PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : HDD verschlüsseln



brownie
31.08.2006, 15:04
Hallo,

ich habe mir SuSE 10.1 installiert und habe bei der Installation mein Homeverzeichnis (hda3) mit ReiserFS formatiert inkl. Verschlüsselung.
Jetzt muss ich bei jedem Systemstart das Kennwort eingeben, damit SuSE die Partition hda3 mounten kann.
Ich nehme an es gibt keine Möglichkeit das Passwort automatisch zu übergeben?
Wäre es besser gewesen eine zusätzliche Partition zu verschlüsseln an stelle des Homeverzeichnis oder hätte dies den gleichen Effekt gehabt?
Wie verschlüsselt ihr eure Platten. Macht es Sinn die ganze Platte einschließlich System und Swap zu verschlüsseln?
Gibt es eine Möglichkeit die Verschlüsselung zu deaktivieren ohne den User zu löschen und die Part hda3 normal zu formatieren?
Viele Fragen... danke für die Antworten.
MfG
brownie

name
31.08.2006, 15:45
Swap zu verschlüsseln?Das ist imho schlecht weil das den swap ja verlangsamt, und ja nix verschluesselungswuerdiges geswapt wird

hoernchen
31.08.2006, 15:53
Das ist imho schlecht weil das den swap ja verlangsamt, und ja nix verschluesselungswuerdiges geswapt wird

kommt darauf an, wieviel unfug man stiften kann... auch mit temporaeren sachen kann man tolle dinge machen.

weniger sinnvoll ist es allerdings, die hd's zu verschluesseln und dann automatisch das paßwort mitgeben zu wollen.

theton
31.08.2006, 16:01
Tja, wer Sicherheit will, muss Komfort-Nachteile einfach mal hinnehmen. Eine verschluesselte Partition, der beim Booten gleich das Passwort mitgegeben wird, ist naemlich total fuer den A...
Verschluesselung soll ja vor dem physischen Zugriff auf kritische Daten schuetzen und wenn die Entschluesselung beim Booten automatisiert wuerde, waeren deine Daten absolut schutzlos.
Alternative: Mache dir eine Partition, die du nicht automatisch mounten laesst und bei der du normalen Usern keine Mount-Rechte gibst. Auf dieser legst du dann einfach deine sensiblen Daten ab, die damit doppelt gesichert sind. 1. man braucht dein Root-Passwort um sie ueberhaupt zu mounten und 2. muss man dann auch noch das Passwort zum Entschluesseln wissen. Ausserdem musst du dann das Passwort nicht bei jedem Bootvorgang eingeben, sondern nur dann, wenn du wirklich mit den Daten auf der Partition arbeiten willst.

brownie
01.09.2006, 10:07
danke für die Antworten.
Hatte gedacht das es so ähnlich wie mit der NTFS Verschlüsselung unter Windwos XP klappt. Deswegen Kennwort übergeben bei der Useranmeldung.
Werde mir dann wohl ne extra Prat. verschlüsseln.

chb
01.09.2006, 10:10
Ich würd mir mal http://luks.endorphin.org/ anschauen.

Nemesis
01.09.2006, 10:33
... Kennwort übergeben bei der Useranmeldung ...
es geht so ähnlich, wenn du nicht jedesmal beim einhängen ads passwort eingeben willst, dann kannst du das auch mit einem file als schlüssel machen.
siehe link (http://home.pages.at/linuxisland/l_crypt.html)

OnkelchenTobi
01.09.2006, 10:35
Das gesamte System / zu verschlüsseln ist Schwachsinn, da du hier einen enormen Geschwindigkeitsverlußt wegen der Verschlüsselung hast. ( 30% oder mehr sind ganz normal ) !

Eine Partition zu verschlüsseln mit einer PW Eingabe beim Booten ist sehr nervig.
Bessere Lösung wäre hier die Verwendung eines Key-Files.

Beste Lösung ( meiner Meinung nach ) ist die Verwendung einer Containerdatei mit 4,7GB Grösse, das man diese dann auch gleich auf DVD brennen kann. ( Backup )
Diese Containerdatei kann im System so eingerichtet werden, das sie nicht unbedingt beim Systemstart eingebunden wird. Wieso auch, vl. will ich ja nur mal schnell meine eMails abrufen und dazu brauche ich ja nicht meine verschlüsselte Partition.

MagiC_Creator
02.09.2006, 02:22
Also ich empfinde es nicht als nervig, beim Booten ein Passwort für die Entschlüsselung angeben zu müssen. So oft bootet man sein System ja nicht. Ich habe meine komplette /home Partition verschlüsselt, ist von der Performance her eg. nicht zu spüren (subjektiv! Es gibt bestimmt eine Verschlechterung auf dem Gebiet, ich spüre sie nur nicht, vll werde ich einfach alt ;)). Finde diese Lösung auf jeden Fall angenehmer, als wenn ich nur einen verschlüsselten Container hätte. Wie schon gesagt, es dient dazu "sensible" Daten vor den Augen andrer zu schützen, und wenn ich meine ganze Home-Partition verschlüssle schütze ich somit alles was ich hier so mache :) [Frage hierzu: inwiefern wäre es sinnvoll, auch /tmp zu verschlüsseln?].

EDIT: Natürlich schützt das ganze nicht mehr, sobald das System einmal gebootet ist und man den Rechner ungeschützt rumstehen lässt, und auch vor Angriffen "von außen" (ssh-Zugriff) schützt eine Verschlüsselung der HDD nicht, da zu diesem Zeitpunkt dank eingegebenem Passwort auf die Daten zugegriffen werden kann!

Bye,

name
02.09.2006, 06:54
http://de.gentoo-wiki.com/DM-Crypt < nen schoenes tut zum thema

OnkelchenTobi
02.09.2006, 10:29
Wenn du es richtig machen willst, solltest du nicht nur /tmp sonder auch noch deine swap verschlüsseln.

Zum Performance-Nachteil habe ich hier zwei Link falls es jemanden interessiert.

http://www.schneier.com/paper-aes-comparison.pdf
http://www.saout.de/tikiwiki/tiki-index.php?page=UserPageChonhulio

6b616e
06.11.2006, 11:21
Macht es Sinn die ganze Platte einschließlich System und Swap zu verschlüsseln?

Korrigiert mich aber: ist das nicht irgendwie - ähm - unmöglich???


inwiefern wäre es sinnvoll, auch /tmp zu verschlüsseln?


Sehr sinnvoll! Nehmen wir mal an du ziehst dir das neuste album von tokio hotel. irgendwann stehen die bu.. lieben polizisten vor der tür und packen sich deinen rechner (du hast das vol unmounted). ein kurzer blick ins tmp - scheisse! genauso auch browsercache, usw. noch wichtiger ist aber swap! da kann praktisch ALLES sein.

das hört sich vielleicht an, als wär's bei mir an der tagesordnung dass vater staat an die tür klopft. aber ich hab mich früher nur manchmal auf "so seiten" rumgetrieben und das nur aufgeschnappt. es müssen keine bullen sein, jeder könnte auf diese weise an die daten kommen!