Christian Schoepplein:
>
> Ich bin bei meiner Suche nun auf ecryptfs und ecfs gestoßen und denke, dass das für meine Anforderungen OK wäre:
>
> - die Einrichtung scheint einfach und mit Debian-Bordmitteln möglich zu sein
> - da die Verschlüsselung auf Dateiebene stattfindet, kommen Tools wie rsync gut mit dem Abgleich von Daten klar
"Standard" ist bei Debian meines Wissens cryptsetup, in der Regel mit
LUKS. Das arbeitet als logische Schicht zwischen Partitionen bzw. LVM
Volumes und dem Dateisystem.
Praktisch äußert sich der Unterschied darin, dass man vom Dateisystem
überhaupt nichts sieht, bis man es aufgeschlossen hat, also auch keine
Dateinamen. Für ein Backup bedeutet das, dass auch das Backup auf einem
verschlüsselten Dateisystem liegen sollte, sonst wäre es eben komplett
unverschlüsselt.
Ich persönlich habe wenig Erfahrung mit den von Dir genannten Lösungen.
Auf dem Netbook meiner Frau wird ecryptfs benutzt, weil Ubuntu das
während der Installation angeboten hat. Finde das aber nicht besonders
schön und ich erinnere mich auch noch, dass ich einmal im Recovery-Fall
Probleme hatte, wieder an die Daten im Backup heranzukommen. Hätte mich
natürlich schon vorher schlau machen sollen, aber ich fand das auch
nicht sonderlich gut dokumentiert.
Rein technisch finde ich cryptsetup deutlich eleganter. LUKS hat
außerdem den Vorteil, dass Du auch mehrere Passworte vergeben bzw. auch
leicht das Passwort ändern kannst. Ecryptfs kenne ich wie gesagt nur von
Ubuntu. Da wird das Dateisystem beim Login des Users aufgemacht. Weiß
nicht, wie das üblicherweise auf einem Server gemacht wird.
> Was mir noch völlig unklar ist, ist was jetzt besser ist, also ecfs
> oder ecryptofs. Irgendwie finde hier keine vernünftigen Infos. Genauso
> unklar ist mir noch, wie es mit der Portabilität aussieht, also ob ich
> z.B. die verschlüsselten Platten einfach an jedem Debian-Rechner
> verwenden kann (automatisches Einhängen und ähnliche Dinge, die das
> Ganze nur komplizierter machen,. ist nicht so wichtig).
Das habe ich mit meine LUKS-Volumes schon gemacht. Man muss sich dafür
mal grundsätzlich mit cryptsetup auseinandergesetzt haben, aber
sonderlich schwer fand ich das nicht. Entsprechende Einträge in der
/etc/crypttab vorausgesetzt ist es ein Kommando zum Aufschließen und ein
weiteres Kommando zum Mounten. Automatische Passwortabfrage beim Booten
geht natürlich auch.
> Was ich erreichen möchte ist einfach ein System zu haben, an dessen
> Daten nicht jeder Otto-Normal-Anwender kommt, wenn er das Ding hier
> aus der Wohnung klaut.
LUKS ist nach aktuellem Stand der Forschung kryptographisch sicher. Im
Zweifel ist Deine Passphrase der Schwachpunkt des Systems. Ob das bei
ecfs und ecryptfs auch so ist, weiß ich nicht. Würde dem grundsätzlich
auch vertrauen, nur bei den Dateinamen bin ich unsicher, ob da Infos
rauslecken.
J.
--
In the west we kill people like chickens.
[Agree] [Disagree]
<http://www.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature