Memnon Anon <gegendosenfleisch@gmail.com> wrote:
Ich hab das letztens auf meinem Laptop gemacht. Das ging soweit ganz
unkompliziert nach folgender Anleitung
http://commandline.org.uk/linux/encrypt-for-xmas/
Die Seite ist gerade kaputt und zudem gehen einige dieser Links ins
Leere.
Home und Swap werden verschlüsselt.
Wenn es einem um wirkliche Sicherheit und Komfort im System geht,
sehe ich bei diesem Ansatz ein paar Probleme.
- Sensible Daten können auch in /tmp landen oder man kann durch /var
ein paar Rückschlüsse ziehen, wie das System benutzt
wurde. Ersteres könnte man z.B. dadurch lösen, für /tmp ein tmpfs
zu verwenden.
- Wie du schon angedeutet hast, ist die Verschlüsselung des Swap
natürlich extrem wichtig. Viele Anleitungen benutzen für Swap
dabei einen bei jedem Start zufällig erstellten Schlüssel. Das ist
zwar sehr Sicher, man verbaut sich dabei allerdings die
Möglichkeit, Suspend-to-Disk zu verwenden.
Bei einer Neuinstallation von Debian würde ich daher eine andere
Vorgehensweise empfehlen, die komplett vom Debian-Installer
unterstützt wird:
Man legt nur zwei Partitionen für Debian an. Die erste braucht nur
knapp 100 MB groß zu sein und wird für /boot verwendet. Die zweite
wird mit LUKS verschlüsselt.