Re: cryptsetup(-luks), gpg, passphrases und root partition encryption
Hallo Peter, Peter Blancke <[EMAIL PROTECTED]> wrote: > Ad 2006-08-13, Jörg Sommer <[EMAIL PROTECTED]> dixit: >> Peter Blancke <[EMAIL PROTECTED]> wrote: > >>> Er benoetigt gleich nach dem Start diese Mini-Partition, die >>> selbstverstaendlich verschluesselt ist. Hierfuer zeigt er sein >>> Paszwort vor. In dieser Partition liegen die restlichen >>> Schluessel (oder auch nur einer) fuer alle weiteren Partitionen >>> inklusive Swap. Nachdem alle Partitionen geoeffnet wurden, wird >>> die Minipartition geschlossen und damit werden die Schluessel >>> geschuetzt fuer den Fall, dasz jemand in einem kurzen Augenblick >>> sich der Schluessel bemaechtigt. >> >> Man kann doch den Schlüssel auch aus /dev/unverschlüsselt und >> /dev/verschlüsselt ermitteln. Und wenn so und so die Partitionen >> gemountet sind, wozu dann noch den Schlüssel suchen? Man kann doch >> bereits alles lesen? > > Ich schrieb "in einem kurzen Augenblick" und meinte das auch so. In > dem kurzen Augenblick kopiere ich fix ein bis vier Schluessel. Mit > dem ausfuehrlichen Inhalt einer /home-Partition beschaeftige ich > mich aber nicht in einem kurzen Augenblick. Ich verstehe das Argument nicht. Wenn ein Angreifer dir den Laptop stiehlt, dann kann er damit nichts anfangen, weil er nichts lesen kann. Bricht jemand in das laufende System ein, kann er 1k aus /dev/unverschlüsselt und 1k aus /dev/verschlüsselt kopieren und sich daraus den Schlüssel errechnen. Wenn die Schlüssel noch zugänglich wären, könnte er sie natürlich direkt kopieren. Ich denke, dass das nur ein geringe Erleichterung ist. Bei Gelegenheit stiehlt er dann den Laptop und kann sich in Ruhe daran zu schaffen machen. Der andere Gedanke: Wenn er es schon geschafft hat, in das System einzubrechen, kann er sich auch gleich die Informationen holen, die ihn interessieren. Schönen Tag noch, Jörg. -- "Unfortunately, the current generation of mail programs do not have checkers to see if the sender knows what he is talking about" -- Andrew S. Tanenbaum -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: cryptsetup(-luks), gpg, passphrases und root partition encryption
Ad 2006-08-13, Jörg Sommer <[EMAIL PROTECTED]> dixit: > Peter Blancke <[EMAIL PROTECTED]> wrote: >> Er benoetigt gleich nach dem Start diese Mini-Partition, die >> selbstverstaendlich verschluesselt ist. Hierfuer zeigt er sein >> Paszwort vor. In dieser Partition liegen die restlichen >> Schluessel (oder auch nur einer) fuer alle weiteren Partitionen >> inklusive Swap. Nachdem alle Partitionen geoeffnet wurden, wird >> die Minipartition geschlossen und damit werden die Schluessel >> geschuetzt fuer den Fall, dasz jemand in einem kurzen Augenblick >> sich der Schluessel bemaechtigt. > > Man kann doch den Schlüssel auch aus /dev/unverschlüsselt und > /dev/verschlüsselt ermitteln. Und wenn so und so die Partitionen > gemountet sind, wozu dann noch den Schlüssel suchen? Man kann doch > bereits alles lesen? Ich schrieb "in einem kurzen Augenblick" und meinte das auch so. In dem kurzen Augenblick kopiere ich fix ein bis vier Schluessel. Mit dem ausfuehrlichen Inhalt einer /home-Partition beschaeftige ich mich aber nicht in einem kurzen Augenblick. > Ich glaube nicht, dass du mit dieser Extrapartition mehr > Sicherheit bekommst. Systemtechnisch nicht, aber ablauftechnisch. Grusz, Peter Blancke -- Hoc est enim verbum meum! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: cryptsetup(-luks), gpg, passphrases und root partition encryption
Hallo Peter, Peter Blancke <[EMAIL PROTECTED]> wrote: > Er benoetigt gleich nach dem Start diese Mini-Partition, die > selbstverstaendlich verschluesselt ist. Hierfuer zeigt er sein > Paszwort vor. In dieser Partition liegen die restlichen Schluessel > (oder auch nur einer) fuer alle weiteren Partitionen inklusive Swap. > Nachdem alle Partitionen geoeffnet wurden, wird die Minipartition > geschlossen und damit werden die Schluessel geschuetzt fuer den > Fall, dasz jemand in einem Kurzen Augenblick sich der Schluessel > bemaechtigt. Man kann doch den Schlüssel auch aus /dev/unverschlüsselt und /dev/verschlüsselt ermitteln. Und wenn so und so die Partitionen gemountet sind, wozu dann noch den Schlüssel suchen? Man kann doch bereits alles lesen? Ich glaube nicht, dass du mit dieser Extrapartition mehr Sicherheit bekommst. Schöne Grüße, Jörg. -- Two types have compatible type if their types are the same. [ANSI C, 6.2.7] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: cryptsetup(-luks), gpg, passphrases und root partition encryption
Hi, Peter Blancke wrote: > Ad 2006-08-10, Joerg Zimmermann <[EMAIL PROTECTED]> dixit: >> Peter Jordan wrote: >>> Joerg Zimmermann wrote: > >> Du legst die Schlüssel auf einer unverschlüsselten (klitzekleinen) >> Partition ab?? So habe ich nämlich Deine Mail verstanden. Dann >> käme ja jeder an die Schlüssel heran um die verschlüsselten >> Partitionen zu entschlüsseln. Wenn auch diese Partition >> verschlüsselt ist, ist mir unklar wo denn da der Vorteil liegen >> soll. > > Ich muszte den Sachverhalt auch erst mehrfach durchdenken. > > Er benoetigt gleich nach dem Start diese Mini-Partition, die > selbstverstaendlich verschluesselt ist. Hierfuer zeigt er sein > Paszwort vor. In dieser Partition liegen die restlichen Schluessel > (oder auch nur einer) fuer alle weiteren Partitionen inklusive Swap. > Nachdem alle Partitionen geoeffnet wurden, wird die Minipartition > geschlossen und damit werden die Schluessel geschuetzt fuer den > Fall, dasz jemand in einem Kurzen Augenblick sich der Schluessel > bemaechtigt. Das macht Sinn. > Da die Schluessel fuer den weiteren laufenden Betrieb nicht > benoetigt werden, sondern lediglich zum Oeffnen der Partitionen > erforderlich sind, ist die Idee durchaus gut. yep, Idee gut. Danke für die Erhellung. > Es kommt trotzdem anders: Er wird von den einschlaegigen > Strafverfolgungsbehoerden an befreundete beispielsweise > US-amerikanische Behoerden uebergeben, die ihn ihrerseits wieder > (via Ueberflug ueber Deutschland) an Schurkenstaaten ueberstellen. > Diese foltern ihn solange (langsames Ausreiszen aller Finger- und > Fusznaegel beispielsweise war da mal sehr erfolgreich), bis er alle > Paszwoerter herausrueckt. So sieht bald die Realitaet aus. Uhuu; Ich hoffe Du übertreibst, fürchte aber Du bist nicht so weit von der Wirklichkeit entfernt. beste Grüsse -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: cryptsetup(-luks), gpg, passphrases und root partition encryption
Peter Blancke, 08/10/2006 02:20 PM: > Ad 2006-08-10, Joerg Zimmermann <[EMAIL PROTECTED]> dixit: >> Peter Jordan wrote: > >> Du legst die Schlüssel auf einer unverschlüsselten (klitzekleinen) >> Partition ab?? So habe ich nämlich Deine Mail verstanden. Dann >> käme ja jeder an die Schlüssel heran um die verschlüsselten >> Partitionen zu entschlüsseln. Wenn auch diese Partition >> verschlüsselt ist, ist mir unklar wo denn da der Vorteil liegen >> soll. > > Ich muszte den Sachverhalt auch erst mehrfach durchdenken. > > Er benoetigt gleich nach dem Start diese Mini-Partition, die > selbstverstaendlich verschluesselt ist. Hierfuer zeigt er sein > Paszwort vor. In dieser Partition liegen die restlichen Schluessel > (oder auch nur einer) fuer alle weiteren Partitionen inklusive Swap. > Nachdem alle Partitionen geoeffnet wurden, wird die Minipartition > geschlossen und damit werden die Schluessel geschuetzt fuer den > Fall, dasz jemand in einem Kurzen Augenblick sich der Schluessel > bemaechtigt. > > Da die Schluessel fuer den weiteren laufenden Betrieb nicht > benoetigt werden, sondern lediglich zum Oeffnen der Partitionen > erforderlich sind, ist die Idee durchaus gut. > > Es kommt trotzdem anders: Er wird von den einschlaegigen > Strafverfolgungsbehoerden an befreundete beispielsweise > US-amerikanische Behoerden uebergeben, die ihn ihrerseits wieder > (via Ueberflug ueber Deutschland) an Schurkenstaaten ueberstellen. > Diese foltern ihn solange (langsames Ausreiszen aller Finger- und > Fusznaegel beispielsweise war da mal sehr erfolgreich), bis er alle > Paszwoerter herausrueckt. So sieht bald die Realitaet aus. > > Grusz, > > Peter Blancke > Dem ist fast nichts mehr hinzuzufügen, nur dass ich mein System nicht aus Schutz vor Strafverfolgungsbehörden verschlüssele und daher der genannte Fall bei mir nicht eintreten wird. Und wenn doch, dann wird abgewogen, ob die Sache die Leiden wert ist oder nicht. Viele Grüße, Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: cryptsetup(-luks), gpg, passphrases und root partition encryption
Ad 2006-08-10, Joerg Zimmermann <[EMAIL PROTECTED]> dixit: > Peter Jordan wrote: >> Joerg Zimmermann wrote: > Du legst die Schlüssel auf einer unverschlüsselten (klitzekleinen) > Partition ab?? So habe ich nämlich Deine Mail verstanden. Dann > käme ja jeder an die Schlüssel heran um die verschlüsselten > Partitionen zu entschlüsseln. Wenn auch diese Partition > verschlüsselt ist, ist mir unklar wo denn da der Vorteil liegen > soll. Ich muszte den Sachverhalt auch erst mehrfach durchdenken. Er benoetigt gleich nach dem Start diese Mini-Partition, die selbstverstaendlich verschluesselt ist. Hierfuer zeigt er sein Paszwort vor. In dieser Partition liegen die restlichen Schluessel (oder auch nur einer) fuer alle weiteren Partitionen inklusive Swap. Nachdem alle Partitionen geoeffnet wurden, wird die Minipartition geschlossen und damit werden die Schluessel geschuetzt fuer den Fall, dasz jemand in einem Kurzen Augenblick sich der Schluessel bemaechtigt. Da die Schluessel fuer den weiteren laufenden Betrieb nicht benoetigt werden, sondern lediglich zum Oeffnen der Partitionen erforderlich sind, ist die Idee durchaus gut. Es kommt trotzdem anders: Er wird von den einschlaegigen Strafverfolgungsbehoerden an befreundete beispielsweise US-amerikanische Behoerden uebergeben, die ihn ihrerseits wieder (via Ueberflug ueber Deutschland) an Schurkenstaaten ueberstellen. Diese foltern ihn solange (langsames Ausreiszen aller Finger- und Fusznaegel beispielsweise war da mal sehr erfolgreich), bis er alle Paszwoerter herausrueckt. So sieht bald die Realitaet aus. Grusz, Peter Blancke -- Hoc est enim verbum meum! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: cryptsetup(-luks), gpg, passphrases und root partition encryption
Am Donnerstag, 10. August 2006 12:52 schrieb Joerg Zimmermann: > Hi, > > Peter Jordan wrote: > > Joerg Zimmermann wrote: [..] > >> Peter Jordan wrote: > >> [..] > >> > >>> Als Modifikation zu dem von Hauke Genannten gäbe es noch die > >>> Möglichkeit, eine klitzekleine Partition von nur wenigen MB zu > >>> erstellen, auf der dann die Schlüssel für alle Partitionen abgelegt > >>> werden. Diese wird dann beim Bootvorgang noch vor cryptdisks--early und > >>> cryptdisks eingebunden. Nach der Entschlüsselung kann die key-Partition > >>> wieder ausgehängt werden. > >> > >> Und wozu soll das gut sein??? > > > > Das dient dem Schutz aller auf dieser Partition liegenden Schlüssel > > während des laufenden Betriebs. > > Dann kläre mich bitte mal auf;) > > Du legst die Schlüssel auf einer unverschlüsselten (klitzekleinen) > Partition ab?? So habe ich nämlich Deine Mail verstanden. > Dann käme ja jeder an die Schlüssel heran um die verschlüsselten > Partitionen zu entschlüsseln. > Wenn auch diese Partition verschlüsselt ist, ist mir unklar wo denn > da der Vorteil liegen soll. Also ich habe Peter so verstanden, daß die kleine verschlüsselte(!) Extra-Partition den Vorteil hat, daß sie durch unmittelbares Wiederaushängen nach dem Entschlüsseln der eigentlichen Partition(en) einfach relativ immun gegen ungewolltes Überschreiben ist ... Daniel
Re: cryptsetup(-luks), gpg, passphrases und root partition encryption
Hi, Peter Jordan wrote: > Joerg Zimmermann wrote: >> Hi, >> >> Peter Jordan wrote: >> [..] >> >>> Als Modifikation zu dem von Hauke Genannten gäbe es noch die >>> Möglichkeit, eine klitzekleine Partition von nur wenigen MB zu >>> erstellen, auf der dann die Schlüssel für alle Partitionen abgelegt >>> werden. Diese wird dann beim Bootvorgang noch vor cryptdisks--early und >>> cryptdisks eingebunden. Nach der Entschlüsselung kann die key-Partition >>> wieder ausgehängt werden. >> Und wozu soll das gut sein??? >> > > Das dient dem Schutz aller auf dieser Partition liegenden Schlüssel > während des laufenden Betriebs. Dann kläre mich bitte mal auf;) Du legst die Schlüssel auf einer unverschlüsselten (klitzekleinen) Partition ab?? So habe ich nämlich Deine Mail verstanden. Dann käme ja jeder an die Schlüssel heran um die verschlüsselten Partitionen zu entschlüsseln. Wenn auch diese Partition verschlüsselt ist, ist mir unklar wo denn da der Vorteil liegen soll. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: cryptsetup(-luks), gpg, passphrases und root partition encryption
Joerg Zimmermann wrote: > Hi, > > Peter Jordan wrote: > [..] > >> Als Modifikation zu dem von Hauke Genannten gäbe es noch die >> Möglichkeit, eine klitzekleine Partition von nur wenigen MB zu >> erstellen, auf der dann die Schlüssel für alle Partitionen abgelegt >> werden. Diese wird dann beim Bootvorgang noch vor cryptdisks--early und >> cryptdisks eingebunden. Nach der Entschlüsselung kann die key-Partition >> wieder ausgehängt werden. > > Und wozu soll das gut sein??? > Das dient dem Schutz aller auf dieser Partition liegenden Schlüssel während des laufenden Betriebs. Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: cryptsetup(-luks), gpg, passphrases und root partition encryption
On Wed, Aug 09, 2006 at 06:31:49PM +0200, Jan Hauke Rahm wrote: > Boote die Partition, die du als erstes haben willst mit Passwort und leg > auf die Partition einfach die Schlüssel für die anderen Partitionen ab. > Dann promptet er einmal für die erste Partition und holt sich die > anderen Schlüssel von der enschlüsselten Partition. Idee gut? Idee gut. Peters Ausbau der Idee hat auch was für sich, aber dieser Ansatz reicht für unser Ansinnen bereits aus. Danke. Christian -- Wenn ich Naturforschung betreibe, interessieren mich keine Wunder. --- Albertus Magnus, De Generatione et Corruptione, 13. Jh. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: cryptsetup(-luks), gpg, passphrases und root partition encryption
Am Mittwoch, 9. August 2006 18:17 schrieb Christian Folini: > Vermutlich werden wir mit einer nicht-verschlüsselten /boot Partition > arbeiten. Danach von dort aus / decrypten und mounten. > > Erhöht wird die Schwierigkeit dadurch, dass wir weiter verschiedene > Partitionen verwenden möchten. Konkret /, swap, /tmp, /var, /home. > Das bedeutet, dass unsere User beim booten 5 Mal für das Passwort > gepromptet werden. Das ist nicht wirklich wünschenswert. Mal ein gewagter Vorschlag, der in eine ganz andere Richtung geht: Wie wäre es mit einer LVM-Volume-Group auf dem Cryptdevice. Da kannst Du dann so viele Partitionen einrichten wie Du willst und sparst Dir die Verrenkungen mit den verketteten Keys auf den (oder Extra-) Partitionen ... Daniel
Re: cryptsetup(-luks), gpg, passphrases und root partition encryption
Hi, Peter Jordan wrote: [..] > Als Modifikation zu dem von Hauke Genannten gäbe es noch die > Möglichkeit, eine klitzekleine Partition von nur wenigen MB zu > erstellen, auf der dann die Schlüssel für alle Partitionen abgelegt > werden. Diese wird dann beim Bootvorgang noch vor cryptdisks--early und > cryptdisks eingebunden. Nach der Entschlüsselung kann die key-Partition > wieder ausgehängt werden. Und wozu soll das gut sein??? > So habe ich es jedenfalls gemacht, und es klappt ganz gut. Klar, ist nur leider vollkommen sinnfrei. Oder verstehe ich da gerade was nicht? -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: cryptsetup(-luks), gpg, passphrases und root partition encryption
"Christian Folini" <[EMAIL PROTECTED]> wrote: > Hallo, > > Ich bin dabei für einen Setup mit ein paar Dutzend hosts (und hoffentlich > bald > ein paar Dutzen Notebooks) eine möglichst leicht zu administrierende Harddisk > Verschlüsselung zu bauen. Die Anforderung umfasst die Root-Partition und > es ist klar, dass es im Umfeld einer Firma mehrere > Passwörter/Passphrases/Key geben muss, die auf eine Disk zugreifen können. > Wir sehen deshalb cryptsetup mit luks Erweiterung als die passende Lösung > an. [...] > Ich suche also nach einer schlauen Lösung, welche es schafft beim booten > (wenn erst /boot da ist) nach einem Passwort zu fragen und dann damit 5 > Partitionen zu mounten ... Leider kenne ich mich mit der cryptsetup-Variante nicht aus. Trotzdem nehme ich einmal an, dass, ähnlich wie bei loop-aes, von einem init oder linuxrc (vermutlich auf einer initc(d|amfs)) die Passwortabfrage und der Mount-Vorgang initiiert wird. Man kann sich dann ein kleines Programm - oder, je nach eingesetzter Shell, auch ein Skript - schreiben, welches das Passwort abfragt und über eine Pipe an cryptsetup (oder wer nun auch immer für das entschlüsseln verantwortlich ist) weitergibt. Entweder muss man sich dann die Ramdisk von Hand zusammenbauen, oder man nutzt die vorgesehenen hooks bei der automatischen Erstellung. Das ist zwar am Anfang etwas mehr Aufwand, zahlt sich später aber bei jedem Kernelupdate aus, erst recht wenn dutzende von Rechnern auf diese Weise betrieben werden. Viel Erfolg, Elias
Re: cryptsetup(-luks), gpg, passphrases und root partition encryption
Jan Hauke Rahm wrote: > Am Mittwoch, den 09.08.2006, 18:17 +0200 schrieb Christian Folini: >> Ich suche also nach einer schlauen Lösung, welche es schafft beim booten >> (wenn erst /boot da ist) nach einem Passwort zu fragen und dann damit 5 >> Partitionen zu mounten ... > > Boote die Partition, die du als erstes haben willst mit Passwort und leg > auf die Partition einfach die Schlüssel für die anderen Partitionen ab. > Dann promptet er einmal für die erste Partition und holt sich die > anderen Schlüssel von der enschlüsselten Partition. Idee gut? > > Hauke > Als Modifikation zu dem von Hauke Genannten gäbe es noch die Möglichkeit, eine klitzekleine Partition von nur wenigen MB zu erstellen, auf der dann die Schlüssel für alle Partitionen abgelegt werden. Diese wird dann beim Bootvorgang noch vor cryptdisks--early und cryptdisks eingebunden. Nach der Entschlüsselung kann die key-Partition wieder ausgehängt werden. So habe ich es jedenfalls gemacht, und es klappt ganz gut. Viele Grüße, PeterJordan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: cryptsetup(-luks), gpg, passphrases und root partition encryption
Am Mittwoch, den 09.08.2006, 18:17 +0200 schrieb Christian Folini: > Ich suche also nach einer schlauen Lösung, welche es schafft beim booten > (wenn erst /boot da ist) nach einem Passwort zu fragen und dann damit 5 > Partitionen zu mounten ... Boote die Partition, die du als erstes haben willst mit Passwort und leg auf die Partition einfach die Schlüssel für die anderen Partitionen ab. Dann promptet er einmal für die erste Partition und holt sich die anderen Schlüssel von der enschlüsselten Partition. Idee gut? Hauke -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
cryptsetup(-luks), gpg, passphrases und root partition encryption
Hallo, Ich bin dabei für einen Setup mit ein paar Dutzend hosts (und hoffentlich bald ein paar Dutzen Notebooks) eine möglichst leicht zu administrierende Harddisk Verschlüsselung zu bauen. Die Anforderung umfasst die Root-Partition und es ist klar, dass es im Umfeld einer Firma mehrere Passwörter/Passphrases/Key geben muss, die auf eine Disk zugreifen können. Wir sehen deshalb cryptsetup mit luks Erweiterung als die passende Lösung an. Wir fahren debian sarge, aber der backport von cryptsetup inkl. luks von backports.org (1.0.3-2bpo1) läuft bei uns. (Beim sarge default kernel hatten wir einen freeze beim Zugriff auf /dev/mapper/control durch cryptsetup luksFormat. Mit einem selbst compilierten 2.6.17er klappt das). Vermutlich werden wir mit einer nicht-verschlüsselten /boot Partition arbeiten. Danach von dort aus / decrypten und mounten. Erhöht wird die Schwierigkeit dadurch, dass wir weiter verschiedene Partitionen verwenden möchten. Konkret /, swap, /tmp, /var, /home. Das bedeutet, dass unsere User beim booten 5 Mal für das Passwort gepromptet werden. Das ist nicht wirklich wünschenswert. Eine Alternative wäre es natürlich, mit einem Key auf USB-Disk zu arbeiten, aber das ist aus internen Gründen nicht gangbar. Um das Passwort kommen wir fast nicht herum. (Ich habe die gpg und ssl Einschränkung auf der root partition in "man crypttab" gesehen; das macht es wohl auch nicht einfacher.) Ich suche also nach einer schlauen Lösung, welche es schafft beim booten (wenn erst /boot da ist) nach einem Passwort zu fragen und dann damit 5 Partitionen zu mounten ... Vielleicht ist die Lösung offensichtlich und ich sehe sie einfach nicht. Dann wäre ich dankbar für einen Anstoss. Ansonsten könnten sich auch noch andere für den Setup interessieren. best regs, Christian Folini -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
