Post new topic   Reply to topic
View previous topic Printable version Log in to check your private messages View next topic
Author Message
bluelupoOffline
Post subject: neuer Artikel zur Installation eines verschl. Systems  PostPosted: 30.07.2013, 08:03
Moderator


Joined: 13.09.2010
Posts: 1055
Location: Südostbayern
Status: Offline
Hallo zusammen,
da ich gerade mit Verschlüsselung (LUKS) im Zusammenhang mit Logical Volume Manager experimentiere habe ich einen neunen Artikel im Wiki erstellt der die Installation von siduction in einem verschlüsselten System beschreibt.

Der Artikel gliedert sich in zwei Installationsvarianten, nachzulesen hier unter Verschlüsseltes System mit LUKS/dm-crypt und LVM aufsetzen

Verbesserungsvorschläge und Fehlerkorrekturen sind natürlich erwünscht.

_________________
Ciao bluelupo
BlueLupo's Wiki
BlueLupo bei GooglePlus
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
LanziOffline
Post subject: neuer Artikel zur Installation eines verschl. Systems  PostPosted: 30.07.2013, 11:57



Joined: 12.09.2010
Posts: 1042

Status: Offline
finde gut, dass Du sowas sauber dokumentierst. Sich da einzuarbeiten ist eine Welt für sich und für Laien nicht einfach.
Danke!
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
hefeeOffline
Post subject: RE: neuer Artikel zur Installation eines verschl. Systems  PostPosted: 30.07.2013, 12:04



Joined: 14.09.2010
Posts: 316

Status: Offline
um bei variante 1 nicht sooft das PW einzugeben, kann auch mit einer schlüsseldateien, die auf root liegen gearbeitet werden.
 
 View user's profile Send private message  
Reply with quote Back to top
bluelupoOffline
Post subject: RE: neuer Artikel zur Installation eines verschl. Systems  PostPosted: 30.07.2013, 12:28
Moderator


Joined: 13.09.2010
Posts: 1055
Location: Südostbayern
Status: Offline
@hefee:
stimmt da hast du Recht. Aber wenn dann würde ich die Schlüsseldateien auf einen USB-Stick legen, auf das verschlüsselte Device die Keys zu legen macht für mich keinen Sinn (Zugriffsschutz). Auch funktioniert das meines Wissens nur für Nicht-Root-Filesysteme. Das heißt, einmal musst du mindestens ein Passwort eingeben Wink

@Lanzi:
Das Thema ist eigentlich gar nicht so schwer zu verstehen, wenn man erst mal kapiert hat das LUKS/dm-crypt eine weitere logische Schicht zwischen der HW und dem Dateisystem ist, ähnlich wie der LVM auch. Es ist aber genial wie sich die beiden ergänzen Wink

Wenn ihr beide Lust habt könnt anhand des Artikel das Szenario mal durchspielen sprich installieren und mir Feedback geben, wo etwas noch nicht passt von der Anleitung.

_________________
Ciao bluelupo
BlueLupo's Wiki
BlueLupo bei GooglePlus
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
hefeeOffline
Post subject: RE: neuer Artikel zur Installation eines verschl. Systems  PostPosted: 30.07.2013, 13:23



Joined: 14.09.2010
Posts: 316

Status: Offline
Ich werde jetzt erstmal keine Installation durchführen Very Happy Ich habe ja auch auch schon einen Artikel im dasmals noch Aptosid Wiki geschrieben Smile Es hat sich ja seit dem eigentlich nicht viel geändert, außer das die Nachbearbeitung weniger geworden ist. Aber deswegen bin ich auch ziemlich sicher das deine Anleitung passt.

Siehe:
http://wiki.siduction.de/index.php?titl ... Festplatte
 
 View user's profile Send private message  
Reply with quote Back to top
LanziOffline
Post subject: RE: neuer Artikel zur Installation eines verschl. Systems  PostPosted: 30.07.2013, 14:58



Joined: 12.09.2010
Posts: 1042

Status: Offline
@bluelupo:
ich nutze Luks / dm-crpt seit Jahren. Hattest mir damals bei der Einrichtung ehr geholfen. Muss noch zu aptosid oder gar sidux-zeiten gewesen sein.

Das einzige was ich nicht nutze ist LVM.
Festplattenweise habe ich den Eindruck ne bessere Übersicht zu haben.
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
bluelupoOffline
Post subject: Re: RE: neuer Artikel zur Installation eines verschl. System  PostPosted: 30.07.2013, 15:02
Moderator


Joined: 13.09.2010
Posts: 1055
Location: Südostbayern
Status: Offline
      Lanzi wrote:

[...]
Festplattenweise habe ich den Eindruck ne bessere Übersicht zu haben.

@Lanzi: verstehe ich ich nicht wie das meinst?

_________________
Ciao bluelupo
BlueLupo's Wiki
BlueLupo bei GooglePlus
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
LanziOffline
Post subject: Re: RE: neuer Artikel zur Installation eines verschl. System  PostPosted: 30.07.2013, 16:31



Joined: 12.09.2010
Posts: 1042

Status: Offline
in meinem Server stecken mehrere Platten, und wen ich diese einzeln ansteuer, dann erscheint es mir übersichtlicher. Als LVM wäre das doch dann eher ein Verbund, oder?
Wie gesagt LVM abe ich mich nie eingearbeitet.
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
bluelupoOffline
Post subject: Re: RE: neuer Artikel zur Installation eines verschl. System  PostPosted: 30.07.2013, 16:47
Moderator


Joined: 13.09.2010
Posts: 1055
Location: Südostbayern
Status: Offline
Hi Lanzi,
der LVM geht völlig transparent mit der Physik sprich Disks um. Du kannst alle Disks (PV's) in eine Volumegroup (VG) packen, das vom OS dann als ein Device erkannt wird. Diese VG enthält wiederum die logischen Container für das Dateisystem, die Logical Volumes (LV). Du kannst aber auch jede einzelne Disk in eine VG packen und sie quasi wie ein sd*-Device behandeln.

Bei einem Server würde ich immer den LVM einsetzen, da dieser zB. die Backupstrategie doch sehr erleichtert (Stichwort Snapshot). Ein weiterer Vorteil ist die eingebaute RAID1-Funktionalität (Spiegelung) des LVM. Von den Online-Größenänderungen der Dateisysteme ganz zu schweigen Wink

Ich habe eine langjährige Erfahrung mit dem LVM und kann nur positives berichten und habe ihn zu schätzen gelernt.

_________________
Ciao bluelupo
BlueLupo's Wiki
BlueLupo bei GooglePlus
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
cryptosteveOffline
Post subject: Re: RE: neuer Artikel zur Installation eines verschl. System  PostPosted: 30.07.2013, 20:02
Site Admin


Joined: 14.09.2010
Posts: 596

Status: Offline
      bluelupo wrote:
Aber wenn dann würde ich die Schlüsseldateien auf einen USB-Stick legen, auf das verschlüsselte Device die Keys zu legen macht für mich keinen Sinn (Zugriffsschutz).

Das verstehe ich nicht. Warum genau ergibt das keinen Sinn?

_________________
- born to create drama -
CS Virtual Travel Bug: VF6G5D
 
 View user's profile Send private message  
Reply with quote Back to top
bluelupoOffline
Post subject: Re: RE: neuer Artikel zur Installation eines verschl. System  PostPosted: 31.07.2013, 07:23
Moderator


Joined: 13.09.2010
Posts: 1055
Location: Südostbayern
Status: Offline
Hi Steve,
die Schlüsseldateien sollen einem doch die Passworteingabe ersparen, d.h. dann aber im Fall der Ablage auf der Festplatte dass das System an dieser Stelle automatisch hochfährt, da die Schlüsseldateien immer vor Ort liegen. Einen USB-Stick muss ich im Gegensatz dazu aktiv an's System anstecken. Verstehe ich da etwas falsch?

_________________
Ciao bluelupo
BlueLupo's Wiki
BlueLupo bei GooglePlus
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
aylaOffline
Post subject:   PostPosted: 31.07.2013, 09:12



Joined: 12.09.2010
Posts: 1041
Location: Südpfalz
Status: Offline
Hi,

ich verstehe nicht ganz welchen Sinn ein verschlüsseltes System macht wenn ich dann keinen Schlüssel brauche um das System hoch zu fahren?

Gruß
ayla (etwas verwirrt)

_________________
Kernel: 3.11-4.towo-siduction-amd64
aktuell gehaltenes siduction 12.1.1 Desperado Reloaded - kde
Intel Core i7-2600K CPU
Intel HD3000/Sandybridge Grafik
 
 View user's profile Send private message  
Reply with quote Back to top
cryptosteveOffline
Post subject: Re: RE: neuer Artikel zur Installation eines verschl. System  PostPosted: 31.07.2013, 11:23
Site Admin


Joined: 14.09.2010
Posts: 596

Status: Offline
      bluelupo wrote:
die Schlüsseldateien sollen einem doch die Passworteingabe ersparen, d.h. dann aber im Fall der Ablage auf der Festplatte dass das System an dieser Stelle automatisch hochfährt, da die Schlüsseldateien immer vor Ort liegen. Einen USB-Stick muss ich im Gegensatz dazu aktiv an's System anstecken. Verstehe ich da etwas falsch?

Ja, Du verstehst was falsch. /boot ist unverschlüsselt und lädt die initrd. Dann gibst Du das Passwort ein, um / aufzuschließen. Darauf liegen dann die Keys für alle weiteren Partitionen, sodass Du nur einmal ein Passwort eingeben musst, obwohl mehrere Partitionen einzeln verschlüsselt sind.

_________________
- born to create drama -
CS Virtual Travel Bug: VF6G5D
 
 View user's profile Send private message  
Reply with quote Back to top
SmonOffline
Post subject: Re: RE: neuer Artikel zur Installation eines verschl. System  PostPosted: 31.07.2013, 13:32



Joined: 03.10.2012
Posts: 78

Status: Offline
Wieso unter debian nicht /lib/cryptsetup/scripts/decrypt_derived nehmen?
 
 View user's profile Send private message  
Reply with quote Back to top
bluelupoOffline
Post subject: Re: RE: neuer Artikel zur Installation eines verschl. System  PostPosted: 31.07.2013, 15:09
Moderator


Joined: 13.09.2010
Posts: 1055
Location: Südostbayern
Status: Offline
Hi Steve,
ich meinte ich hätte schon im Netz gelesen (finde gerade den Link nicht), das man komplett ohne Passworteingabe nur mit dem physikalischen anstecken eines USB-Sticks, das die Keyfiles für ein oder mehrere verschlüseslte Dateisysteme enthält, das System hochfahren kann.

Im anderen Fall wenn ich den Stick nicht zur Hand habe aber nach den Passwort/Passwörtern gefragt werde. Das die Bootpartition unverschlüsselt sein muss ist mir schon klar.

_________________
Ciao bluelupo
BlueLupo's Wiki
BlueLupo bei GooglePlus
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
Display posts from previous:     
Jump to:  
All times are GMT - 11 Hours
Post new topic   Reply to topic
View previous topic Printable version Log in to check your private messages View next topic
Powered by Zafenio