Empfehlungen für verschlüsseltes Dual-Boot-System (was: Verschlüsselung in Lenny)
Memnon Anon <gegendosenfleisch@gmail.com> wrote:
> Ich hab das letztens auf meinem Laptop gemacht. Das ging soweit ganz
> unkompliziert nach folgender Anleitung
>
> http://commandline.org.uk/linux/encrypt-for-xmas/
Die Seite ist gerade kaputt und zudem gehen einige dieser Links ins
Leere.
> Home und Swap werden verschlüsselt.
Wenn es einem um wirkliche Sicherheit und Komfort im System geht,
sehe ich bei diesem Ansatz ein paar Probleme.
- Sensible Daten können auch in /tmp landen oder man kann durch /var
ein paar Rückschlüsse ziehen, wie das System benutzt
wurde. Ersteres könnte man z.B. dadurch lösen, für /tmp ein tmpfs
zu verwenden.
- Wie du schon angedeutet hast, ist die Verschlüsselung des Swap
natürlich extrem wichtig. Viele Anleitungen benutzen für Swap
dabei einen bei jedem Start zufällig erstellten Schlüssel. Das ist
zwar sehr Sicher, man verbaut sich dabei allerdings die
Möglichkeit, Suspend-to-Disk zu verwenden.
Bei einer Neuinstallation von Debian würde ich daher eine andere
Vorgehensweise empfehlen, die komplett vom Debian-Installer
unterstützt wird:
Man legt nur zwei Partitionen für Debian an. Die erste braucht nur
knapp 100 MB groß zu sein und wird für /boot verwendet. Die zweite
wird mit LUKS verschlüsselt. In dieses verschlüsselte Device wird
dann ein LVM gelegt, in das wiederum alle für das System benötigten
Partitionen gelegt werden, also z.B. /, /home und swap. Vorteil
dabei: bis auf das recht statische /boot ist wirklich *alles*
verschlüsselt, man braucht sich keine Sorgen machen, dass doch
irgendetwas Sensibles unverschlüsselt auf der Platte landet. Und das
System kann sich durch Suspend-to-Disk in ein *verschlüsseltes* Swap
schlafen legen. Im Prinzip kann man das auch noch nachträglich
machen (Anleitungen existieren), es ist aber sehr umständlich und
setzt die Arbeit aus einem Rettungssystem voraus.
Auf meinem System bin ich sogar noch etwas weiter gegangen und habe
ein Dual-Boot-System eingerichtet, bei dem sowohl Linux als auch
Windows XP komplett verschlüsselt sine, letzteres mit
TrueCrypt. Weil ich weiterhin Grub verwenden und den
TrueCrypt-Loader erst bei der Auswahl von Windows sehen wollte,
erforderte das allerdings einen kleinen Trick.
1) Man aktiviert unter Windows die Verschlüsselung der
Systempartition und antwortet bei der Frage, ob es mehrere
Betriebssysteme auf dem Rechner gibt, wahrheitsgemäß mit "Ja". Bei
der Frage, ob man einen anderen Bootloader benutzt, muss man
allerdings lügen und "Nein" antworten, weil TrueCrypt das nicht
unterstützt. TrueCrypt wird anschließend eingerichtet und den MBR
auf der Festplatte überschreiben. Also: Rettungssystem bereithalten.
2) Ein beliebiges Rettungssystem (ich empfehle ja das auf Debian
basierende http://grml.org/) starten und den MBR in eine Datei
sichern:
# dd if=/dev/sda bs=512 count=1 of=truecrypt.mbr
Diese Datei wird benötigt, damit Grub anschließend den
TrueCrypt-Loader wiederfinden kann. Sie wird in der /boot-Patition
abgelegt, weil das ja der einzige unverschlüsselte Bereich auf der
Platte sein wird. Nun können wird Grub im MBR wiederherstellen,
z.B. durch:
# grub
grub> root (hd0,4)
grub> setup (hd0)
Zuletzt wird der Eintrag in Grubs menu.lst geändert. Grub wird dabei
statt dem Betriebssystem den Code aus der truecrypt.mbr laden. In
meinem Fall liegt /boot auf /dev/sda5:
title Microsoft Windows XP Professional
rootnoverify (hd0,0)
makeactive
chainloader (hd0,4)/truecrypt.mbr
boot
Der Bootvorgang sieht nun also so aus:
- Zuerst erscheint Grub.
- Wird Linux ausgewählt, erscheint die Passwortabfrage noch bevor /
gemountet wird.
- Wird Windows ausgewählt, erscheint der TrueCrypt-Loader, der mich
ebenfalls nach dem Passwort fragt.
Nun habe ich also einen Laptop, bei dem der einzige noch
unverschlüsselte Bereich der Festplatte die boot-Partition von Linux
ist. Bei einem Diebstahl brauche ich mir um die Sicherheit der Daten
also keine Gedanken machen. :)
Sebastian
Reply to: