Re: jessie, cryptsetup, swap und systemd

[Juergen Christoffel <jc.debian16@unser.net>]

On Tue, Feb 16, 2016 at 12:27:27AM +0100, Juergen Christoffel wrote:
> da ich vor kurzem eine Maschine mit einer neuen SSD erweiter habe, habe ich
> den zusätzlichen Platz heute mal genutzt, um mit Debian 8 und systemd etwas
> zu experimentieren. Bisher komme ich mit Debian 7 noch ganz gut aus.

Hi all,

danke für die Hinweise und Tips. Aus Zeitgründen eine Sammelantwort:

On Tue, Feb 16, 2016 at 01:20:40AM +0100, Helmut Backhaus wrote:
> Schau mal ob die Partition wirklich den Typ 82 hat.
> Oder ob der Installer sie wieder auf 83 gesetzt hat und sie jetzt
> /swap heißt und ext4 hat.

Danke für den Tip. Leider hat sie den Typ 82 (bzw. 8200 in gdisk) und ist
somit swap.


On Tue, Feb 16, 2016 at 01:45:34AM +0100, Christoph Johannes Kleine wrote:
> mittels keyfile für swap, oder indem du auf lvm umsteigst und dieses in
> einen luks "Container" packst

Das Keyfile funktioniert nicht, das könnte einer der "Debianism" zu sein,
der verschwunden ist? Oder ich muss

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=618862 und
https://www.freedesktop.org/software/systemd/man/systemd-cryptsetup-generator.html
gründlicher lesen.


On Tue, Feb 16, 2016 at 11:13:16AM +0100, Christian Knoke wrote:
> Das Problem ist, dass sowohl Wheezy als auch Jessie Verschlüsselungen ohne
> LUKS-Container nur sehr schlecht unterstützt; da sind einige Fehler vor
> allem in der initrd-Erzeugung.

Ja, in der Init-Phase scheinen mir (momentan?) einige Dinge nicht so zu
funktionieren, wie man es erwartet ;-0

> Ich verzichte aber ohnehin auf swap space, bei 2 GB RAM habe ich den in 7
> Jahren noch nie gebraucht. Wenn du mehrere VMs betreibst, mag es anders
> aussehen.

Bei bestimmten Anwendungen bei mir ist Swap durchaus notwendig bzw. ein
Sicherheitsgurt. Generell will ich momentan aber verstehen, warum ich ihn
nicht ohne Abfrage des Passworts verschlüsselt kriege.

> > Aufgesetzt habe ich das System mit manueller Partitionierung. Nicht zuletzt
> > deshalb, weil Debian-Install immer die ganze Platte überschreiben will,
> > auch wenn sie neu ist. Da das Zeit bei 1TB reichlich Zeit braucht
>
> weil die Erzeugung der Zufallszahlen so lange braucht.

Ich sehe im Moment nicht, dass man echten Zufall benötigt. Es geht doch
primär darum, alte Daten zu überschreiben, wenn man ein vorhandenes FS
durch eine verschlhüsselte Version ersetzt. Früher (und so steht es noch im
FAQ[*]) reichte ein "cat /dev/zero > <target device>". Bei einer neuen Platte
ist das sicher nicht notwendig. Wenn es dann doch Zufall sein soll, reicht
es ggf. auch, einmal 1MB "random data" zu erzeugen und den Block dann
endlos zu schreiben.


On Tue, Feb 16, 2016 at 11:49:54AM +0100, Marc Haber wrote:
> Wie sind denn diese Einträge in der /etc/crypttab? Da waren früher
> einige Debianismen implementiert, und die sind bei der Migration zu
> systemd zeremonielos vom Tisch gewischt worden. keyscript= gehört
> jedenfalls dazu.

Keyscript habe ich nicht verwendet, nur Keyfile oder "none". Aber das
scheint (siehe Bug-Link oben) durch systemd anders (falls überhaupt)
interpretiert zu werden? 

Vielleicht probiere ich's (mangels Freizeit erst Ende der Woche) einfach
ohne systemd beim Startup, wie in
http://noone.org/talks/debian-ohne-systemd/ beschrieben.

Danke erstmal, JC


[*] https://gitlab.com/cryptsetup/cryptsetup/wikis/FrequentlyAskedQuestions#2-setup

--
 For someone who doesn't understand that a 128-bit key can't be brute-
 forced by going out and buying a faster PC, 256-bit is twice as secure 
 as 128-bit.
	-- Peter Gutmann on mozilla-dev-security-policy