Kryptofilesystem

UniX

UniX

Doppel-As
Hallo Zusammen!

Ich will meine Daten vor Zugriffen schützen und das geht normalerweise ja doch am besten wenn man diese mit Crypt verschlüsselt oder liege ich da falsch? Ich will ein Dateisystem das komplett verschlüsselt ist. Ich habe schon gegoogelt und bin auf das CFS gestossen.
Bevor ich da groß herumprobiere hab ich mir gedacht - frag doch einmal im forum nach. Meine Fragen:
Habt ihr schon erfahrung mit Kryptofilesystems?
Welches ist am sichersten - bzw eins der sichersten?
Wie kann ich das realisieren?
Kennst ihr vieleicht ein paar Links?
Wie ist eure Meinung zu diesem Thema?

Gruß UniX
 
ich habe ein paar gute Erfahrungen mit loopaes gemacht! Aber ich weiß nicht wie sicher das ist. Bei www.prolinux.de gibt es einen guten Artikel dazu.

Steve
 
Also ich finde nen verschl. Dateisystem zwar gut, allerding schluckt das doch noch sehr viel Performance oder ?
 
Also ich habe keine großen Unterschiede gemerkt. Allerdings habe auch nur mein /home verschlüsselt, wo ich nicht so viel lese schreibe. Ich habe mal Benchmarks gesehen irgendwo auf linuxforen.de
 
Hi,

zufällig hat gestern einer meiner Freunde mir dies Geschickt, er probiert gerde Unimäßig ein wenig mit Kryptosystemen rum und da hat er mir ein kleines Tutorial geschrieben.

Hi *******!

Hier ist eine kurze Anleitung wie Du ein Cryptolaufwerk unter Linux erstllen kannst.

Patch für das Loopback-Device:
"ftp://www.kernel.org/pub/linux/kernel/people/hvr/testing/loop-jari-2.4.20.0.patch"
International Kernel Patch:
"ftp://www.kernel.org/pub/linux/kernel/people/hvr/testing/patch-int-2.4.20.1.bz2"
Diese beiden Dateien muß Du dir entsprechend deiner Kernelversion runterziehen. Falls Du den 2.4.20 benutzt, kannst Du die obigen Links direkt nehmen. Zu den beiden Dateien gibt es noch eine Signaturdatei. Der Dateiname dafür ist jeweils *.sign. Die solltest du UNBEDINGT!!! auch mit runterladen.

util-linux Source (mount, losetup, etc.)
"ftp://ftp.kernel.org/pub/linux/utils/util-linux/util-linux-2.11r.tar.bz2"
util-linux Patch:
"ftp://ftp.kernel.org/pub/linux/kernel/people/hvr/util-linux-patch-int/util-linux-2.11r.patch.bz2"
Auch bei diesen beiden Dateien wieder die Signaturen mit runterladen.

Den Patch für das Loopbackdevice und den Kernelpatch kopierts Du nach "/usr/src/linux".
Danach mußt Du ins Verzeichnis /usr/src/linux wechseln. Die Patches kannst Du nun mit
"cat loop-jari-2.4.20.0.patch|patch -p1"
und
"bzcat patch-int-2.4.20.1.bz2|patch -p1"
einspielen. Sollte eigentlich ohne Fehler funktionieren.
Jetzt kannst Du den Kernel mit "make menuconfig" neu konfigurieren.
Die erste Option die unbedingt angestellt werden muße ist "Loopback device support" unter "Block devices".
Danach geht es im Menupunkt "Cryptography support (CryptoAPI)" weiter.
Hier brauchst Du "CryptoAPI support", "Crypto Ciphers", "Crypto Devices", "Loop Crypto support" und die Cryptoalgorithmen die die benutzen möchtest. Meine Empfehlung ist hier AES. Kannst aber auch alle anderen zusätzlich installieren. Am besten ist es, wenn Du alle Kerneloptionen die ich hier aufgezählt habe fest in den Kernel kompilierst (Ist bei den heutigen Ram-größen eh nicht mehr so relevant). Hast dann hinterher nicht den ganzen Ärger mit dem laden der entsprechenden Module. Jetzt Kernel übersetzen, installieren und neu starten .
Nun fehlen noch die Updates für mount und losetup. Einfach ins Verzeichnis wechseln in dem sich die Datei util-linux-2.11r.tar.bz2 befindet. Die mit "tar -jxf util-linux-2.11r.tar.bz2" entpacken und die Datei "util-linux-2.11r.patch.bz2" in das Verzeichnis "util-linux-2.11r" kopieren. Danach in das Verzeichnis wechseln und den Krempel mit
"bzcat util-linux-2.11r.patch.bz2|patch -p1" patchen.
Nun kannst Du mit "make" und "make install" die Befehle neu übersetzen und installieren lassen.

So weit, so gut.
Damit unterstützt dein System nun Cryptolaufwerke.

Nun brauchst Du erst mal Speicherplatz (am besten eine eigene Partition). Mit losetup kannst Du nun eins der loop-Devices initialisiern. Hier wird auch gleich nach dem Passwort gefragt.
"losetup -e aes -k 128 /dev/hda? /dev/loop0"
für /dev/hda? mußt Du die entsprechende Partition angeben auf der Du das Cryptolaufwerk installieren möchtest. Danach mußt Du auf der Partition ein Dateisystem anlegen. Wichtig ist dabei das du NICHT auf /dev/hda? zugreifst sondern auf /dev/loop0!!!
"mkfs.ext3 /dev/loop0" oder "mkfs.ext2 /dev/loop0" oder was für ein Dateisystem auch immer.
Nun kannst Du das loopdevice wieder mit "losetup -d /dev/loop0" freigeben.
Um das Laufwerk zu mounten mußt Du
"mount /dev/hda? /mnt/crypto -o encryption=aes,keybits=128"
eingeben.
Das ganze kann man auch noch schön in der "/etc/fstab" einbinden damit man (jeder user) ganz bequem per "mount /mnt/crypto" das Laufwerk mounten kann.

Die Zeile sieht dan fogendermaßen aus:
"/dev/hda? /mnt/crypto ext3 noauto,users,encryption=aes,keybits=128"
/dev/hda? mußt Du natürlich noch anpassen und auch das richtige Dateisystem angeben.

Solltest Du beim mounten das falsche Passwort eingeben so wird dir der mount-Befehl als Fehlermeldung Falscher Dateisystemtyp zurückliefern.

Zum Passwort:
Es sollte auf keine Fall aus irgendwelchen Wörtern zusammengesetzt sein. Am besten zufällig aus Buchstaben, Sonderzeichen und Zahlen. Da für Keybits 128 bit gewählt wurden solltest Du das auch ausnutzen. Wenn du das alles nicht beachtest, macht das Cryptolaufwerk nicht so viel Sinn. D.h. ein Passwort mit einer Länge von 16 ist schon angebracht.

So nun viel Spaß,
******
 
für loopaes braucht man den Kernel nicht patchen, man kann wenn man den loop-Support als MOdul hat auch einfach dieses ersetzen, ich finde dieses ist angehnemer. Außerdem brauch man für loopaes auch nicht den "patch-int-2.4.20.1.bz2" wenn ich das richtig sehe. Kann mich aber auch irren.


Steve
 
Habe ebenfalls mit loopaes gute Erfahrungen gemacht. Zudem hat Knoppix das benötigte Modul + gepatchte utils und man kommt so jederzeit an seine verschlüsselten Partitionen ran.
Einfach HAARGENAU die Anweisungen in der Readme.txt des loopaes-Paketes befolgen. Selbst ein root-verschlüsseltes fs ist ziemlich leicht zu bewerkstelligen.
 
Auf thc.org gibt's n nettes paper namens "anonymous unix systems".
Das behandelt u.A. wie man CFS (ja, etwas aelter, aber dafuer kompatibel :) einrichtet

BTW: Bei SuSE kann man sich während der Installation sowohl Crypto-Container als auch Crypto-Dateisysteme mit diversen Algorithemn (darunter auch TwoFish) zusammenklicken.
 

Ähnliche Themen

Festplatte auf SD Karte umziehen

Squid als RPCoHTTPS Proxy für Outlook Anywhere

Aufgabe Ausbildung DMZ

Server's Power

Linux MCE (Media Center Edition)

Zurück
Oben