Verwirrt über Verschlüsselung (LUKS auf /, /home, /swap?)

Hallo!

Ich habe nach Urzeiten mal wieder openSUSE (Leap 16.0) auf einem Rechner komplett neu installiert, so mit Alles-Plattmachen und so. [Hier beliebiges “Aber der YaST-Installer …! Früher war alles anders …!” einfügen.]

Irgendwie habe ich glaube ich etwas mit der Verschlüsselung versaut. (Da finde ich Agama auch wirklich nicht sehr nutzer_innenfreundlich).

Mein Plan war

• Die gesamte SSD plattmachen (auch das Windows, das vom Vorbesitzer noch auf dem Laptop war)
• Dann drei Partitionen haben
  • /home als XFS
  • / als btrfs
  • /swap als swap
• /home und / verschlüsselt, mit automatisch entschlüsselnder /

Falls mir jetzt jemand darlegen kann, dass das eine doofe Idee ist und/oder man das heute immer/bei openSUSE alles anders macht: Gern her, ich hab das nur so machen wollen, weil ich das seit Äonen (seit oS btrfs hat, denke ich) so habe. Vielleicht habe ich da aber auch einen Gedankenfehler.

Ich bin also in Agama gegangen, habe da “ganze Festplatte nehmen” gewählt, dann noch “home-Partition erstellen” gewählt und dann “verschlüsseln” und da ein Passwort festgelegt.

Jetzt allerdings fragt mich der Rechner beim Booten einmal nach dem Passwort für ….hd1 (ist das dann die Root-Partition?) und dann noch einmal nach dem Passwort für /swap. Das wollte ich nicht. Glaube ich. Oder ist das vernünftig, Swap zu verschlüsseln?! Außerdem ist der Abfragedialog ganz merkwürdig als CLI über den Lenovo-Splashscreen beim Booten und nicht so wie bei meinem Leap 15.6 hübsch mit einem LUKS-Fenster beim Start.

Ich habe jetzt zwei Fragen: Erstens, wie ich das hinbekomme, dass ich mit einem Passwort meine Daten verschlüssele und das beim Booten einmal mit einem ordentlichen Dialog abgefragt wird.

Zweitens, was ich eigentlich wirklich will. So ganz sicher bin ich mir da gerade nicht. Hätte halt gern meine Daten verschlüsselt, falls der Laptop im Zug mal mit wem anders aussteigt, aber ich bin jetzt auch kein von der CIA gejagter iranisch-chinesischer Dissidenten-Journalist und hätte das alles gern halbwegs praktisch und hübsch und handlich.

Freue mich auf Feedback. Und gern auch auf (deutsch- oder englischsprachige) Dokumentation, falls ich da etwas übersehen habe!

Danke schon mal! Viele Grüße

N’Abend,
Da das mit dem Verschlüsseln und der Abfrage diverser Passwörter tatsächlich nicht ganz trivial ist, begnüge ich mich bei den beiden Klapprechnern, die gelegentlich meine vier Wände verlassen, mit jeweils einem fetten, sechzehnstelligen Passwort für Root und einem (anderen) fetten Passwort für mein Homeverzeichnis und ich verbiete das automatische Anmelden. Dann kommt man in meine Rechner nur, wenn man kryptographische Oberliga spielt. In so einem Fall nütze aber auch ein Verschlüsseln der ganzen Festplatte nichts.
Herzlichst, Gisela

Hallo Gisela!

Ja, irgendwie bin ich ein bisschen enttäuscht, dass das offenbar umständlicher ist. Wobei ich das mit Leap 15.weißnichtmehr mal eingerichtet bekommen habe (anderer Rechner).

Ich bin da sicherheitstechnisch so’n bisschen unbewandert … aber meine Befürchtung war, dass genau dein Ansatz nichts nützt, wenn jemand physisch Zugriff auf’s Gerät hat. (Halt Laptop geklaut/gefunden.)

Vielleicht habe ich einen Denkfehler, aber falls jemand das Ding nimmt, aufschraubt, und die SSD an einem anderen Rechner einhängt, kommt die*der da nicht trivial an alle meine Daten, egal wie superdupersicher mein ROOT-Passwort ist?

Also ich glaube, dass Deine Vermutung korrekt ist.

Vielleicht hilft Dir dieser Artikel aus dem openSUSE Wiki weiter.

Ich verwende in meinem Laptop “Verschlüsselung-Lite”; d.h. alle meine persönlichen Daten (Dokumente, Bilder, Programmcode, usw.) befinden sich auf einem der zwei eingebauten Datenträgern und der ist verschlüsselt.

SWAP verwende ich nicht, /tmp liegt im Hauptspeicher und suspend-to-ram/disk nutze ich auch nicht.

Somit verbleibt bei Diebstahl/Verlieren nur noch das Risiko, dass im “/”-Dateisystem (/var ?) irgendwelche unverschlüsselten persönlichen Informationen zu finden sind.