Komplettes LVM verschlüsseln

BeNeDeLuX

BeNeDeLuX

LinuXuser
Hallo Zusammen,

ich hab hier schon im Forum gelesen und einige HowTos durch.
Allerdings trifft keines der genannte irgendwie auf mich zu bzw. auf mein vorhaben. Ich installieren gerade Debain Lenny auf meinem eeePC und möchte in diesem Durchgang auch gleich alles Verschlüssen.
Gegeben sind zwei Festplatten die im eee verbaut sind.

1.) 4GB
2.) 8GB

Ich habe von Hand folgende Partitionen / LVM
/boot auf sda (100Mb) ext3 unverschlüsselt
/lvol1 (LVM besteht aus sda1 3.9GB und sdb 8 GB) ext3

Jetzt würde ich gerne /lvol1 mit cryptsetup und LUKS Verschlüsseln und darin dann das Lenny installieren. Nur wie ?
Ich habe auch schon versucht während der Installation ein LVM mit Verschlüsselung anzulegen was der Installer ja auch anbietet aber dann immer nur halt für eine Platte entweder die 4GB oder die 8GB. Hier würde ich aber gerne auf das LVM mit ~11GB zugreifen. Kann diesem aber keinen Mountpoint zuordnen.

Bin schon soweit das ich das ganze lasse und dann TrueCrypt nutze.
Wobei ich es so einrichten möchte das ich einmal das Passwort beim Start eingeben soll und das war es. Es handelt sich nicht um extrem wichtige Daten aber dennoch habe ich den eee überall dabei und falls er mir abhanden kommt...

Über ratschläge bin ich dankbar.

Greez BeNe
 
Vor etwa einem Jahr habe ich das gleiche mal mit Debian (etch oder lenny, nicht mehr sicher) gemacht, also eine Partitio (/home) zu verschluesseln, und die Installationsprozedur hat mich recht direkt dorthin gebracht. Bietet sie das nun nicht mehr an? Hast Du Dir auch schon Seiten wie diese angeschaut? Wenn man 'debian lvm encrypted' bei google.com eingibt, bekommt man sehr viele Treffer, und eigentlich ist an Deinen Wuenschen nichts besonderes, so wie ich Deine Beschreibung verstehe.
 
die Installationsprozedur hat mich recht direkt dorthin gebracht. Bietet sie das nun nicht mehr an?
Das tut sie auch, leider kann ich dann nur entweder sda(4GB) oder sdb(8GB) aber nicht mein LVM mit ~11GB auswählen.

Danke für den Link ich schaue es mir mal an!
.
.
.
EDIT (autom. Beitragszusammenführung) :
.

Klar, jetzt gabe ich wieder das Problem.
Ich habe ja "/" unter dem LVM mit 11GB am laufen. Dann muss ich es erstmal über eine Live CD Boot. LVM2 + cryptsetup in der umgebung installieren das ich es überhaupt verschlüsseln kann ?! So geht es ja nicht weil es gemountet. Bin ja mal gespannt wie er dann davon booten kann :think: /boot ist zwar unverschlüsselt aber ob das so hinhaut ?

Greez BeNe
 
Zuletzt bearbeitet:
Wenn es sich um sehr sensible Daten handelt, solltest du dich nicht auf cryptsetup-luks verlassen. Der unterstützt als hash nämlich nur sha1 und das gilt inzwischen als unsicher!!! :devil:
Wenn es sich wirklich um Top-Secret Daten handelt dann solltest du dafür TrueCrypt nehmen!
 
Wenn es sich um sehr sensible Daten handelt, solltest du dich nicht auf cryptsetup-luks verlassen. Der unterstützt als hash nämlich nur sha1 und das gilt inzwischen als unsicher!!! :devil:

Dafür hast Du sicher eine vertrauenswürdige Quelle, oder?
 
Die Quelle würde mich auch interessieren... vor allem auf die Erklärung dieser Quelle wozu dann die Parameter '-c' und '-s' überhaupt gut sind, wenn doch nur sha1 geht, bin ich gespannt.
 
Die Quelle würde mich auch interessieren... vor allem auf die Erklärung dieser Quelle wozu dann die Parameter '-c' und '-s' überhaupt gut sind, wenn doch nur sha1 geht, bin ich gespannt.

Gut, dann fangen wir doch mal mit der man-page an.
Code:
man cryptsetup

NOTES ON PASSWORD PROCESSING FOR LUKS
LUKS uses PBKDF2 to protect against dictionary attacks (see RFC 2898). LUKS will always use SHA1 in HMAC mode, and no
other mode is supported at the moment. Hence, -h is ignored.

Dass SHA1 nicht unbedingt die beste Wahl ist, kann man unter anderem auf Wikipedia finden: Wikipedia

[...]Ob SHA-1 dieser Anforderung genügt, kann nicht sicher gesagt werden, da im Sommer 2006 eine wesentliche Schwäche dieses Algorithmus entdeckt und publik gemacht wurde. Grundsätzlich sollte SHA-1 daher nicht mehr in neuen Entwicklungen als sicherer Hash-Algorithmus vorgesehen werden.[...]

Hier stehen noch nähere Details über SHA-1: http://www.schneier.com/blog/archives/2005/02/cryptanalysis_o.html
 
Zuletzt bearbeitet:
SHA1 wird von LUKS nur zum Ableiten des Schlüssels verwendet, was mit der auf Wikipedia berichteten Schwäche nur bedingt zu tun hat.
 
Zurück
Oben