cryptsetup(-luks), gpg, passphrases und root partition encryption
Hallo,
Ich bin dabei für einen Setup mit ein paar Dutzend hosts (und hoffentlich
bald
ein paar Dutzen Notebooks) eine möglichst leicht zu administrierende Harddisk
Verschlüsselung zu bauen. Die Anforderung umfasst die Root-Partition und
es ist klar, dass es im Umfeld einer Firma mehrere
Passwörter/Passphrases/Key geben muss, die auf eine Disk zugreifen können.
Wir sehen deshalb cryptsetup mit luks Erweiterung als die passende Lösung
an.
Wir fahren debian sarge, aber der backport von cryptsetup inkl. luks von
backports.org (1.0.3-2bpo1) läuft bei uns. (Beim sarge default kernel
hatten wir einen freeze beim Zugriff auf /dev/mapper/control durch
cryptsetup luksFormat. Mit einem selbst compilierten 2.6.17er klappt das).
Vermutlich werden wir mit einer nicht-verschlüsselten /boot Partition
arbeiten. Danach von dort aus / decrypten und mounten.
Erhöht wird die Schwierigkeit dadurch, dass wir weiter verschiedene
Partitionen verwenden möchten. Konkret /, swap, /tmp, /var, /home.
Das bedeutet, dass unsere User beim booten 5 Mal für das Passwort
gepromptet werden. Das ist nicht wirklich wünschenswert.
Eine Alternative wäre es natürlich, mit einem Key auf USB-Disk zu
arbeiten, aber das ist aus internen Gründen nicht gangbar. Um das Passwort
kommen wir fast nicht herum. (Ich habe die gpg und ssl Einschränkung auf
der root partition in "man crypttab" gesehen; das macht es wohl auch nicht
einfacher.)
Ich suche also nach einer schlauen Lösung, welche es schafft beim booten
(wenn erst /boot da ist) nach einem Passwort zu fragen und dann damit 5
Partitionen zu mounten ...
Vielleicht ist die Lösung offensichtlich und ich sehe sie einfach nicht.
Dann wäre ich dankbar für einen Anstoss. Ansonsten könnten sich auch noch
andere für den Setup interessieren.
best regs,
Christian Folini
Reply to: