[gelöst]Platte verschlüsseln

[txt]

Ich mache hier mal einen neuen Thread zu dem Thema auf, weil sich das aus der Diskussion um das BIOS-Passwort ergeben hat.

1. Also, ich will meine Platte komplett (alles bis auf /boot) verschlüsseln.

2. Die Variante, die ich mir vorstelle, sieht eine verschlüsselte und eine unverschlüselte Partition (/boot) auf der Platte vor.
Auf der verschlüsselten sollen dann als logische Laufwerke die restlichen Systemkomponenten liegen.

3. Ich möchte das ganze gleich im Rahmen einer Neuinstallation von Gobuntu 7.10 machen.

Das erste Problem, dass ich hab, ist: Wie kann ich die Daten, die ich jetzt auf meiner Platte habe "sicher" entfernen. Ich habe schonmal mein Homeverzeichnis mit wipe -r ins Jenseits befördert. Aber ich kann ja nicht auf einem laufenden System alles wipen.

Da gibt es aber irgendwie noch eine Variante, hab ich gelesen.

Dann würde ich einfach mal die Installations-CD von Gobuntu reinwerfen und mich bis zur Plattenpartitionierung durcharbeiten.

Jetzt wird es für mich neu/ungewohnt/schwierig. Wie könnte ich jetzt den Plattenplatz am besten aufteilen (120 GB)? Was muss ich beachten (Verwedung bestimmter Dateisysteme...)?
Wie geht's dann weiter?

Ich hatte mir hier schon eine ganz gute Anleitung durchgelesen, aber da wird nicht beschrieben, wie man das bei einer Neuinstallation macht.

Danke im Voraus!

[Saxman]

1. Also, ich will meine Platte komplett (alles bis auf /boot) verschlüsseln.

2. Die Variante, die ich mir vorstelle, sieht eine verschlüsselte und eine unverschlüselte Partition (/boot) auf der Platte vor.
Auf der verschlüsselten sollen dann als logische Laufwerke die restlichen Systemkomponenten liegen.

Der debian etch installer kann das von haus aus, da musst du nichts besonderes machen außer es auszuwählen.
Gobuntu kenn ich nicht.. kann dir da leider nicht weiterhelfen

[txt]

Da es sich bei Gobuntu ja um eine Art Debian handelt, wird sich das wohl nicht viel nehmen. Ich glaube, da wird sogar der Debian-Installer benutzt. Bin ich mir sogar ziemlich sicher.

Ich hab mich eigentlich nur für diese Distri entschieden, weil Ubuntu generell aktueller ist als Debian (stable) und weil ich einfach mal das neuste Podukt aus der Ubuntu-Kiste ausprobieren will.

//Edit:

Ich hab jetzt mal bei mir

Code: Alles auswählen

dd if=/dev/urandom of=/dev/sda bs=10M

ausgeführt. Das dürfte die gesamte Platte mit Nullen überschreiben.
Da gab es aber bisher schon paar Fehlermeldungen (Journal has aborted) und die einzelnen Partitionen wurden dann als read-only remounted.

[txt]

Ich hab das jetzt einfach mal alles ausprobiert.
Wie kann ich jetzt aus fstab auslesen, welche Partitionen verschlüsselt wurden?

Sind das alle, bei denen # /dev/mapper/ am Anfang steht? Müsste so sein, oder?

Wenn meine Computer also herby heißen würde, und ich würde dort den Eintrag # /dev/mapper/herby-root finden, wüsste ich, dass meine root-Partition verschlüsselt ist?

[Saxman]

Ich hab das jetzt einfach mal alles ausprobiert.
Wie kann ich jetzt aus fstab auslesen, welche Partitionen verschlüsselt wurden?

Sind das alle, bei denen # /dev/mapper/ am Anfang steht? Müsste so sein, oder?

Wenn meine Computer also herby heißen würde, und ich würde dort den Eintrag # /dev/mapper/herby-root finden, wüsste ich, dass meine root-Partition verschlüsselt ist?

fast.. das ist dein lvm device und wenn der auf einem crypt device liegt ja.

cat /etc/crypttab

Wenn das auch noch auf die partition verweist auf der dein lvm liegt ist alles in butter..
kannst ja mal versuchen die partition mit knoppix anzuschauen.. ;)

[txt]

Das ist irgendwie alles ziemlich kniffelig....

Als ich jetzt nochmal versuchte habe, meine Platte sauber und sicher zu löschen, habe ich den Befehl

Code: Alles auswählen

dd if=/dev/urandom of=/dev/sda

benutzt, weil meine erste Platte sda heißt.

Da bekomme ich aber nach einiger Zeit eine komische Errormeldung:

Code: Alles auswählen

journal_bmap: journal block not found at offset 1036 on dm-2
Aborting journal on device dm-2
ext3_abort called.
EXT3-fs error (device dm-2): ext3_journal_start_sb: Detected aborted journal
Remounting filesystem as read-only

Was hat denn das zu bedeuten?

Kann man nicht einfach die Platte schön sauber ohne Probleme löschen und evtl. bei der Eingabe gleich festlegen, dass 7 mal überschrieben werden soll?

Ich brauch echt Hilfe hier. Muss mal vorwärts kommen.

[Saxman]

Ich versteh eh nicht was du da machst.
Der Installer überschreibt dir doch die Festplatte wenn du dm_crypt + luks als instalationsvariante nimmst.

[txt]

na ja, hast recht. ist ja dann eh alles verschlüsselt...
Ich installiere jetzt nochmal Gobuntu...

[txt]

Langsam zweifel ich an mir selbst...

Ich hab mir jetzt doch mal Debian Etch installiert, weil mir bei Gobuntu was nicht gefallen hat.
Ich habe die Platte verschlüsselt und beim ersten Hochfahren ging auch alles wunderbar. Ich hab meine Passphrase eingegeben und los ging's.

Jetzt hab ich mir noch kde, openoffice und alsa installiert. Da kam auch einmal die Meldung, dass ein Kernelpaket der gleichen Version, die schon läuft, installiert werden soll, aber irgendwie mit anderen Modulen. Dafür musste ich rebooten. Und wenn APT mir das so sagt, glaub ich das natürlich auch.

Aber was ist jetzt mit meiner Platte? Wenn ich meine LUKS-Passphrase eingebe, kommt

Code: Alles auswählen

Command failed

Ich habe meine Passphrase hier auf nem Zettel stehen, musste sie beim festlegen zweimal eingeben und bei ersten Hochfahren hat es funktioniert.
Da stellt sich mir jetzt ganz intensiv die Frage: WARUM geht das nicht???

Hilfe!!

[txt]

Also ich weiß nicht, was ich falsch mache!

Der Debian-Installer ist jetzt 3x beim Holen der Daten vom Mirror (ich hab jedes Mal einen anderen genommen) stehengeblieben.
Das macht einfach keinen Spaß mehr.

Außerdem geht auf meinem Notebook jetzt absolut gar nichts mehr.

Ich schalte an und bekomme einen komplett schwarzen Schirm ohne irgendwas. Dann schaltet sich das Teil von selbst wieder aus, wenn man irgendwas macht.

[Saxman]

Nicht verzagen.. das wird schon.
Nimm die mirror in deutschland und lass dir zeit.. manchmal schaut das nur so aus als würde was hängen und dabei wird nur grad ein großes paket installiert

[txt]

Aber, wenn der bei Datei 701 von 702 hängt und die Restzeit für 20 Minuten auf einem Wert von 15 Sekunden bleibt, ist doch wohl was faul, oder?

Und irgendwie kann ich Debian nicht mal mehr von der Install-CD booten.

[Saxman]

Aber, wenn der bei Datei 701 von 702 hängt und die Restzeit für 20 Minuten auf einem Wert von 15 Sekunden bleibt, ist doch wohl was faul, oder?

Och das kann durchaus mal vorkommen, die 15 sekunden sind ja nur eine schätzung, und wenn der ein großes paket runterladen muss kann das schon mal ne weile dauern.

[txt]

Das Problem ist folgendes:

Alles wird wunderbar runtergeladen und Zeitanzeige zählt komplett runter bis zu 0 Sekunden, dann verschwindet sie und erst dann beginnt der Installer die Datei 702 von 702 zu holen.

Ich habe den Downloadvorgang für diese eine Datei (!) jetzt reichlich eine Stunde laufen lassen und es ist nichts passiert.
Ich hänge hier aber an einer recht schnellen DSL-Leitung.
Da passt irgendwas nicht. Kann das mit der Verschlüsselung der Platte zu tun haben?

Oder bin ich einfach zu ungeduldig? Das glaube ich aber kaum. Denn jedem Menschen, der fast drei Stunden für eine (!) Installation eines Betriebssystems aufwendet, kann wohl getrost eine Menge Geduld zugesprochen werden.

[txt]

Ich jetzt die Installation von Debian aufgegeben und Gobuntu installiert.
Die Platte ist verschlüsselt. Alles funktioniert.