Linux 15.036 Themen, 107.107 Beiträge

Gentoo Linux mit Festplattenverschlüsselung

Acader / 33 Antworten / Baumansicht Nickles

Eine sehr interessante Dokumentation über die Festplattenverschlüsselung unter der Distribution "Gentoo Linux" geschrieben von Dennis Schneck und veröffentlicht in "pro-linux".

Gentoo Linux mit Festplattenverschlüsselung

Was meint ihr: Ist es wirklich so sinnvoll unter großen Aufwand seine Festplatten zu verschlüsseln.
Verschlüsselt ihr die Festplatten auch unter Eueren installierten Linux Distributionen ?


MFG Acader

bei Antwort benachrichtigen
KarstenW Acader „Gentoo Linux mit Festplattenverschlüsselung“
Optionen

Nein, mache ich nicht. Ich lagere das Verzeichnis /usr auf eine eigene Partition aus und mounte /usr read only.

Mir ist das Risiko zu groß das durch Programmierfehler die verschlüsselten Daten nicht mehr lesbar sind.

Debian GNU/Linux https://www.debian.org/index.de.html
bei Antwort benachrichtigen
Acader KarstenW „Nein, mache ich nicht. Ich lagere das Verzeichnis /usr auf eine eigene Partition...“
Optionen

>Mir ist das Risiko zu groß das durch Programmierfehler die verschlüsselten Daten nicht mehr lesbar sind.
Ehrlich gesagt Karsten, so sehe ich das auch.
Was die Verschlüsselung unter Gentoo betrifft, da wäre mir auch der Aufwand viel zu hoch. Vielleicht noch ein kleiner Fehler mit eingebaut welchen man nicht gleich bemerkt und alles ist zu spät.

Gruß Acader

bei Antwort benachrichtigen
KarstenW Acader „ Mir ist das Risiko zu groß das durch Programmierfehler die verschlüsselten...“
Optionen

Ich würde mal sagen das es in der Industrie schon Sinn macht. Die meisten Netzwerke sind von außen sehr gut über Firewalls abgesichert . Aber wenn ein Hacker diese Grenze erstmal durchbrochen hat und im Innern eines Firmennetzwerkes ist, dann ist es wahrscheinlich sehr leicht an geheime Daten zu kommen.
gentoo ist nur ein Freiwilligenprojekt. Ich würde Verschlüsselungstechniken eher von einer richtigen Firma nutzen, wo die Programmierer hauptberuflich tätig sind.




Debian GNU/Linux https://www.debian.org/index.de.html
bei Antwort benachrichtigen
Acader KarstenW „Ich würde mal sagen das es in der Industrie schon Sinn macht. Die meisten...“
Optionen

>gentoo ist nur ein Freiwilligenprojekt
Das ist sicherlich richtig, doch Viele welche sich mit Gentoo intensiv beschäftigen, sind u.A.auch Programmierer und arbeiten hauptberuflich auch in Firmen. so daß man sagen kann das diese Leute auch von der Sache etwas verstehen.

Gruß Acader

bei Antwort benachrichtigen
KarstenW Acader „ gentoo ist nur ein Freiwilligenprojekt Das ist sicherlich richtig, doch Viele...“
Optionen

Das Teuere an so einem kostenlosen System ist wenn es nicht funktioniert. Die Softwaretest und die Fehlersuche machen bestimmt schon 50 % der Arbeitszeit aus.
Bei einer richtigen Softwarefirma arbeiten mehr Programmierer hauptberuflich an ihren Projekten. Das kann so ein Freiwilligen Projekt gar nicht leisten.
Von was sollen die Programmierer bezahlt werden ?
Die müssen auch ihre Miete und ihr Essen bezahlen.




Debian GNU/Linux https://www.debian.org/index.de.html
bei Antwort benachrichtigen
violetta7388 KarstenW „Das Teuere an so einem kostenlosen System ist wenn es nicht funktioniert. Die...“
Optionen

Hallo,

warum sollten die Festplatten überhaupt noch verschlüsselt werden?

Subunternehmen machen es doch auch nicht und legen so alle mühsam verschlüsselten Daten gleich wieder offen ins Netz.

Zu wichtigen Daten sollte es besser überhaupt keinen Netzzugang geben und dann hat sich das Thema Verschlüsselung von allein erledigt.

MfG.
violetta

bei Antwort benachrichtigen
Borlander violetta7388 „Hallo, warum sollten die Festplatten überhaupt noch verschlüsselt werden?...“
Optionen

Man sollte schon gut überlegen ob man Schützenswerte Daten aus der Hand gibt.

Und wie bereits geschrieben: Bei Notebooks ist Verschlüsselung definitiv sinnvoll.


Gruß
Borlander

bei Antwort benachrichtigen
Borlander KarstenW „Ich würde mal sagen das es in der Industrie schon Sinn macht. Die meisten...“
Optionen

Sorry, aber Du schreibst Unsinn.

Festplattenverschlüsselung schützt in keinster Weise gegen Zugriffe aus dem Netzwerk! Verschlüsselung ist vor allem dort sinnvoll, wo Datenträger oder ganze Systeme abhanden kommen könnten - also insbesondere bei Notebooks, USB-Sticks und externen Platten die mobil eingesetzt werden.

Und kommerzielle Proprietäre Verschlüsselungssoftware einzusetzen meinst Du doch hoffentlich nicht erst?

dmcrypt/LUKS ist AFAIR auch kein Gentoo-spezifisches Projekt...

bei Antwort benachrichtigen
Borlander KarstenW „Nein, mache ich nicht. Ich lagere das Verzeichnis /usr auf eine eigene Partition...“
Optionen
Mir ist das Risiko zu groß das durch Programmierfehler die verschlüsselten Daten nicht mehr lesbar sind.
Die Technik ist seit Jahren im Praxiseinsatz bewährt. Andere Risiken sind deutlich höher!
Abgesehen davon: Backup macht man sowieso...
bei Antwort benachrichtigen
Borlander Acader „Gentoo Linux mit Festplattenverschlüsselung“
Optionen

Also ich auf meinem Notebook dmcrypt/LUKs (das ist das was cryptsetup einrichtet) zusammen mit transparenter Entschlüsselung beim Login per PAM. So wie ich das sehe scheinen der größte Teil der Anleitung gentoo-spezifische Eigenheiten zu enthalten.

Die meiste Zeit ging dafür drauf eine gescheite Verschlüsselungslösung zu finden und ein zu lesen. Mehraufwand ist bei mir noch dadurch entstanden, daß ich die Verschlüsselung nachträglich eingerichtet hatte...

Beim nächsten Einrichten eines Notebooks werde ich sicher gleich von Anfang an auf Verschlüsselung setzen, und dann auch die Systempartition mit einschließen. Hätte vorher nie gedacht, daß das so einfach und problemlos funktioniert. Einmal eingerichtet läufts und vom Komfort her kein Nachteil gegenüber früher.


Gruß
Borlander

bei Antwort benachrichtigen
Xdata Borlander „Also ich auf meinem Notebook dmcrypt/LUKs das ist das was cryptsetup einrichtet...“
Optionen

Wer Verschlüsselt wird irgendwann Daten verlieren.


Zumindest wenn Murphys Gesetz eintritt.
Festplattenverschlüsselungen, Dateisystemverschüsselungen,...

Dagegen kommt mir selbst verschlüsseln von Daten auf dem Laptop sympathischer vor. Im Falle eines Fehlers gilt wohl auch da: Aus die Maus.


Es gibt schon Erpresserviren die auf den verschlüsselungs Zug aufgesprungen sind.

Selbst im Bios ist man davor nicht sicher.

Ich kann das Zeugs nicht leiden!

bei Antwort benachrichtigen
Borlander Xdata „Wer Verschlüsselt wird irgendwann Daten verlieren. Zumindest wenn Murphys...“
Optionen

Daten verlieren die die kein Backup machen...

bei Antwort benachrichtigen
ChrE Borlander „Daten verlieren die die kein Backup machen...“
Optionen

Hallo!

Genau.

Die Wahrscheinlichkeit, dass man in diesem Falle Opfer eines
Softwarefehlers der Verschlüsselungssoftware wird, ist sehr, sehr gering.

Wurde hier eigentlich schon TrueCrypt erwähnt? Denn: Wer hat schon Linux?
Truecrypt kann die Betriebsystempartition auch komplett verschlüsseln.

http://de.wikipedia.org/wiki/TrueCrypt

Gruss

ChrE

bei Antwort benachrichtigen
Borlander ChrE „Hallo! Genau. Die Wahrscheinlichkeit, dass man in diesem Falle Opfer eines...“
Optionen
Wurde hier eigentlich schon TrueCrypt erwähnt?
Nein. Aber ich halte das Konzept von dmcrypt auch schöner. Zumal deutlich besser in Linux integriert.

Denn: Wer hat schon Linux?
Hier auf dem Linux-Brett benutzt das sicher keiner :-P

Truecrypt kann die Betriebsystempartition auch komplett verschlüsseln.
Ist mit der vorgestellten Möglichkeit ebenfalls möglich. Einzig /boot muß unverschlüsselt bleiben. Das wird bei TrueCrypt aber sicher auch nicht anders sein...


Gruß
Borlander
bei Antwort benachrichtigen
Acader ChrE „Hallo! Genau. Die Wahrscheinlichkeit, dass man in diesem Falle Opfer eines...“
Optionen

Hallo ChrE !

>Wurde hier eigentlich schon TrueCrypt erwähnt?
TrueCrypt ist für Linux Distributionen doch eher ungewöhnlich.

>Wer hat schon Linux?
Habe mal was von ca.14% der Anwender weltweit gelesen, weiß es aber nicht ganz genau. Was ich allerdings weiß: Es werden immer mehr User welche dieses hervorragende Betriebssystem nutzen.

Gruß Acader

bei Antwort benachrichtigen
Synthetic_codes Acader „Hallo ChrE ! Wurde hier eigentlich schon TrueCrypt erwähnt? TrueCrypt ist für...“
Optionen

Die Frage die ich mir beim durchlesen des threads immer mehr stelle, welchen sinn soll es haben die Systempartition zu verschlüsseln? Alles was da drauf ist sollte offen zugänglich sein. Imho reicht es, insbesondere bei notebooks wegen Akkulaufzeit, wenn man /home, die Swap-bereiche und evtl /etc verschlüsselt. Eben alles wo daten hinkommen, die nicht schon mit dem system geliefert werden.

Zum Thema kommerzielle verschlüsselungssoftware... Sofern es sich nicht um ein quelloffenes Produkt(zumindest in bezug auf die verwendeten Algorithmen) handelt würde ich vom einsatz eines kommerziellen produktes generell absehen. Hier hat man einfach das problem, dass schwachstellen in der software eventuell schon seit ewigkeiten ausgenutzt werden, und es einfach nur noch keiner entdeckt hat. Grundsatz der Kryptographie ist laut Adi Shamir(einer der Erfinder des asymmetrischen RSA verfahrens) dass nur ein offenes system sicher sein kann, security by obscurity ist keine lösung. Abgesehen davon garantieren kommerzielle hersteller in der regel ausdrücklich NICHT für die integrität der verschlüsselten daten. das steht dann eben im kleingedruckten. Da verwende ich lieber eine offene lösung, bei der probleme schnell bekannt und in windeseile behoben sind...

Derzeit ist bei mir TrueCrypt für ca 14.7TB Daten zuständig, und ich kann mich bezüglich Stabilität und sicherheit nicht beklagen, wenn man von inkompatibilitäten unter windows in verbindung mit EXT3 Dateisystemtreibern absieht.

Aber wer benutzt denn heute noch windows?

'); DROP TABLE users;--
bei Antwort benachrichtigen
Xdata Synthetic_codes „Die Frage die ich mir beim durchlesen des threads immer mehr stelle, welchen...“
Optionen

Bei all meinen Vorurteilen zur Verschlüsselung,
von TrueCrypt hab ich bisher nichts negatives gehört.

Da Linux sehr vieles mounten kann gibt es viellecht eine Methode es auch da zu verwenden.
Ein Quelloffenes System wär auch da besser.


Und zum Thema -- wer hat schon Linux?

Muß ich sagen, es werden immer mehr.
Nichtmal allein wegen der Aktivierungs-geschichte von Windows.
Auch weil in Windows es anscheinend dem User schwer gemacht wird, anstatt den Viren.

Allzuleicht scheinen Schädlinge Systemrecht zu erlangen,
auch wenn der User selbst nur eingeschränkte Rechte hat.

bei Antwort benachrichtigen
Acader Synthetic_codes „Die Frage die ich mir beim durchlesen des threads immer mehr stelle, welchen...“
Optionen

>Derzeit ist bei mir TrueCrypt für ca 14.7TB Daten zuständig, und ich kann mich bezüglich Stabilität und sicherheit nicht beklagen
Hallo Synthetic_codes ich lese 14,7 TB Daten, richtig ?
Eine ganze Menge immerhin.

>welchen sinn soll es haben die Systempartition zu verschlüsseln?
Ich denke damit bei Verlust auf ein Notebook z.B. gar nicht erst jemand in das System gelangt. Es könnte ja sein man bekommt das Notebook irgendwie mal wieder und dann wäre kein Schaden entstanden.
Von den Daten selbst hat man ja ohnehin ein Backup gemacht.

>insbesondere bei notebooks wegen Akkulaufzeit, wenn man /home, die Swap-bereiche und evtl /etc verschlüsselt
Verstehe nicht wie du das meinst mit der Akkulaufzeit.
Mein Akku im Netbook hält ca 5 bis 6 Stunden (6 Zellen). Würde sich den bei einer Festplattenverschlüsselung die Akkulaufzeit erheblich verringern ? Das würde ja auch bedeuten das dieses ganze System dann erheblich langsamer läuft.

MFG Acader



bei Antwort benachrichtigen
Synthetic_codes Acader „ Derzeit ist bei mir TrueCrypt für ca 14.7TB Daten zuständig, und ich kann...“
Optionen

Hi Acader

mit 14.7 TB hast du vollkommen richtig gelesen. Ich gehöre zu den wenigen, die den S-ATA Ausbau so weit wie nur möglich vorangetrieben haben. Das umfasst 2 Onboard Controller mit insgesamt 8 Ports sowie 2 per PCI angebundene 4-Port Controller.

Ich denke damit bei Verlust auf ein Notebook z.B. gar nicht erst jemand in das System gelangt. Es könnte ja sein man bekommt das Notebook irgendwie mal wieder und dann wäre kein Schaden entstanden.
Von den Daten selbst hat man ja ohnehin ein Backup gemacht.


hier sehe ich es so: Wenn man sich an die Strukturen des Linux-systems hält, so ist auf der system-partition lediglich zeug, das zum system selbst gehört. das darf ein angreifer gerne haben. Schliesslich wirst du ja hoffentlich den Schlüssel separat vom Gerät aufbewahren(dazu weiter unten mehr). Wenn du /etc /home den Swap-bereich und andere DAtenverzeichnisse (zb /var/www) verschlüsselst, kann ein angreifer mit dem System allein nicht viel anfangen. versucht er das system ohne key zu starten, wird ihm ein jungfräuliches linux entgegenspringen, er wird (ohne /etc) noch nichtmal einen login zustande kriegen. Baut er die Festplatte aus um sie an einem anderen rechner auszulesen, wird er auch nicht an sensible daten gelangen, da die ja verschlüsselt sind.

Verstehe nicht wie du das meinst mit der Akkulaufzeit.
Mein Akku im Netbook hält ca 5 bis 6 Stunden (6 Zellen). Würde sich den bei einer Festplattenverschlüsselung die Akkulaufzeit erheblich verringern ? Das würde ja auch bedeuten das dieses ganze System dann erheblich langsamer läuft.


Nuja, die Verschlüsselung benötigt auch eine gewisse rechenkapazität. Ich erinnere mich an einen bericht aus dem Jahr 2006 in der C´T, in dem eine Systemverschlüsselung für linux auf herz und nieren geprüft wurde, und damals wurde von 10-20% grundlast durch die Verschlüsselung gesprochen. wenn der Prozzi recht konstant auf dieser Last gehalten wird, verbraucht er natürlich immanent mehr energie, was auf den akku auswirkungen hat. Jetzt kommt das grosse ABER: mittlerweile ist die rechenleistung bei notebooks so massiv gestiegen, zwei-kerner sind mittlerweile eigentlich standart, von 10-20% auslastung durch verschlüsselung ist schon lange nicht mehr auszugehen. wahrscheinlich erledigt ein moderner C2D mobile das ganze in seinen IDLE pausen^^. Dennoch kann ich dazu nicht unbedingt viel sagen, auf jeden fall sollte klar sein, dass Crypto-routinen rechenzeit benötigen, und davon je nach algorithmus recht viel.

Nun zum Thema Schlüsselaufbewahrung... Das ganze thema hat wenig sinn, wenn man sich ein keyfile anlegt, dieses Keyfile auf der platte sichert(zb in /boot) und es dann beim starten automatisch lädt. Ich habe das an meinem notebook so gelöst: Mein Keyfile sowie meine /boot Partition sind auf meinem UMTS Modem(Huawei E510) in der Flashpartition gespeichert. Das modem wird immer separat (am schlüsselbund) mitgeführt. Klaut sich ein fiesling meinen rucksack nebst schleppi, so wird er es ohne den huawei nicht starten können. Sinn macht das ganze natürlich nur, wenn man zusätzlich zum Keyfile noch ein passwort setzt(das dann immerhin mit 12 Stellen genügen sollte^^)

Als Passwort dient bei mir dann mein Original Windows 95 Key, den hat ausser mir niemand gesehen, und existieren tut er auch schon lange nicht mehr ausser eben noch in meinen gedanken

'); DROP TABLE users;--
bei Antwort benachrichtigen
Acader Synthetic_codes „Hi Acader mit 14.7 TB hast du vollkommen richtig gelesen. Ich gehöre zu den...“
Optionen

Hallo Synthetic_codes, ich danke dir für deine ausführlichen Informationen.
Klar, bei der heutigen Rechenleistung der "Geräte" ist das vielleicht ohne Belang wenn man mit Festplattenverschlüsselung arbeitet.

>Nun zum Thema Schlüsselaufbewahrung...........
Sehr interessant wie du das geschrieben hast bzw. praktizierst.
Vielleicht werde ich das auch mal so ausprobieren.
Bisher hatte ich noch nie eine Festplatte verschlüsselt.
Aber je mehr ich darüber nachdenke, sollte ich das auf meinen Notebook wohl doch lieber tun. Man kann ja nie wissen....

Gruß Acader

bei Antwort benachrichtigen
Synthetic_codes Acader „Hallo Synthetic_codes, ich danke dir für deine ausführlichen Informationen....“
Optionen

ich sags mal so, 99% der user haben ihr Firefox profil nicht verschlüsselt. Das allein kann schon wertvoller sein als die Hardware des notebooks. Wenn man bedenkt was in so einem Profil alles drinne ist...

Ebay-passwörter, onlinebanking, vereinzelt Kreditkartendaten, PayPal zugangsdaten, die man einfach so weiternutzen kann. Wenn ich mir das so zusammenrechne, wären alleine die daten meiner VISA 5x soviel wert wie das gerät, und da ich selten ohne Note/Netbook aus dem haus gehe, ist es mir den aufwand definitiv wert. Wenn das gerät und die damit verbundenen daten nämlich erstmal weg sind, sitzt du auf dem Ärger... Sowohl meine Hausbank als auch Paypal werben mit Versicherung bei diebstahl, wenns dann aber erstmal so weit ist, kannst du dir denken dass die alles dran setzen um sich aus der affaire zu ziehen.

'); DROP TABLE users;--
bei Antwort benachrichtigen
Acader Synthetic_codes „ich sags mal so, 99 der user haben ihr Firefox profil nicht verschlüsselt. Das...“
Optionen

>Das allein kann schon wertvoller sein als die Hardware des notebooks. Wenn man bedenkt was in so einem Profil alles drinne ist
Ja genau so ist das, wenn man darüber genau nachdenkt.
Ich denke auch mal vielen Usern ist es gar nicht so richtig bewußt, was sie alles mit sich so herumtragen und was dann im Falle eines Diebstahls das für Konsequenzen mit sich bringen kann.
Nur gut, das du mal darüber geschrieben hast.

MFG Acader

bei Antwort benachrichtigen
ChrE Acader „Hallo ChrE ! Wurde hier eigentlich schon TrueCrypt erwähnt? TrueCrypt ist für...“
Optionen

Hallo!

Ich glaube Du täuschst Dich:

http://www.heise.de/newsticker/Linux-knackt-auf-dem-Desktop-die-1-Prozent-Marke--/meldung/137137

Linux könnte so schön sein, wenn dieses elende Kommadozeilengefickel und die
ewigen Kernelkompilierereien ein Ende finden...

Gruss

ChrE

bei Antwort benachrichtigen
Acader ChrE „Hallo! Ich glaube Du täuschst Dich:...“
Optionen

Diesem Geschwätz von "Heise"darf man wohl kaum einen Glauben schenken.
Ende letzen Jahres wurde in den USA eine Statistik veröffentlicht und da lag Linux so um die 14 % und das ist glaubhaft.

>Linux könnte so schön sein, wenn dieses elende Kommadozeilengefickel und die
ewigen Kernelkompilierereien ein Ende finden
Gerade das ist doch das schöne an Linux, da man sein Linux so machen kann wie man will.
Achtung: Linux ist nicht Windows sondern eben Linux **Denkfehler**

MFG Acader

bei Antwort benachrichtigen
ChrE Acader „Diesem Geschwätz von Heise darf man wohl kaum einen Glauben schenken. Ende...“
Optionen

Hallo!

> so um die 14 % und das ist glaubhaft.
Ja, dann glaube fest daran :-) (http://www.spiegel.de/wissenschaft/natur/0,1518,622168,00.html)
Wahrscheinlich sind die Server mitgerechnet worden.

Klar ist Heise schwatzhaft, ist ja auch deren Beruf.
Ich weiss, Du beziehst Deine Informationen aus seriöseren Quellen.

Anstatt einer Antwort (bin kein grosser Schreiber) sende ich lieber
diesen Link als Antwort: http://www.heise.de/open/news/foren/S-das-liegt-daran-dass-es-keine-Linux-Norm-gibt-kein-Standard-OS/forum-158169/msg-16673238/read/

Dass Du denkst, Linux wäre gut (so wie es jetzt ist), ist Dein Denkfehler.

Aber immerhin wird Linux langsam besser, das beste Beispiel ist Ubuntu.
Vielleicht ist es ja in fünf jahren wirklich benutzbar.

Gruss

ChrE

bei Antwort benachrichtigen
Rheinlaender ChrE „Linux ist eine Support-Hölle...“
Optionen
Aber immerhin wird Linux langsam besser, das beste Beispiel ist Ubuntu.
Ubuntu wird von Version zu Version schlechter, weswegen ich mich auch gar nicht traue, auf jaunty upzudaten. Der Rest Deiner Ausführungen ist reine Polemik. Wobei: Kommadozeilengefickel finde ich schon wieder richtig schön. :)
bei Antwort benachrichtigen
Borlander Rheinlaender „ Ubuntu wird von Version zu Version schlechter, weswegen ich mich auch gar nicht...“
Optionen
Ubuntu wird von Version zu Version schlechter, weswegen ich mich auch gar nicht traue, auf jaunty upzudaten.
Eine entsprechende Aussage höre ich nun zum ersten mal (und ich kenne viele langjährige Linux-User die bei ihren Desktop-Systemen inzwischen konsequent auf Ubuntu setzen). Worauf begründest Du Deine Aussage? Würde mich wirklich interessieren...

Gruß
Borlander
bei Antwort benachrichtigen
robinx99 Acader „Gentoo Linux mit Festplattenverschlüsselung“
Optionen

Ich finde die anleitung eher problematisch. Meiner meinung nach ist LVM ein punkt den man bei so einer verschlüsselung mit aktivieren sollte und LVM wird nur ganz am rande erwähnt. Hauptbegründung ist der Ruhezustand, mit LVM wird alles mit einem schlüssel verschlüsselt, hier wird nur "/" mit einem schlüssel geschüßtzt und swap wird jedesmal mittels zufälligem schlüssel verschlüsselt.

Da finde ich diese englische anleitung wesentlich besser (auch wenn zusätzlich noch ein raid 1 enthalten ist) http://en.gentoo-wiki.com/wiki/Root_filesystem_over_LVM2,_DM-Crypt_and_RAID

Wobei ich persönlich Kubuntu verwende und da klappt die Installation bestens mit der "Alternate cd". Kleinen boot anlegen, verschlüßelte partition anlegen, in dem verschlüßeltem ein LVM anlegen und darin root und swap anlegen und auch der ruhezustand funktioniert damit bestens

robin

bei Antwort benachrichtigen
Acader robinx99 „Ich finde die anleitung eher problematisch. Meiner meinung nach ist LVM ein...“
Optionen

>Wobei ich persönlich Kubuntu verwende und da klappt die Installation bestens mit der "Alternate cd". Kleinen boot anlegen, verschlüßelte partition anlegen, in dem verschlüßeltem ein LVM anlegen und darin root und swap anlegen und auch der ruhezustand funktioniert damit bestens
Hier geht es aber um Gentoo !
Hast du es denn schon mal ausprobiert mit den verschiedenen FV ?

Gruß Acader

bei Antwort benachrichtigen
robinx99 Acader „ Wobei ich persönlich Kubuntu verwende und da klappt die Installation bestens...“
Optionen

naja der satz "Verschlüsselt ihr die Festplatten auch unter Eueren installierten Linux Distributionen ?" klingt grundsätzlich doch sehr algemein, und daher auch der kurze kubuntu / debian ausflug.

Meine gelinkte anleitung ist ja definitiv eine gentoo anleitung, die hatte ich vor einem jahr auch mal testweise in einer virtuellen maschine installiert und ich kritisiere einfach nur die anleitung für dass verwenden eines zufälligem schlüssels für Swap ohne auf die Nachteile einzugehen und da bei suspend to disk definitiv daten in der swap datei abgelegt werden wird man dei Sitzung bei einem zufälligem schlüssel nicht einfach wiederherstellen können.

Wobei ich generell zu den leuten gehöre die den Gentoo Installer ansich gerne kritisieren. Der Graphische installer ist relativ schwach (ist jetzt zwar schon wieder eine weile her dass ich den getestet habe, aber verschlüsselungen / LVM hatte der bei meinem letztem test noch nicht unterstützt). Wenn man alles händisch macht klappt es natürlich. Ebenso finde ich die Offiziellen Gentoo install medien relativ schwach, so dass diese (zumindest vor einem monat) immernoch kein ext4 unterstützen. Klar für alles gibt es lösungen oder workarounds, doch dürften diese viele abschrecken.

Wobei ich ja auch zu den leuten gehöre die sogar die backup dvd's verschlüsseln (genisoimage | aespipe)

Aber insgesamt habe ich durch die verschlüsselungen eigentlich noch keine nachteile gefunden (naja gut backups sollte man ambesten aus dem system, da dies mit boot cds etwas kompliziert werden kann, heraus machen auf ein anderes verschlüßeltes medium)

robinx99

bei Antwort benachrichtigen
Borlander robinx99 „Ich finde die anleitung eher problematisch. Meiner meinung nach ist LVM ein...“
Optionen
hier wird nur "/" mit einem schlüssel geschüßtzt und swap wird jedesmal mittels zufälligem schlüssel verschlüsselt.
Alternativ dazu kann man auch eine Schlüsseldatei für die Swap-Partition verwenden und diese in der /-Partition speichern. LVM ist also nicht zwingend erforderlich ;-)

Gruß
Borlander
bei Antwort benachrichtigen
robinx99 Borlander „ Alternativ dazu kann man auch eine Schlüsseldatei für die Swap-Partition...“
Optionen

Naja ich bezweifle ja nicht dass es auch alternativen gibt, aber meiner meinung nach ist ein LVM die einfachste variante, vorallem da man auch so wesentlich einfacher noch mehr partitionen anlegen kann (/, /home, swap, /tmp, etc.), die alle mit dem selben schlüssel geschützt sind.

Und ich kritisiere ja nicht dass verfahren ansich sondern nur die anleitung, es wird einfach überall für swap folgendes verwendet und es wird nirgendwo auf die nachteile eingegangen und ein nicht funktionierende ruhezustand ist meiner meinung nach durchaus ein nachteil:

cryptsetup -c blowfish -h sha256 -d /dev/urandom create swapfs /dev/sda2
mkswap /dev/mapper/swapfs

bei Antwort benachrichtigen
Borlander robinx99 „Naja ich bezweifle ja nicht dass es auch alternativen gibt, aber meiner meinung...“
Optionen

Das ein nicht funktionierender Ruhezustand einen erheblichen Nachteil darstellt, dem kann ich nur voll zustimmen. Ein Hinweis auf diesen Umstand wäre da sicher nicht verkehrt. Ich hatte die Anleitung nur überflogen, da ich mich ja vorher bereits mit dem Thema auseinandergesetzt hatte ;-)

Gruß
Borlander

bei Antwort benachrichtigen