Re: Empfehlungen für verschlüsseltes Dual-Boot-System

To: Debianlist <debian-user-german@lists.debian.org>
Subject: Re: Empfehlungen für verschlüsseltes Dual-Boot-System
From: Dirk Paul Finkeldey <dirk.finkeldey@ewetel.net>
Date: Wed, 31 Dec 2008 12:53:42 +0100
Message-id: <[🔎] 495B5D46.8070404@ewetel.net>
Reply-to: Debianlist <debian-user-german@lists.debian.org>
In-reply-to: <[🔎] 87r63pm1f3.fsf@news.realpath.org>
References: <[🔎] 20081229114855.GA10072@dserver.dnetz> <[🔎] 83myef3vpn.fsf@mean.albasani.net> <[🔎] 87r63pm1f3.fsf@news.realpath.org>

Sebastian Krause schrieb:

Memnon Anon <gegendosenfleisch@gmail.com> wrote:

Ich hab das letztens auf meinem Laptop gemacht. Das ging soweit ganzunkompliziert nach folgender Anleitung
              http://commandline.org.uk/linux/encrypt-for-xmas/


Die Seite ist gerade kaputt und zudem gehen einige dieser Links ins
Leere.

Home und Swap werden verschlüsselt.


Wenn es einem um wirkliche Sicherheit und Komfort im System geht,
sehe ich bei diesem Ansatz ein paar Probleme.

- Sensible Daten können auch in /tmp landen oder man kann durch /var
  ein paar Rückschlüsse ziehen, wie das System benutzt
  wurde. Ersteres könnte man z.B. dadurch lösen, für /tmp ein tmpfs
  zu verwenden.
- Wie du schon angedeutet hast, ist die Verschlüsselung des Swap
  natürlich extrem wichtig. Viele Anleitungen benutzen für Swap
  dabei einen bei jedem Start zufällig erstellten Schlüssel. Das ist
  zwar sehr Sicher, man verbaut sich dabei allerdings die
  Möglichkeit, Suspend-to-Disk zu verwenden.

Bei einer Neuinstallation von Debian würde ich daher eine andere
Vorgehensweise empfehlen, die komplett vom Debian-Installer
unterstützt wird:

Man legt nur zwei Partitionen für Debian an. Die erste braucht nur
knapp 100 MB groß zu sein und wird für /boot verwendet. Die zweite

wird mit LUKS verschlüsselt.

Hm, sind LUKS und DM-Crypt das selbe ?

Habe bisher mit DM-Crypt wie folgt gearbeitet :

Meine erste Festplatte (eingerichtet als logisches Laufwerk auf einenIBM ServRaid3HD mit 6*9GB Platten Raid 5EE) 1.57 GB wird DM-Crypt zugestellt


Meine zweite Festplatte (auch auf ServRaid) 75 MB wird ein ext2 und /boot

Meine dritte Festplatte (ditto) ca 34 GB wir ebenfalls DM-Crypt zugeordnet

Dann werden die DM-Crypt device eingerichtet, das 1.57 GB wird nunswap und die ca 34 GB werden /Funktioniert 1A, ichmuß noch mal sehen das ich den Schlüssel in eineKernel-Container mit MD5 unterbringe und zum Starten lediglich einUSB-Stick mit MD5 Fingerprint eingesteckt werden muß.


Gruß Dirk Finkeldey

Reply to:

References:
- Verschlüsselung in Lenny
  - From: Dirk Salva <dsalva@gmx.de>
- Re: Verschlüsselung in Lenny
  - From: Memnon Anon <gegendosenfleisch@gmail.com>
- Empfehlungen für verschlüsseltes Dual-Boot-System (was: Verschlüsselung in Lenny)
  - From: Sebastian Krause <sebastian@realpath.org>

Prev by Date: Re: Yahoo-Messenger und Kopete 0.12.7
Next by Date: Re: Emacscofig Lenny
Previous by thread: Re: Empfehlungen für verschlüsseltes Dual-Boot-System (was: Verschlüsselung in Lenny)
Next by thread: Re: "Grüner" Selbstbau-NAS
Index(es):
- Date
- Thread