Re: cryptsetup(-luks), gpg, passphrases und root partition encryption
"Christian Folini" <christian.folini@time-machine.ch> wrote:
> Hallo,
>
> Ich bin dabei für einen Setup mit ein paar Dutzend hosts (und hoffentlich
> bald
> ein paar Dutzen Notebooks) eine möglichst leicht zu administrierende Harddisk
> Verschlüsselung zu bauen. Die Anforderung umfasst die Root-Partition und
> es ist klar, dass es im Umfeld einer Firma mehrere
> Passwörter/Passphrases/Key geben muss, die auf eine Disk zugreifen können.
> Wir sehen deshalb cryptsetup mit luks Erweiterung als die passende Lösung
> an.
[...]
> Ich suche also nach einer schlauen Lösung, welche es schafft beim booten
> (wenn erst /boot da ist) nach einem Passwort zu fragen und dann damit 5
> Partitionen zu mounten ...
Leider kenne ich mich mit der cryptsetup-Variante nicht aus. Trotzdem
nehme ich einmal an, dass, ähnlich wie bei loop-aes, von einem init
oder linuxrc (vermutlich auf einer initc(d|amfs)) die Passwortabfrage
und der Mount-Vorgang initiiert wird. Man kann sich dann ein kleines
Programm - oder, je nach eingesetzter Shell, auch ein Skript -
schreiben, welches das Passwort abfragt und über eine Pipe an
cryptsetup (oder wer nun auch immer für das entschlüsseln
verantwortlich ist) weitergibt. Entweder muss man sich dann die
Ramdisk von Hand zusammenbauen, oder man nutzt die vorgesehenen hooks
bei der automatischen Erstellung. Das ist zwar am Anfang etwas mehr
Aufwand, zahlt sich später aber bei jedem Kernelupdate aus, erst recht
wenn dutzende von Rechnern auf diese Weise betrieben werden.
Viel Erfolg,
Elias
Reply to: