Christian Schoepplein: > > Ich bin bei meiner Suche nun auf ecryptfs und ecfs gestoßen und denke, dass das für meine Anforderungen OK wäre: > > - die Einrichtung scheint einfach und mit Debian-Bordmitteln möglich zu sein > - da die Verschlüsselung auf Dateiebene stattfindet, kommen Tools wie rsync gut mit dem Abgleich von Daten klar "Standard" ist bei Debian meines Wissens cryptsetup, in der Regel mit LUKS. Das arbeitet als logische Schicht zwischen Partitionen bzw. LVM Volumes und dem Dateisystem. Praktisch äußert sich der Unterschied darin, dass man vom Dateisystem überhaupt nichts sieht, bis man es aufgeschlossen hat, also auch keine Dateinamen. Für ein Backup bedeutet das, dass auch das Backup auf einem verschlüsselten Dateisystem liegen sollte, sonst wäre es eben komplett unverschlüsselt. Ich persönlich habe wenig Erfahrung mit den von Dir genannten Lösungen. Auf dem Netbook meiner Frau wird ecryptfs benutzt, weil Ubuntu das während der Installation angeboten hat. Finde das aber nicht besonders schön und ich erinnere mich auch noch, dass ich einmal im Recovery-Fall Probleme hatte, wieder an die Daten im Backup heranzukommen. Hätte mich natürlich schon vorher schlau machen sollen, aber ich fand das auch nicht sonderlich gut dokumentiert. Rein technisch finde ich cryptsetup deutlich eleganter. LUKS hat außerdem den Vorteil, dass Du auch mehrere Passworte vergeben bzw. auch leicht das Passwort ändern kannst. Ecryptfs kenne ich wie gesagt nur von Ubuntu. Da wird das Dateisystem beim Login des Users aufgemacht. Weiß nicht, wie das üblicherweise auf einem Server gemacht wird. > Was mir noch völlig unklar ist, ist was jetzt besser ist, also ecfs > oder ecryptofs. Irgendwie finde hier keine vernünftigen Infos. Genauso > unklar ist mir noch, wie es mit der Portabilität aussieht, also ob ich > z.B. die verschlüsselten Platten einfach an jedem Debian-Rechner > verwenden kann (automatisches Einhängen und ähnliche Dinge, die das > Ganze nur komplizierter machen,. ist nicht so wichtig). Das habe ich mit meine LUKS-Volumes schon gemacht. Man muss sich dafür mal grundsätzlich mit cryptsetup auseinandergesetzt haben, aber sonderlich schwer fand ich das nicht. Entsprechende Einträge in der /etc/crypttab vorausgesetzt ist es ein Kommando zum Aufschließen und ein weiteres Kommando zum Mounten. Automatische Passwortabfrage beim Booten geht natürlich auch. > Was ich erreichen möchte ist einfach ein System zu haben, an dessen > Daten nicht jeder Otto-Normal-Anwender kommt, wenn er das Ding hier > aus der Wohnung klaut. LUKS ist nach aktuellem Stand der Forschung kryptographisch sicher. Im Zweifel ist Deine Passphrase der Schwachpunkt des Systems. Ob das bei ecfs und ecryptfs auch so ist, weiß ich nicht. Würde dem grundsätzlich auch vertrauen, nur bei den Dateinamen bin ich unsicher, ob da Infos rauslecken. J. -- In the west we kill people like chickens. [Agree] [Disagree] <http://www.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature