root verschlüsselung (block mode)

purple_light · August 26, 2010, 4:18pm

Hallo

Ich möchte mein system vollständig (bis auf root) verschlüsseln.

Wie gehe ich dabei am besten vor? (LVM oder traditionel)

Wie kann ich dafür sorgen, dass der Installer folgenden Befehl zur Verschlüsselung nutzt:
cryptsetup -c aes-xts-plain -s 512 luksFormat

(Ich habe gehört dass cryptsetup-cbc-essiv:sha256 unsicher sein soll)

pistazienfresser · August 26, 2010, 8:33pm

Hallo Welt, hallo purple_light!

Mal eine kurzer Versuch einer Vermittlung (Moderation) per Fragen zur Klarstellung:

Titel: root verschlüsselung (block mode)

Ist gemeint:
1.1 einschließlich der root Partition (/)
oder
1.2 außer der root Partition
?

2.1 Soll schon beim Installieren eines neuen Systems (openSUSE 11.3 ?) die Verschlüsselung aufgesetzt werden?
2.2 Oder ist die Frage, ob die Syntax des vorgeschlagenen Befehls (zur Verschlüsselung eines existierenden Systems) korrekt ist? Kann überhaupt ein laufendes System seine eigene root Partition verschlüsseln oder müsste das sowieso von einem anderen System (live CD/live USB/parallele Installation) aus geschehen?

Viel Erfolg
pistazienfresser

cryptsetup(8) - Linux man page
http://linux.die.net/man/8/cryptsetup
Verschlüsselung mit LUKS - DE openSUSE wiki
http://de.opensuse.org/Verschlüsselung_mit_LUKS
SDB:Using the Crypto File System - altes (der Löschung entgegensehendes) EN openSUSE wiki
http://old-en.opensuse.org/SDB:Using_the_Crypto_File_System
Encrypted Root File System - altes (der Löschung entgegensehendes) EN openSUSE wiki
http://old-en.opensuse.org/Encrypted_Root_File_System
](http://old-en.opensuse.org/Encrypted_Root_File_System)

Fruchtratte · August 26, 2010, 11:08pm

Ich hab beim installieren auf LVM umgestellt und Verschlüsselung aktiviert. Das heißt, die komplette Festplatte ist jetzt verschlüsselt (außer /boot, aber inkl. /*). Die Installation lief ohne Probleme genauso wie das verschlüsselte System jetzt. Kann ich also nur empfehlen.

Was der Installer jetzt genau für eine Verschlüsselung verwendet hat, kann ich dir aber nicht sagen.

kaiserhg · August 29, 2010, 5:07am

Was für einen Sinn macht es das komplette System zu verschlüsseln? Kannst du im Falle eines Systemfehlers
noch an die Daten, z.B. /etc mit Hilfe einer Boot CD ran um Korrekturen vorzunehmen?
Imho reicht es doch die Daten zu verschlüsseln auf die es ankommt (/home usw.).

Fruchtratte · August 29, 2010, 11:58pm

Kommt drauf an, wo du vor hast wichtige Daten auf dem System zu verteilen. Ich hab zum Beispiel noch ein virtuelles Windows unter /media/windows. Bei Suspend-to-Disk machs auch Sinn den swap Bereich zu verschlüsseln.
Im Moment hat das für mich auch den Vorteil, dass man den Rechner nicht mehr einfach so starten kann, ohne das Passwort zu kennen.

An die Daten sollte man auch von einer Boot-CD ran kommen (vorausgesetzt mach kennt das Passwort). Ich habs aber noch nicht ausprobiert.