Re: crypto-filesystem nach Debian-Art mit temporaerem weiteren crypto-fs?

To: debian-user-german@lists.debian.org
Subject: Re: crypto-filesystem nach Debian-Art mit temporaerem weiteren crypto-fs?
From: Marc Haber <mh+debian-user-german@zugschlus.de>
Date: Tue, 10 Apr 2007 09:47:42 +0200
Message-id: <[🔎] E1HbB4o-0007J2-Kw@scyw00225.scy001.de>
In-reply-to: <[🔎] 20070410090648.3e99511a@trabant2.kaecgn>
References: <[🔎] 20070409204213.GA5631@torres.zugschlus.de> <[🔎] 20070410090648.3e99511a@trabant2.kaecgn>

On Tue, 10 Apr 2007 09:06:48 +0200, Stefan Pampel
<polyformal@gmail.com> wrote:
>im Zuge der Einrichtung eines Laptops habe ich mich auch mit der
>Thematik beschäftigt.
>
>Die Frage war 'crypt over lvm' oder 'lvm over
>crypt'. Mit dem Installer kann man beides einrichten (manuelle
>Partitionierung). Ich hatte mich für die Variante der Verschlüsselung
>einzelner LV entschlossen (crypt over lvm [?] ;).

Das werde ich vermutlich auch tun.

>Natürlich muss man beim Booten für jede Partition das Passwort
>eingeben, auch wenn diese übereinstimmen sollten. Im Moment kann ich
>damit leben, da ich derzeit nur zwei Partitionen verschlüsselt habe,
>jedoch an der Authentifizierung via GPG-Key auf USB arbeite [1] und
>dann auch die anderen Partitionen zur Debatte stehen verschlüsselt zu
>werden.

Das geht mindestens bei der "LVM over crypt"-Variante auch einfacher,
indem man den Luks-Passphrase in einem Keyscript kapselt und dieses
Keyscript in der /etc/crypttab einträgt. Beim nächsten Bau der initrd
wird dann das Keyscript in die initrd übernommen und das System kann
somit ohne Interaktion booten.

Wenn man nun auf ein /boot auf der Platte verzichtet und statt dessen
Kernel und initrd mit ISOLINUX auf einen USB-Stick packt, hat man
sozuasgen einen "Zündschlüssel" für das System, ohne das das System
gar nichts tut (oder ein unauffälliges Windows bootet).

>Mit der Variante crypt am untersten Ende zu fahren steht mir es offen
>auf der VG eine unverschlüsseltes LV anzulegen (aus welchen Grund
>auch immer), oder separat Zugriff auf Partitionen zu vergeben,
>wasauchimmer.

Richtig. Schade, dass der Default etwas eher unflexibleres ist. In den
nächsten Tagen muss ich dann mal ausforschen, inwieweit crypt-über-LVM
von den Tools (insbesondere von den initrds) so gut und einfach
unterstützt wird wie LVM-über-Crypt.

Grüße
Marc

-- 
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber         |   " Questions are the         | Mailadresse im Header
Mannheim, Germany  |     Beginning of Wisdom "     | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Reply to:

Follow-Ups:
- Re: crypto-filesystem nach Debian-Art mit temporaerem weiteren crypto-fs?
  - From: Moritz Lenz <moritz@casella.verplant.org>
- Re: crypto-filesystem nach Debian-Art mit temporaerem weiteren crypto-fs?
  - From: Stefan Pampel <polyformal@gmail.com>

References:
- crypto-filesystem nach Debian-Art mit temporaerem weiteren crypto-fs?
  - From: Marc Haber <mh+debian-user-german@zugschlus.de>
- Re: crypto-filesystem nach Debian-Art mit temporaerem weiteren crypto-fs?
  - From: Stefan Pampel <polyformal@gmail.com>

Prev by Date: kdelibs
Next by Date: Re: Update Sarge auf Etch in Hinsicht auf Cyrus-Imap 2.1
Previous by thread: Re: crypto-filesystem nach Debian-Art mit temporaerem weiteren crypto-fs?
Next by thread: Re: crypto-filesystem nach Debian-Art mit temporaerem weiteren crypto-fs?
Index(es):
- Date
- Thread