ich bin dabei mein Notebook neu aufzusetzen und habe grade festgestellt das man wohl den einhänge punkt /boot nicht verschlüsseln kann…
ist das richtig? ^^
jetzt wollte ich eigentlich nur folgende Punkte verschlüsseln:
die patition “SWAP”
/home
/svr
naja und “/”
…aber da “/boot” nicht geht ist kan n man auch “/” nicht erschlüsseln,
meine frage ist nun wie ich das am besten machen könnte das mein system sicher ist verschlüsselt ist.
den so wären /tmp, /usr und co. auch nicht verschlüsselt…
Die Threads die Pistazienfresser gelisted hat sind die richtigen. Wenn du Sicherheitsbedenken hast ist es schon richtig Verschlüsselung anzuwenden. Eigentlich ist das so wie mit Email: jeder sollte gnupg verschlüsseln und zumindest die Emails auch signieren. Machst du es? Wenn nicht, fange schon mal damit an.
Den link SBD:Encrypted root file system - openSUSE habe ich selbst bei 11.1 ausprobiert. Er funktionierte bei mir nicht (jedenfalls wenn du versuchst die /boot auf usb-key auszulagern). OpenSUSE ist nicht besonders verschlüsselungsfreundlich. Das liegt auch daran das es zur Zeit dort gemanaged wird wo “Kontrolle” schon sehr groß geschrieben wird.
Verschlüsselung des HDD ist ohne weiteres ein richtiger Schritt. Du hast dazu 4 Möglichkeiten:
a) den beschriebenen Weg mit Luks und verschlüisselter root. Du kannst es auf die Spitze treiben und die /boot auf USB key auslagern. Aber dann ist das schon richtig wie es im Howto steht: mußt du auf den Key aufpassen. Das Problem ist also nur verlagert. Und wenn du wirklich so stark glaubst das jemand wissen will was du schreibst gibt es andere und bessere Methoden um an den Inhalt deines HDD heranzukommen.
MIt der beschriebenen Methode hatte ich Probleme aufgrund von mkinitrd die in der Originalversion nicht die verschlüsselten Partitionen erkannte. Das Problem war geringer nach Update aber auslagern ging auch dann nicht. Die Anfrage in Openfate nach einer integrierten Methode wurde zugunsten der LVM Verschlüsselung leider aufgegeben. Solltes du LVM nicht schätzen solltest du dich umsehen ob eine alternative Distribution vielleicht angebrachter ist.
Warum unverschlüsselte /boot: weil das technisch unabdingbar ist. Dort sind die Anweisungen und scripts um den Entschlüsselungsvorgang zu starten. Der Autor des Howto empfiehlt dann die /swap und /root zu verschlüsseln. /home ist sowieso leicht mit Yast zu verschlüsseln. Was /root bringt: man kann sonst leicht die Verschlüsselung von /home umgehen indem man den Kernel tauscht (das kann man z.Bsp mit einer Live CD erreichen und chroot). Daher sollte für minimale Sicherheit /root verschlüsselt sein. /swap ist nicht zwingend Es wird natürlich notwendig wenn du Suspend to disk anwendest, dann wäre deine Session dort unverschlüsselt abgelegt. Um sonstige “temp” und “log” files abzusichern und um das suspend Problem zu vermeiden rät man deshalb im Howto zur Verschlüsselung von /swap. Bei meinem Versuch mit dem Howto klappte es zum Schluss mit /boot auf dem HDD aber nach suspend to disk streikte das System und war nicht in der Lage wieder von /swap zu starten. Der große Vorteil der Methode wäre, wenn er funktioniert, das du getrennte Partitionen hast aber nur ein Password eingeben musst.
b) die LVM Methode scheint zu funktionieren…sofern man LVM anwenden will.
c) True Crypt, aber keiner weiß wer wirklich hinter True Crypt steht. Den Teufel mit dem Beelzebub austreiben? Das musst du selbst entscheiden. Anleitungen dafür gibt es im Netz zu Hauff.
d) die einfachste Methode für eine minimale Sicherheit: du tauscht den HDD gegen einen HDD mit Hardwareverschlüsselung ein. Das ist für einen kleinen Gauner genug der dein Netbook findet. Und du hast keinen Overhead auf grund der Ent- und Verschlüsselung zur Laufzeit wie bei den anderen Methoden (was bei einem Netbook spürbar sein sollte. Das Netbook muss dazu in der Lage sein ein Biospassword für den HDD zu verwenden (oder TPM was ich aber weniger glaube). Ein Hersteller der in Deutschland erhältlich sein sollte ist Seagate.
Wenn du /root nicht verschlüsselst solltest du zumindest Grub mit Password verwenden.
Viel Glück und entspannte Festtage.
>
> Hi,
>
> ich bin dabei mein Notebook neu aufzusetzen und habe grade festgestellt
> das man wohl den einhänge punkt /boot nicht verschlüsseln kann…
>
> ist das richtig? ^^
>
> jetzt wollte ich eigentlich nur folgende Punkte verschlüsseln:
> die patition “SWAP”
> /home
> /svr
>
> naja und “/”
>
> …aber da “/boot” nicht geht ist kan n man auch “/” nicht
> erschlüsseln,
> meine frage ist nun wie ich das am besten machen könnte das mein system
> sicher ist verschlüsselt ist.
>
> den so wären /tmp, /usr und co. auch nicht verschlüsselt…
Mach doch einfach eine kleine Partition für /boot . Das müßte eventuell
gehen.
Viele Grüße,
Heinz Dittmar
Ich danke euch allen für die vielen nützlichen tipps und vorallem Stakanov für die größe mühe die er sich gegeben hatt!
wie ihm liegt mir die sicherheit sehr am herzen, scheiß google und co. wollen wir ja nich an unsere daten rann lassen ^^
PS: die ersten google chrome AGB´s warn die geilsten ^^ (egal was über google chrome hochgeladen wurde, google hatte danach die rechte daran !! und united kingdom hat das auch noch abgesegnet, aber das die piraterie unterstützen ist ja nicht das erstemal ^^)
ich werde natürlich bei gelegenheit meine ergebnisse posten, grade stehen aber andere sache im vordergrund!
Man kann nur inständig hoffen, daß diese Aussage nicht im Sinne von “Festplattenverschlüsselung kann dagegen helfen” gemeint war (daß dem NICHT so sein kann, dürfte hoffentlich genau so klar sein, es sei denn, seit neustem haben genannte Firmen das Recht zur Beschlagnahmung von Endgeräten).
Ganz allgemein gilt, ein komplett verschlüsseltes System ist prinzipiell unmöglich, ein mehr oder minder großer Teil muss IMMER unverschlüsselt vorliegen, warum kann man sich mit ein klein wenig logischer Überlegung selbst klar machen (deshalb spare ich mir da mal eine Erklärung).
Zum Thema “zu grosses Risiko des Datenverlustes”.
Wer zu dämlich ist sich regelmässige Backups anzulegen (die im Falle eines verschlüsselten Systems natürlich auch verschlüsselt sein sollten) und nicht für alle Notfälle ein geeignetes, bootfähiges Medium griffbereit hat, der fällt früher oder später so oder so auf die Schnauze, egal ob verschlüsselt oder unverschlüsselt, allerdings macht es mit Verschlüsselung sehr viel mehr Spaß (zumindest für die, die den “Wähähähääää Daten sind weg!11111ELF”-Thread zum Lesen bekommen, weil dann oft eine der Vermutungen ist, es gäbe doch sicher eine Hintertür um doch noch an die verschlüsselten Daten ran zu kommen, wo ich mich immer frage “wenn der Witzbold das wirklich glaubt, wieso verschlüsselt er dann überhaupt?”).
Weisst Du, es gibt in deinem Post sehr viele richtige und gute Punkte. Aber warum musst Du immer so agressiv schreiben. Du haettest wesentlich mehr Erfolg darin dir Gehoer zu verschaffen wenn du das vermeiden wuerdest. Ansonsten: Backup ist gut und richtig, Verschluesselung ist kein Allheilmittel (hat auch AFAIK keiner hier behaupted). Ich glaube der OP hier will einfach nur seine Privacy maximieren und die Daten so gut (und machbar) wie moeglich vor Missbrauch durch Diebe schuetzen. Gutes Neues Jahr an alle falls man sich nicht vorher “sieht”.
Dir ist aber schon klar, daß Deine Antwort darauf das Gegenteil beweist, eine weniger drastische Formulierung wäre wohl kaum zitiert worden.
Das war übrigens auch volle Absicht, denn wer sich mit dem Thema Verschlüsselung beschäftigt, sollte sehr genau überlegen, wie er im Notfall wieder an seine Daten rankommt, also muss man das Kind auch beim Namen nennen können.
Die nicht gerade wenigen Threads, die ich in meiner nicht gerade kleinen Erfahrung mit diversen Webforen zum Thema “System verschlüsselt und nun durch PEBKAC meine Daten verschusselt, was kann ich tun?” schon gelesen habe, bestätigen das nur noch deutlicher.
Wenn man böse sein wollte, dann könnte man behaupten, daß Verschlüsselung sicher deutlich öfters die Daten vor befugtem als vor unbefugtem Zugriff geschützt hat.
Vielleicht. Wenn man geregelte Lebensumstaende hat, dann kann man sehr einfach einen Backup anlegen. Der sollte dann aber verschluesselt sein, weil sonst das ganze ad absurdum gefuehrt wird. Ich wuerde es aber schon traurig finden wenn man dich nur zitier/beachted wegen markiger Sprache, nicht?
Was ich an der O.G. Metode mit Luks gut finde ist das sie es (in Theorie) erlaubt alles mit einem einzigen Password zu entschluesseln. Problematisch finde ich hingegen das die meisten User noch nicht mal wissen wie man email verschluesselt (“ich habe nichts zu verbergen”) aber dann den PC vollverschluesseln wollen.
Ganz anheimelnd wird es dann wenn man seine Daten in den Wolken anlegt. War schon immer der Meinung wer “in the cloud” vertraut hat wohl ganz gehoerig geraucht.
So gesehen waere es auch gut wenn ein einfaches (will heissen ziemlich PEBKAK sicheres) Backup-programm mit tutorial “attraktiv” in Opensuse eingebunden wird. Wobei Redundanz = Kosten ist, leider (und deswegen so manch einen user vor die Alternative stelltm keinen Backup zu machen aus Faulheit oder weil es eben nicht fuer ein anstaendiges Medium gereicht hat und somit eine im Nachhinein immer unzureichender Kompromiss geschlossen wurde).
Aber das Datenschutz und Verschluesselung zu lernen sind und das dies “aus Schaden wird man “vielleicht” etwas klueger” einschliesst sollte jedem klar sein. Nach dem Unfall dazustehen und nur zu sagen “ich hab es ja vorrausgesehen” (klar, kommst du von Gericht bist du klueger…) erscheint mir dann doch reduktiv.
Verschlüsselung ist nun mal ein komplexes Thema, da helfen keine noch so guten(?) ausführlichen und gar “DAU-sicheren” Tutorials.
Wo wir bei markigen Aussagen sind, die passende kann ich hier mal zitieren:
Gibt es, einfach mal “man dd” eintippen.
Vergiss das mit PEBKAC-sicher, das obige Zitat gilt auch (besonders?) hier, dd ist von der Syntax her ein sehr simples und (aber?) mächtiges Programm, aber es wird sicher genügend Leute geben, die -egal wie oft man darauf in einem Tutorial hinweist- if und of vertauschen werden.
Dazu auch ein markiger Spruch, dessen Urheber ich gerade nicht weiß.
Always remember
/dev/null is for backup
/dev/zero is for restore
Ganz ernsthaft, wenn man nicht von einem verschlüsselten Container in einen zweiten kopieren will (wozu man dann beide entschlüsseln, mounten muss usw. usf.), ist dd das Mittel der Wahl, Komprimierung nutzt beim Backup eines verschlüsselten devices eh nichts (wenn man es richtig angelegt hat), also “keep it small and simple” und nimm das einfachste Tool für den Job.
