Gebastels :wink:

Benutzeravatar
smutbert
Moderator
Beiträge: 8313
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von smutbert » 23.03.2021 11:02:28

zur Verschlüsselung von /boot:
Der Bootloader, normalerweise also grub, muss Kernel und initrd lesen können und die liegen üblicherweise in /boot. grub kann in der Version in Debian testing und unstable (grub 2.04) noch nichts mit dem aktuellen Verschlüsselungsformat (luks v2) anfangen, unterstützt aber das alte luks v1.
Ein beliebter Workaround war bzw. ist /boot auf einem luks v1-verschlüsseltem Gerät anzulegen, das grub öffnen kann und den Rest ganz normal luks v2 zu verschlüsseln. Bei der Installation wird das aber bestimmt nicht angeboten, das müsste man selbst erledigen.


Du solltest vielleicht ein bisschen überlegen weshalb du das System überhaupt verschlüsseln willst. Einfach nur aus Prinzip das System verschlüsseln ohne sich Gedanken zu machen wovor man sich schützen will, wie die Verschlüsselung dabei helfen kann und welche Nachteile sie mit sich bringt, scheint mir wenig sinnvoll.

So könnte man zB über ein unverschlüsseltes /boot das System mit wenig Aufwand manipulieren, indem man zB etwas in die initrd einbaut. Geht es aber nur darum bei einem eventuellen Diebstahl (im ausgeschalteten Zustand) zu verhindern, dass der Dieb an die Daten kommt, ist das eher egal.

JTH
Moderator
Beiträge: 3014
Registriert: 13.08.2008 17:01:41
Wohnort: Berlin

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von JTH » 23.03.2021 11:11:48

am2 hat geschrieben: ↑ zum Beitrag ↑
23.03.2021 10:49:32
[…] hatte nie den Eindruck, dass ich sie je gebraucht hätte. Falls man dennoch Swap braucht […]
Anmerkung an der Stelle immer: Wenn man den Ruhezustand aka Hibernation aka S4 aka Suspend-to-Disk aka sowieso benutzen möchte, braucht man zwingend eine Swap-Partition. (Aber ich hab keine Ahnung, ob sich das überhaupt mit Verschlüsselung verträgt.)
Manchmal bekannt als Just (another) Terminal Hacker.

mcb

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von mcb » 23.03.2021 11:45:46

Weil es ja immer wieder für Verwirrung sorgt:

Die Swap zu verschlüsseln ist kein Problem (der Assistent / Installer macht das auch automatisch).

Per Hand geht es auch alles recht einfach.

Nur die /boot ist "schwer" und Fehleranfällig.

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 23.03.2021 12:10:43

Hauptsächlich geht's mir darum das keiner an meine Daten kommt.

Indem Fall sollte die normale Verschlüsselung der gesamten Platte reichen. Wenn man über boot da nicht ran kommt an die verschlüsselten Daten, muss der nicht mit verschlüsselt werden.

Vielen Dank für die Antworten. Dann Versuche ich mal mein Glück. Wenn ich beim installieren die ganze Platte auswähle ist swap mit drin ? Oder muss man das extra noch einstellen ?

Benutzeravatar
OrangeJuice
Beiträge: 616
Registriert: 12.06.2017 15:12:40

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von OrangeJuice » 23.03.2021 13:13:42

smutbert hat geschrieben: ↑ zum Beitrag ↑
23.03.2021 11:02:28
So könnte man zB über ein unverschlüsseltes /boot das System mit wenig Aufwand manipulieren, indem man zB etwas in die initrd einbaut.
Interessanter Hinweis. Würde dagegen Secure Boot(ggf. mit selbst signierten Zertifikat) helfen?

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von wanne » 23.03.2021 13:28:39

Aber da ist ja normal auch nichts wichtiges drin oder ?
In /boot liegt im Normalfall der Kernel, Grub und die initrd (Also ein mini-Sytem mit einer busybox). Alles 3 Sachen die sich auch jeder einfach bei debian.org runter laden kann und entsprechend wenig geheim. Bis auf wenige ausnahmen würde ich also sagen, dass es wenig sinn macht das zu verschlüsseln.
weil man wohl über Swap recht easy an die Daten kommt und wohl auch an das PW zum entschlüsseln. Ist das so?
Ja. Das ist erstaunlich häufig der Fall. Je mehr RAM und je seltener die Nutzung desto seltener... Verlassen will man sich darauf eher nicht.
wie die Verschlüsselung dabei helfen kann und welche Nachteile sie mit sich bringt, scheint mir wenig sinnvoll.
Mir schon. Und Apple und Google sind meiner Meinung und machen das auch ohne den Nutzer zu fragen. Es entstehen defakto keine Nachteile und man bekommt einen Haufen Vorteile vor allem bei der Entsorgung. Wer sich keine Gedanken macht, sollte automatisch das bekommen was für 99% den meisten Sinn macht.
Aber ich hab keine Ahnung, ob sich das überhaupt mit Verschlüsselung verträgt.
Es widerspricht sich nicht prinzipiell. Aber das letzte mal, als ich veruscht habe war das ein riesen Gefrikel.
Wenn ich beim installieren die ganze Platte auswähle ist swap mit drin ?
Ja.
Ich habe 16GB RAM und komme wunderbar ohne Swap aus, hatte nie den Eindruck, dass ich sie je gebraucht hätte.
Wie schon mehrfach angemerkt: Eine gut konfigurierte Swap kann das System etwas beschleunigen. (Aber eine schlecht konfigurierte es deutlich ausbremsen.) Daneben kann es dafür sorgen, dass man Programme mit sehr großen Speicherbedarf ausführen kann. Das ist aber defakto schon bei weit weniger RAM obsolet. Vor allem weil längst praktisch alle solchen Programm selbst Gegenmaßnahmen betreiben, da es Leute wie dich gibt, die eben keinen SWAP haben.
Würde dagegen Secure Boot(ggf. mit selbst signierten Zertifikat) helfen?
Ja genau das ist der Usecase für Secure Boot: Ein voll verschlüsseltes System mit passender Verschlüsslung (luks2 mit MAC), Secureboot, und signiertem Kernel kann vor sowas schützen. Solche Setups sind dann aber wirklich nicht trivial.
rot: Moderator wanne spricht, default: User wanne spricht.

am2
Beiträge: 276
Registriert: 20.08.2016 21:56:44

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von am2 » 23.03.2021 14:21:16

JTH hat geschrieben: ↑ zum Beitrag ↑
23.03.2021 11:11:48
Anmerkung an der Stelle immer: Wenn man den Ruhezustand aka Hibernation aka S4 aka Suspend-to-Disk aka sowieso benutzen möchte, braucht man zwingend eine Swap-Partition. (Aber ich hab keine Ahnung, ob sich das überhaupt mit Verschlüsselung verträgt.)
Ich versetze den Rechner auch ohne Swap erfolgreich in den Ruhezustand (Standby-Modus) und kann ihn wieder aufwecken. Diesen Tiefschlaf habe ich sowieso nie gemocht, da dauerte das Aufwachen etwas lange. Ist aber auch egal, weil der Tiefschlaf sowieso nicht in den Optionen angeboten wird wenn Swap nicht da ist. So ist es bei mir.

Benutzeravatar
smutbert
Moderator
Beiträge: 8313
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von smutbert » 23.03.2021 14:47:12

Nein, soweit ich das durchblicke nicht. Mit Secure Boot werden zwar der Kernel selbst und die Module, die er laden kann, also der Kernelspace abgesichert, aber nicht das, was im Userspace gestartet wird und das fängt in Form von Skripten, Programmen und Diensten bereits in der initrd an.

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von wanne » 23.03.2021 14:56:04

smutbert hat geschrieben: ↑ zum Beitrag ↑
23.03.2021 14:47:12
Nein, soweit ich das durchblicke nicht. Mit Secure Boot werden zwar der Kernel selbst und die Module, die er laden kann, also der Kernelspace abgesichert, aber nicht das, was im Userspace gestartet wird und das fängt in Form von Skripten, Programmen und Diensten bereits in der initrd an.
Und die liegt auf /boot. Deswegen willst du dann ein geMACtes boot haben. Dann kann man das nicht manipulieren.
rot: Moderator wanne spricht, default: User wanne spricht.

JTH
Moderator
Beiträge: 3014
Registriert: 13.08.2008 17:01:41
Wohnort: Berlin

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von JTH » 23.03.2021 15:02:59

am2 hat geschrieben: ↑ zum Beitrag ↑
23.03.2021 14:21:16
Ich versetze den Rechner auch ohne Swap erfolgreich in den Ruhezustand
Nope, das glaube ich nicht. Der richtige Ruhezustand (Suspend to disk) braucht eine Swap-Partition, der Inhalt des RAMs wird dort reingeschrieben und beim Aufwachen wieder geladen – entsprechend länger dauert, wie du schreibst, das Aufwachen. Anschließend schaltet sich der Rechner komplett aus, so als ob du ihn herunterfahren würdest. Man kann gefahrlos den Stecker ziehen.

am2 hat geschrieben: ↑ zum Beitrag ↑
23.03.2021 14:21:16
(Standby-Modus)
Der Standby (Suspend to RAM) lässt die Zustand im RAM, aber nur der wird weiter mit Spannung versorgt. Der Zustand verbraucht aber entsprechend mehr als obiger. Und wenn man den Stecker zieht, sind die flüchtigen Daten futsch.
Manchmal bekannt als Just (another) Terminal Hacker.

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 23.03.2021 15:36:08

Gut dann sollte für mich das verschlüsseln ohne boot ja reichen.

Bissel Off Topic
Aber kurz zum Thema Swap, einrichten oder nicht. Swap ist doch für die SSD eher nicht so gesund, weil doch da ständig geschrieben wird, wenn der Ram überläuft und auf die Swap ausgelagert wird. Wenn man S3 also StR nutzt, braucht man die ja sowieso nicht ? Wenn würde ich nur StR nutzen, oder das System im Leerlauf und die HDD's in den Standby versetzten.
Soll ein Home Serve werden.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von MSfree » 23.03.2021 15:54:30

LinuxNewcomer hat geschrieben: ↑ zum Beitrag ↑
23.03.2021 15:36:08
Bissel Off Topic
Aber kurz zum Thema Swap, einrichten oder nicht.
Er hat Jehova gesagt. :mrgreen:

Man könnte jetzt auch einfach still und leise das Forum nach dem Für und Wider von Swap durchsuchen. Eine unltimative Antwort wirst du nicht finden.
Swap ist doch für die SSD eher nicht so gesund, weil doch da ständig geschrieben wird, wenn der Ram überläuft
Tja, entweder du hast genug RAM oder du brauchst Swap. Ein bißchen schwanger gibt es nicht.

Zumindest kann man die Swapbenutzung über den Kernelparameter /proc/sys/vm/swappiness so beinflussen, daß wirklich nur im äussesrten Notfall geswappt wird, was die SSD entsprechend schonen würde.

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 23.03.2021 16:35:30

Kann ich eigentlich per Terminal das PW zum entschlüsseln eingeben, oder muss ich dann an den Server und dort eingeben, wenn er neu startet ? Denke die PW Abfrage kommt vor dem booten oder bzw danach bevor er Linux startet

Kann man das PW später ändern ? Wenn man das System einrichtet muss man vllt öfters mal neu starten, bei einem langen PW wäre das recht nervig.

Benutzeravatar
smutbert
Moderator
Beiträge: 8313
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von smutbert » 23.03.2021 16:45:32

Ja, bei luks kann man die Passphrase ändern – der eigentliche Schlüssel bleibt aber der gleiche (sonst müsste man ja alles neu verschlüsseln). Ich glaube das läuft etwa so ab, dass der mit einem von der Passphrase abgeleitenen Schlüssel verschlüsselte eigentliche Schlüssel im luks-Header gespeichert wird.
So kann man auch mehrere unterschiedliche gültige Passphrases haben und sie wieder löschen und/oder ändern – mit dem Nachteil, dass man bei SSDs defakto nicht prüfen kann ob die Daten einer alten Passphrase tatsächlich gelöscht wurden.

Auch das mit dem Terminal sollte meines Wissens mit ssh klappen. Habe sie mir jetzt selbst nicht durchgelesen, aber eine Anleitung gäbe es hier:
https://www.thomas-krenn.com/de/wiki/Vo ... eischalten

Benutzeravatar
smutbert
Moderator
Beiträge: 8313
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von smutbert » 23.03.2021 16:47:26

wanne hat geschrieben: ↑ zum Beitrag ↑
23.03.2021 14:56:04
[...]
Und die liegt auf /boot. Deswegen willst du dann ein geMACtes boot haben. Dann kann man das nicht manipulieren.
Was ist denn ein geMACtes /boot?

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 23.03.2021 16:51:57

smutbert hat geschrieben: ↑ zum Beitrag ↑
23.03.2021 16:45:32
Ja, bei luks kann man die Passphrase ändern – der eigentliche Schlüssel bleibt aber der gleiche (sonst müsste man ja alles neu verschlüsseln). Ich glaube das läuft etwa so ab, dass der mit einem von der Passphrase abgeleitenen Schlüssel verschlüsselte eigentliche Schlüssel im luks-Header gespeichert wird.
So kann man auch mehrere unterschiedliche gültige Passphrases haben und sie wieder löschen und/oder ändern – mit dem Nachteil, dass man bei SSDs defakto nicht prüfen kann ob die Daten einer alten Passphrase tatsächlich gelöscht wurden.

Auch das mit dem Terminal sollte meines Wissens mit ssh klappen. Habe sie mir jetzt selbst nicht durchgelesen, aber eine Anleitung gäbe es hier:
https://www.thomas-krenn.com/de/wiki/Vo ... eischalten
Danke dir, das klingt schon mal nicht schlecht.

Steht zwar für Ubuntu, aber denke klappt auch unter Debian, worauf ja Ubuntu aufbaut.

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 23.03.2021 17:25:16

So ich beim partitionieren schreibt er Random Daten, sind das 0 und 1 er ? Oder hätte ich das vorher irgendwie machen solle ? Muss die SSD ja formatieren und am besten mit 0 voll schreiben sonst sieht man ja trotzdem die Daten die vorher drauf waren. Da ja nicht verschlüsselt.

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von wanne » 23.03.2021 17:58:08

smutbert hat geschrieben: ↑ zum Beitrag ↑
23.03.2021 16:47:26
Was ist denn ein geMACtes /boot?
Ein MAC (Message Authetication Code) ist ein Anhängsel um zu erkennen ob etwas verädert wurde. Ich habe versucht das einzudeutschen... luks2 kann sowas in die Verschlüsslung integrieren.
So ich beim partitionieren schreibt er Random Daten
Nö. Beim Partitionieren macht der gar nichts.
und am besten mit 0 voll schreiben sonst sieht man ja trotzdem die Daten die vorher drauf waren
Bei SSDs ist das sehr schwierig. Hat die SSD das gefühl, dass ein Teil zu stark belastet wurde versteckt sie den uns schiebt einen bis dahin versteckten an die passende Stelle. So kannst du dir nie sicher sein, was jetzt wirklich überschrieben wurde und was irgend wann irgend wo wieder auftaucht. Es gibt dafür hdparm und das secure-erease Kommando, dass die SSD anweist alle (inklusive der versteckten) Teile unlesbar zu machen.
Das ist aber etwas komplizierter.
Du kannst blkdiscard /dev/sdx nutzen oder einfach ein mal ext4 formatieren. Dann verstecken die meisten SSDs alle Teile (Und ein Zugriff auf diese gibt dann 0 zurück.) Das ist aber natürlich nicht wirklich sicher. Wer die SSD auseinander nimmt wird auch an die versteckten Teile kommen. Modernere Devices können
blkdiscard --secure /dev/sdx. Das macht dann das selbe wie secure-erease.
rot: Moderator wanne spricht, default: User wanne spricht.

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 23.03.2021 18:14:54

wanne hat geschrieben: ↑ zum Beitrag ↑
23.03.2021 17:58:08
blkdiscard --secure /dev/sdx. Das macht dann das selbe wie secure-erease.
Wenn das klappt, wäre das die sichere Methode ? Somit erwischt er auch die versteckten ?

Mit dd klappt das nicht ?

dd if=/dev/urandom of=/dev/sdX bs=1M

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von wanne » 23.03.2021 18:50:47

LinuxNewcomer hat geschrieben: ↑ zum Beitrag ↑
23.03.2021 18:14:54
Wenn das klappt, wäre das die sichere Methode ? Somit erwischt er auch die versteckten ?
Ja solltest™ du. Ich weiß aber nicht wie man raus bekommt, ob es geklappt hat... Der Befehl ist stumm wie ein Fisch...
Mit dd klappt das nicht ?
Wie gesagt. Da schreibst du ja nur auf die sichtbaren. Üblicherweise fällt da so jeder 20 nicht drunter.
dd if=/dev/urandom of=/dev/sdX bs=1M
Das übliche blabla, warum der Befehl ineffizient ist.
urandom ist viel langsamer als openssl macht aber für den Zweck das gleiche:

Code: Alles auswählen

openssl enc -aes-128-ofb -in /dev/zero -k $(head -c 32 /dev/urandom | base64 ) -out /dev/sdX
Gerade für ne SSD sind zufallszahlen sicher nicht besser als Nullen und cp oder cat sind viel Nutzerfreundlcihere Programme wie dd.
Die sind viel schneller und viel intuitiver aber genau so sicher:

Code: Alles auswählen

cp /dev/zero /dev/sdX

Code: Alles auswählen

cat /dev/zero > /dev/sdX
Aber wie gesagt willst du eh nicht machen. Trim ist worst case noch schneller und genau so gut und im best case (er versteht --secure) besser.
rot: Moderator wanne spricht, default: User wanne spricht.

Antworten