Re: Verschlüsselung mit Debian und keyfile
Michael Wagner, 03/31/08 17:00:
> Hallo Liste,
>
> ich habe mir gestern mein Laptop aufgesetzt mit einem Debian unstable.
> Dabei habe ich auch alles verschlüsseln lassen, und zwar nicht die ganze
> Platte menügeführt, sondern habe erst ein LVM angelegt und dann die
> einzelnen Volumes verschlüsselt.
>
> Da von anfang an geplant war, die Partitionen ausser "/" per keyfile
> beim booten aufzumachen, habe ich für die anderen Partitionen ein
> einfaches Passwort gewählt. Meiner Meinung nach führt doch das die ganze
> Verschlüsselung ad absurdum, wenn alles per keyfile geöffnet wird, da
> bei einem Diebstahl des Laptops ja der Dieb auch einfach so alles
> aufmachen kann. Deshalb dachte ich, das es gut ist, wenn wenigstens "/"
> per Passphrase geöffnet wird,
>
> Nach dem ersten Booten mit der Eingabe der Passwörter für jede einzelne
> Partition habe ich auf einem USB-Stick pro Partition ein keyfile
> erstellt (Btw. auf dem Stick liegt auch mein /boot). Das funktioniert
> auch alles wie es soll, also die Partitionen werden mit dem keyfile beim
> booten geöffnet.
>
> Mein Problem ist nun, das ich die bei der Installation vergebenen
> Passwörter nicht löschen kann, da er ja für die Löschung eins der
> vergebenen Passwörter verlangt. Da ich aber ja nur eins habe (ausser dem
> keyfile), verweigert *cryptsetup* logischerweise die Löschung.
>
> Bleibt mir jetzt nur die Möglichkeit, für jede Partition eine sichere
> Passphrase anzulegen und dann das unsichere der Installation zu löschen,
> oder gibt es noch eine andere Möglichkeit, die ich bloss nicht sehe im
> Moment.
>
> Ist auch kein Problem, wenn mir jemand auch eine Lösung sagt, das ich
> bei der Installation für die ganze LVM-group eine Passphrase vergeben
> kann (das das geht, wenn ich Debian die Kontrolle über die ganze Platte
> gebe, weiss ich, aber ich will ja ausser Debian da evtl. auch noch was
> anderes installieren). Das Laptop hat bis jetzt nur ein
> Minimalinstallation, da ich erst weitermachen will, wenn ich für obiges
> Problem eine Lösung habe.
>
> Thx Michael
>
# cryptsetup luksDelKey <device> <key slot number> --key-file <key>
sollte funktionieren
PJ
Reply to: