Linux ein Verzeichniss verschlüsseln ???

towersysop

Bekanntes Mitglied
Folgende Idee verfolgt mich.
Ich möchte ein verzeichniss auf einem Linux e2x Filesystem verschlüsseln.

Als vorlage für diese Idee dient mir Drivecrypt oder Privat Disk Light aus der Windows Welt.
Die verschlüsselung sollte nach einem reboot nur händisch wieder zu öffnen gehen.( Auch für Root ) vielleicht per mount ??

Gibts da Lösungen oder Wege wie man das realisieren kann ??
 

Silverado

Bekanntes Mitglied
Hi!

Ich hänge mich mal an den Thread dran, weil er ganz gut zu meiner Frage passt.

Derzeit bin ich dabei, mir einen Linux-Server für das heimische Netz auf Mandrake 9.1-Basis zusammenzubasteln. Die vertraulichen Datenbestände sollen durch Verschlüsselung geschützt werden.

Bei der Installation habe ich deshalb eine 80 GB Partition "Linux Native" angelegt und den Haken bei "Partition verschlüsseln" gesetzt. Das gewählte Passwort ist imho recht sicher und auch schön lang.

Tatsächlich werde ich beim Booten jetzt auch nach dem Passwort zum Mounten der Partition gefragt. Scheint also geklappt zu haben.

Als noch ziemlich unwissender Linux-Newbie stelle ich mir nun die Frage, wie sicher die so eingerichtete Verschlüsselung eigentlich ist.

Ist das vergleichbar mit Containerproggies à la DriveCrypt?

Oder kommen Profis, die sich in den Besitz der Platte bringen können, doch mit vertretbarem Aufwand an die Inhalte der verschlüsselten Partition heran?

Wäre für ein bisschen Orientierungshilfe dankbar.

Grüße

Silverado
 

Swain

Bekanntes Mitglied
es ist denke ich sicherer...

aber ich würde die partition nicht beim booten einmounten... den

a) weiß dann jeder da is was
b) ist im laufenden Betrieb immer Zugriff möglich

ich würde eher so arbeiten, das ich die Partiton bei bedarf mounte und dann wieder unmounte...
 

mig

Bekanntes Mitglied
Dafuer habe ich mir dieses Script angelegt:

#!/bin/sh
modprobe loop_fish2
losetup -e twofish /dev/loop6 /dev/hdc1
mount -t reiserfs /dev/loop6 /mountpoint

Wenn das Modul loop_fish2 nicht geladen ist kommt eine schoene Fehlermeldung :D
Ach, die Eintrage in der /etc/fstab wuerde ich auch loeschen.


Halt
Nicht alle :D

gruss mig
 

Silverado

Bekanntes Mitglied
aber ich würde die partition nicht beim booten einmounten... den

a) weiß dann jeder da is was
b) ist im laufenden Betrieb immer Zugriff möglich
Hi!

Darauf kommts mir nicht so an, denn im Normalbetrieb ist der PC bei mir vor unbefugtem Zugriff schon ziemlich sicher.

Außerdem soll der Server laufen, ohne dass ein User lokal angemeldet ist. Ohne ein gültiges Systemkonto ist dann doch erst einmal nicht in das System reinzukommen, und wenn von einem Wechseldatenträger neu gebootet wird, um die Anmeldung zu umgehen, dann hat sich das Problem der gemounteten Partition doch wohl von selbst gelöst, oder sehe ich das zu optimistisch?

Grüße

Silverado
 

Swain

Bekanntes Mitglied
warum die leute auf die Idee bringen nach etwas zu suchen, wenn du auch dafür sorgen kannst das sie erst etwas davon erfahren, wenn sie deinen Rechner aufschrauben (oder neu booten) um zu schauen wieviele festplatten drin sind...
 

Silverado

Bekanntes Mitglied
warum die leute auf die Idee bringen nach etwas zu suchen, wenn du auch dafür sorgen kannst das sie erst etwas davon erfahren, wenn sie deinen Rechner aufschrauben (oder neu booten) um zu schauen wieviele festplatten drin sind...
Hi!

Verstehe ich nicht. Wenn jemand nur den Anmeldebildschirm sieht, woher soll der dann wissen, was in dem Rechner wie gemountet oder nicht gemounted sein soll?

Für das Mounten der Crypto-Partition spricht, dass ich auch die vertraulichen Daten nutzen und deshalb im Netzwerk ohne Umstände zur Verfügung haben möchte.

Grüße

Silverado
 

Swain

Bekanntes Mitglied
Silverado schrieb:
Verstehe ich nicht. Wenn jemand nur den Anmeldebildschirm sieht, woher soll der dann wissen, was in dem Rechner wie gemountet oder nicht gemounted sein soll?
naja power off und den rechner wieder hochfahren... dann kommt die password abfrage " Herr Silverado, sie wollen uns doch bestimmt das Passwort nennen... "

Wenn du das "händisch" nach dem wieder hochfahren machst hast du zwei vorteile:

1) Wenn mal Stromausfall war kommt der Rechner von ganz alleine ohne Unterbrechnung wieder hoch und es sind nur die Daten nicht erreichbar, aber alles andere schon.
2) ist niemandem klar der sich dein Netzwerk/Server oberflächlich anschaut, das da noch was ist...

Aber das sind nur die gedanken von jemandem, der wenn er ein Crypto File System einsetzen will, nicht jedem auf die Nase binden will, das da etwas ist.
 

Silverado

Bekanntes Mitglied
naja power off und den rechner wieder hochfahren... dann kommt die password abfrage " Herr Silverado, sie wollen uns doch bestimmt das Passwort nennen... "
"Nö." :fy

1) Wenn mal Stromausfall war kommt der Rechner von ganz alleine ohne Unterbrechnung wieder hoch und es sind nur die Daten nicht erreichbar, aber alles andere schon.
Ohne Passworteingabe gehts nach 10 Sekunden einfach weiter, ohne dass die Crypto-Partition gemounted wird.

2) ist niemandem klar der sich dein Netzwerk/Server oberflächlich anschaut, das da noch was ist...
Deine Formulierung mit dem "Herrn Silverado" lässt vermuten, dass Du an legale Wegnahmeszenarien denkst. Wie ich darüber bislang gelesen habe, wird in solchen Fällen erst einmal alles mitgenommen und dann später in Ruhe begutachtet. Dann dürfte auch einem Anfänger auffallen, dass da noch eine 80 GIG-Partition ist. Und so kommt die Frage nach dem Passwort schließlich doch noch.

Grüße

Silverado
 

mig

Bekanntes Mitglied
Silverado schrieb:
Deine Formulierung mit dem "Herrn Silverado" lässt vermuten, dass Du an legale Wegnahmeszenarien denkst. Wie ich darüber bislang gelesen habe, wird in solchen Fällen erst einmal alles mitgenommen und dann später in Ruhe begutachtet. Dann dürfte auch einem Anfänger auffallen, dass da noch eine 80 GIG-Partition ist. Und so kommt die Frage nach dem Passwort schließlich doch noch.
Eben nicht, da das Modul nicht im System eingebunden ist.

Och, die HD muss ich noch formatieren :D

gruss mig
 

Silverado

Bekanntes Mitglied
@ mig:

Aha... Danke für die Auskunft. Man kann also einer verschlüsselten Partition, die "einfach nur so da ist", gar nicht ansehen, dass es eine verschlüsselte Partition ist? Bei einem Disketten-Boot würde Partition Magic o.ä. also nicht sagen "Linux native (CFS)" oder so ähnlich, sondern einfach nur "ungenutzter Bereich"? Richtig?

Grüße
Silverado
 

mig

Bekanntes Mitglied
....es wuerde sagen:
Soll ich diese Partition wirklich formatieren, weil sie als unformatiert erscheint :D

gruss mig
 

Tyler Durden

Bekanntes Mitglied
Nabend zusammen !

Habe diesen alten Thread mal wieder ausgegraben, da ich gerade mein LVM am bauen bin und mir gedacht habe: Verschlüsselung des LVM's wäre ne feine Sache.
Hat jemand Erfahrung mit crypto-fs oder loop-aes in Verbindung mit LVM2?
Das Ganze läuft auf Sarge mit 2.6.12.
Kann man die LogicalVolumes trotz Verschlüsselung ohne Probleme vergrößern/verkleinern?
Grütze,

Tyler
 

Tyler Durden

Bekanntes Mitglied
Hai LumuMan!

Danke für den Tip. Nach etwas Bastelei läuft jetzt LVM2 mit DM-Crypt einwandfrei bei mir.
Super Sache...jetzt können die Grünen ruhig vor der Tür stehen ;-)
Schönes WE allerseits.

Tyler
 

kawabonga

Bekanntes Mitglied
Tyler: da ich gerade sowas ähnliches vorhabe, aber nicht so der Linux Spezialist bin. Was ist LVM? habe da bischen was ergoogelt, werde aber nicht wirklich schlau draus.

Habe ich Chancen sowas auf ner uralten Kiste brauchbar zum laufen zu bringen (P90 oder so), wenn daneben noch paar Dienste laufen?
 

Tyler Durden

Bekanntes Mitglied
Nabend kawabonga !

LVM steht für LogicalVolumeManager. Auf die Schnelle erklärt:
Du hast zum Bleistift drei Festplatten, auf denen jeweils unterschiedlich viel Speicherplatz zur Verfügung steht: Auf der einen 2 GB, auf der zweiten 5 GB und auf der dritten 3 GB. Jetzt hast du eine MP3-Sammlung von ca. 10 GB Größe. Wäre natürlich umkompfortabel, wenn du deine MP3s nun auf alle 3 Platten verteilen müsstest. Einfacher ist es, die Partitionen der einzelnen Platten zu einer 10 GB großen zusammenzufassen.
Die Partitionen (können auch ganze Platten sein) in dem Fall wären dann sog. Physical Volumes, der Verbund aller PV die VolumeGroup (10 GB). In dieser VolumeGroup können dann wieder LogischeVolumes (Partitionen) angelegt werden (z.B. 9 GB für MP3s, 1 GB Cover).
Diese LVs werden dann per DM-Crypt ver-/entschlüsselt.
Die Geschwindigkeit ist für das LVM nicht ausschlaggebend, für das Ver-/Entschlüsseln jedoch schon. Arbeite selbst noch nicht produktiv mit dem System, da ich noch keine Daten kopiert habe.
Kann daher zum Thema Performance noch nichts sagen.
Bei mir läuft das Ganze auf nem 600er Athlon mit 394 MB Ram.
Hoffe, geholfen zu haben.
Cruz,

Tyler

PS: HIER und HIER gibt's gute Infos.
 

kawabonga

Bekanntes Mitglied
Danke schonmal ....
LVM is dann eher nix dringendes bei mir. Hast du ne ahnung, wie ich unter Linux ne Platte verschlüsselt bekomme, ohne dass ich vorher die Platte leeren muss? Dass das Vorhaben etwas riskant ist, ist mir klar. Mit drivecrypt unter Win klappt das aber wunderbar.

offtopic:
Läuft der 600er passiv gekühlt?
 

thrilseeka

Bekanntes Mitglied
kawabonga schrieb:
Hast du ne ahnung, wie ich unter Linux ne Platte verschlüsselt bekomme, ohne dass ich vorher die Platte leeren muss?
das geht nicht.

wenn du keine möglichkeit hast, die daten der zu verschlüsselten partition zu sichern (auf andere linux-partition, dvd, windows-partition usw), dann wäre eventuell ein verschlüsselter container bzw ein verschlüsseltes verzeichnis etwas für dich.

cu
thril
 

kawabonga

Bekanntes Mitglied
thril: container wäre auch gut ... aber truecrypt gibts ja noch nicht für linux, oder? ... oder halt sowas ähnliches. Bin nich so der große Linux Kenner.
 

Gonzolo2k

Bekanntes Mitglied
@kawabonga @thrilseeka

Nachträgliches Verschlüsseln von Partitionen geht...hab ich selber gemacht. Das ist ja gerade das geile im Vergleich zu den Win-Crypt Müll. Man bootet mit ner Knoppix und gut is. Sollte mit allen loop crypt Variaten funzen. Ich benutz eh nur loop-AES, weil am performantesten. Näheres siehe http://forums.gentoo.org/viewtopic-t-31363-highlight-aes.html

Seit vorgestern gibt es auch truecrypt für Linux...allerdings ohne GUI, aber wir sind doch eh keine Mausschubser.

bye bye,
gonzolo2k
 

kawabonga

Bekanntes Mitglied
Danke für den Link, Gonzolo ... da erklärt ein knapp 14jähriger eben mal ne Sache, an der ich gedanklich schon seit 3 Monaten rummache :)

Truecrypt kann scheinbar aus irgendwelchen esoterischen Gründen keine belegten Partitionen verschlüsseln. Wobei man ja auch kein truecrypt mehr braucht, wenn man direkt loop-aes nimmt. Komisch ...
 
Oben Unten