Re: Verschlüsseltes System von einem Rechner auf einen anderen kopieren

To: debian-user-german@lists.debian.org
Subject: Re: Verschlüsseltes System von einem Rechner auf einen anderen kopieren
From: Martin Steigerwald <martin@lichtvoll.de>
Date: Thu, 04 Jul 2024 09:25:08 +0200
Message-id: <[🔎] 1905162.tdWV9SEqCh@lichtvoll.de>
In-reply-to: <[🔎] E1sPFu5-00000005G02-1x19@swivel>
References: <[🔎] ZoVJGMHITGOTpqih@dserver.fritz.box> <[🔎] 3572052.iIbC2pHGDl@lichtvoll.de> <[🔎] E1sPFu5-00000005G02-1x19@swivel>

Marc Haber - 04.07.24, 08:25:31 CEST:
> >2. Anlegen des LUKS-Gerätes, z.B. mit:
> >
> >cryptsetup luksFormat --key-size 512 --hash sha512 --iter-time 5000
> >PARTITION
> 
> Mindestens in Debian unstable würde ich mich da eher auf die Defaults
> von cryptsetup verlassen. Am Ende werden die noch schärfer als das,
> was man im finger memory hat und dann ist man am Ende weniger sicher
> als der Default.

Meine letzte Installation hatte --iter-time 5000 nicht. Bezweifle fast, 
dass das mittlerweile der Standard ist. Nicht jeder möchte 5 Sekunden 
warten. Bezüglich --key-size und --hash… ja, wie geschrieben, kann sein, 
dass es da mittlerweile bessere Einstellungen gibt.

Interessanterweise wurde ja zuletzt login von SHA512 auf YesCrypt 
umgestellt. PAM verwendet ja bereits seit Bullseye YesCrypt. Soweit es für 
LUKS bezüglich SHA512 um das Speichern von Passwörtern geht, würde 
YesCrypt ja laut den Veröffentlichungshinweisen für Debian 11 Wörterbuch-
basierte Angriffe erschweren.

Aber jetzt habe ich gerade mal geschaut, damit wir mal aus dem Spekulieren 
heraus kommen: Laut "cryptsetup --help" für Version 2.7.2 lege ich auf die 
Standard-Parameter mit obigen Aufruf noch ordentlich was oben drauf!

> >5. Kopieren der Daten mit "rsync -aAHXPS --numeric-ids" oder ähnlich.
> >"--numeric-ids" ist sehr wichtig beim Kopieren übers Netzwerk via GRML
> >oder einem anderen Live Linux.
> 
> Und was ist dann mit den Capabilities und anderen extended Attributes?
> Wenn auf dem kopierten System ping nicht mehr geht, sind sie nicht mit
> rüber gekommen.

--xattrs, -X             preserve extended attributes

Schaue Dir die Optionen vom obigen rsync genau an. Da ist meines Wissens 
so ziemlich alles mit dabei, was zusätzlich gespeichert sein kann. Ich 
verwende "-aAHXS" ja nicht einfach nur, weil ich gerne Buchstaben tippe.

Der Befehl "ping" geht demnach auf dem kopierten System einwandfrei. Habe 
ich schon mehrfach probiert. Zuletzt als gestern mal wieder mein Provider 
etwas arg langsam war.

-- 
Martin

Reply to:

Follow-Ups:
- Re: Re: Verschlüsseltes System von einem Rechner auf einen anderen kopieren
  - From: Marc Haber <mh+debian-user-german@zugschlus.de>

References:
- Verschlüsseltes System von einem Rechner auf einen anderen kopieren
  - From: "Dirk S." <debianml@dnetz.homelinux.org>
- Re: Verschlüsseltes System von einem Rechner auf einen anderen kopieren
  - From: Martin Steigerwald <martin@lichtvoll.de>
- Re: Re: Verschlüsseltes System von einem Rechner auf einen anderen kopieren
  - From: Marc Haber <mh+debian-user-german@zugschlus.de>

Prev by Date: Re: Verschlüsseltes System von einem Rechner auf einen anderen kopieren
Next by Date: Re: Verschlüsseltes System von einem Rechner auf einen anderen kopieren
Previous by thread: Re: Verschlüsseltes System von einem Rechner auf einen anderen kopieren
Next by thread: Re: Re: Verschlüsseltes System von einem Rechner auf einen anderen kopieren
Index(es):
- Date
- Thread