partition verschlüsseln mit dmcrypt

Fauli · Posted: Sat Jun 18, 2005 7:06 pm Post subject:

Stimmt!

Wenn du inzwischen die Version 1.01.00 von sys-fs/device-mapper installiert hast, musst du sys-fs/cryptsetup nochmal mergen, damit es die neue Version der devmapper-Bibliothek benutzt.
_________________
Do your part to beautify the web! Turn off link underlining!

Alex7512 · n00b Joined: 18 Jun 2005 Posts: 2

Danke! Funzt jetzt wieder!

MfG
Alex

KirinSan · n00b Joined: 06 Aug 2003 Posts: 22 Location: NRW

Hallo, Hallo!

Ich habe grade nach eurer Anleitung das Verschluesseln per DM-Crypt ohne Probleme zum Laufen bekommen.

Jedoch funktioniert bei mir der Link zu dem Skript von Anarcho, welches das crypto-device on-boot mounten kann, nicht. Anscheinend ist der Server nicht erreichbar?

Gibt es noch andere Bezugsquellen oder fehlts am Platz inklusive guter Anbindung? :-)

Gruesse

Micha
_________________
"Ihr kriegt mich niemals! Niemand kriegt Homer Simpson ... ähh ...
ich meine, den Kuchenmann! Ich bin nämlich nicht Homer Simpson,
sondern der Kuchenmann, Homer Simpson ist garnicht hier! HAHAHA!"

Anarcho · Advocate Joined: 06 Jun 2004 Posts: 2970 Location: Germany

Hast recht. Als ich den Server von Debian auf Gentoo umgestellt habe, habe ich die vergessen zu kopieren.

Hier nun die neue URL:

http://www.daniundmaz.de/gentoo/crypto-mount-0.6.1a.ebuild

http://www.daniundmaz.de/gentoo/crypto-mount-0.6.1a.tar.gz

@Toskala: bitte im Hauptthread korrigieren, danke!
_________________
...it's only Rock'n'Roll, but I like it!

toskala · Posted: Tue Aug 30, 2005 10:51 am Post subject:

ah

haha! erledigt

achja, eine kurze anmerkung noch: mittlerweile hab ich zuhause meinen fileserver ein wenig aufgepustet. nu macht er ein 300gb raid5 auf sata basis mit dmcrypt nach diesem howto. die installation hatte wunderbar geklappt auch unter gentoo 2005.1 und die performance ist grossartig, 27mb / sec

*hypffreu*

cheerios,
toskala
_________________
adopt an unanswered post
erst denken, dann posten

Anarcho · Advocate Joined: 06 Jun 2004 Posts: 2970 Location: Germany

Danke!

Nachdem ich nun meine Datenplatten im Server zuhause verschlüsselt habe komm ich nur noch auf ~14MB/s übers Gigabit Netzwerk.
Aber ist auch nur ein Athlon 2000+ ...
_________________
...it's only Rock'n'Roll, but I like it!

toskala · Posted: Tue Aug 30, 2005 1:38 pm Post subject:

naja, ich hab *hüstel* das gw mit nem p4 2,8ghz aufgepustet

und raid5 is beim lesen zudem schneller als ne normale platte
_________________
adopt an unanswered post
erst denken, dann posten

Aszrael · Posted: Fri Sep 30, 2005 6:26 am Post subject:

Super HowTo und klasse Script - Dank an toskala, Anarcho und alle die mitgeholfen haben!
In Verbindung mit dem neuen Baselayout ist swap jetzt auch bei mir verschlüsselt.

Jetzt kommt mir die Idee einer "eierlegenden Wollmilchsau":
Warum nicht beides direkt kombinieren?
Baselayout soll angeblich mit mehreren Partitionen fertig werden, aber ich habe dort nicht die Möglichkeit gefunden, den Key über USB-Stick anzugeben (und das ist genau das, was ich suchte).
Kann mir jemand einen Tipp geben, wo ich ansetzen muß, um baselayout Anarchos usb-mount-Funktion beizubringen?
Dummerweise ist mein Script-Fu absolut unterentwickelt, ich wäre also für Hilfe jeder Art dankbar.
Der einzige Nachteil dieser Implementierung wäre IMO nur die Gefahr bei einem neuen baselayout die scripte zu verlieren.

Gruß,
Aszrael

PS @Anarcho: Gruß nach W-Tal von einem Exil-Gruitener

Anarcho · Advocate Joined: 06 Jun 2004 Posts: 2970 Location: Germany

Warum überlässt du das mounten der verschlüsselten Partitionen nicht dem local.start? Dann bist du imun gegen Änderungen im Baselayout.
Für die allermeisten Fälle ist es egal wann im Bootvorgang die Partitionen gemountet werden (der Rechner wird wohl während des startens noch ohne swap auskommen...)
_________________
...it's only Rock'n'Roll, but I like it!

benjamin200 · Posted: Tue Oct 18, 2005 10:19 pm Post subject:

Hi toskala,
leider komme ich an der folgenden Stelle deines HowTo's nicht weiter:

SkaaliaN · Veteran Joined: 21 Apr 2005 Posts: 1362 Location: Valhalla

hat von euch schon jmd. eine Linux-Partition mit SafeGuard-Easy verschlüsselt??? Würde mich interessieren ob das geht.

Danke.
_________________
c'ya !
skaalian

benjamin200 · Posted: Wed Oct 19, 2005 4:28 pm Post subject:

Anarcho · Advocate Joined: 06 Jun 2004 Posts: 2970 Location: Germany

Hi!

Also die Meldung "gpg: WARNING: message was not integrity protected" ist nur eine Warnung und somit nicht weiter wichtig für das weitere Vorgehen.
Wenn danach keine richtige Fehlermeldung mehr kommt war die ganze Aktion erfolgreich.

Allerdings bewirkt das in der Tat noch keine Änderung an /dev/sdb3 den damit hast du nur den Mapper eingerichtet. Das ist praktisch der On-The-Fly encrypter. Das bedeutet das du ab sofort nicht mehr auf /dev/sdb3 zugreifen musst sondern auf /dev/mapper/MAPPER.
(dev/sdb3 musst du dann natürlich auch unmounten)

Zuerst musst du dann ein neues FS erstellen: mkfs.ext3 /dev/mapper/MAPPER
dann kannst du dieses mounte: mount /dev/mapper/MAPPER /mnt/crypt

danach wird alles was du nach /mnt/crypt speicherst automatisch verschlüsselt.
_________________
...it's only Rock'n'Roll, but I like it!

benjamin200 · Posted: Wed Oct 19, 2005 9:23 pm Post subject:

Hi Anarcho,
danke für den Hinweis bezüglich der qpg WARNING...Bin wie im HowTo weiter vorgegangen und siehe da, es funktioniert. Mich hat die Meldung so sehr beeindruckt, das ich erstmal nicht weiter konfiguriert hatte. Aber nun ja, es läuft.

Eine Frage hätte ich noch

Wenn die verschlüsselte Partition mit dem gemapt wieder, und man hier das Passwort falsch eingibt - z.b. vertippt - wird der Mapper unwiederruflich erstellt. Will man nun den gleichen Befehl erneut ausführen, erhält man die Meldung das der Mapper schon existiert. Ich hatte versucht den MAPPER manuell zu löschen "rm -fr /dev/mapper/mapper-driver" aber das half nicht. Einziger Workaround: MAPPER umbenennen, z.B. MAPPER1 anstatt MAPPER. Gibt es hierfür auch eine einfachere Lösung?

P.S.
Dein offizielles ebuild "crypt-mount" werde ich mir demnächst vornehmen.

EDIT:
Performance-Test, Transfer von 2GB File über 2x Maxtor 6B200MO S-ATA2 mit 7200RPM auf AMD-64 3500+, 1GB RAM (64-Bit Native System)

Disk1 --> Disk2 (UnSecure Partition) = 37,8
Disk1 --> Disk2 (Secure Partition) = 22,1
_________________
Gentoo Linux Stage1 / Kernel 2.6.18
AMD Athlon64 3500+ on Asus A8N-E / 1024 MB DDR-RAM / ATI X700 PCIe
Take LINUX and forget Blue Screens

Anarcho · Advocate Joined: 06 Jun 2004 Posts: 2970 Location: Germany

Hi benjamin,

das entfernen eines Mappers machst du ebenfalls mit cryptsetup, nur anstatt create ein remove und keine Festplatte angeben, also so:

cryptsetup remove MAPPER

Danach kannst du den Mapper wieder anlegen.
Die gpg Warnung kannt du entweder ignorieren, per parameter ausschalten oder durch neuerstellen mit sign wegbekommen. Aber normalerweise stört die ja keinen da die Datei ja von dir ist und nicht von irgendwo.
_________________
...it's only Rock'n'Roll, but I like it!

Frank1969 · Tux's lil' helper Joined: 29 Aug 2005 Posts: 106

Hallo !

hab jetzt schon ne menge gelesen, weiss auch nicht ob meine frage schon irgendwo gestellt und oder beantwortet wurde. also auf die gefahr hin das es doch schon vorkam frag ich trotzdem :

ist es möglich auf dem usb stick das passwort zu speichern ?

ziel ist es, das wenn der usb stick drin ist er den rechner samt cryptet platte hochfährt OHNE nach einem passwort zu fragen weils ja auch auf dem stick liegt.
fein wäre evtl. wenn sobald man den stick zieht er das laufwerk unmountet und sobald man den wieder einsteckt er es wieder mountet !!!

ist sowas möglich ????

man könnte so ein 500 stelliges generiertes passwort benutzen, weiss zwar nicht ob es sinnig ist, aber je länger je besser, steht ja überall ;-)

man würde sich aber eben auch die passworteingabe sparen. passwörter kann man ja auch ausspähen, wenn man aber keins einibt sondern nur den stick einsteckt wär das ja auch sicherer.

Gruß
Frank

Anarcho · Advocate Joined: 06 Jun 2004 Posts: 2970 Location: Germany

Haldir · Guru Joined: 27 Sep 2002 Posts: 546

Frank1969 · Tux's lil' helper Joined: 29 Aug 2005 Posts: 106

wenn jemand den lese/schreibzugriff protokolliert dann nützt auch das passwort nix, ok, er findet es nicht raus aber danach ist das laufwerk ja gemountet und dann sieht man auch alles.

geht eher darum, das es niemand sieht, also wenn jemand neben einem steht. beim stick einstecken kann er kaum was sehen, ausser das plötzlich ein laufwerk mehr da ist.

aber was ich noch anmerken muss, geht es bei dem crypt laufwerk nicht eher um sicherheit hardwaremäßig, also platte wird ausgebaut oder pc geklaut oder sowas, denn wenn ich mit dem ding im internet bin und das crypt laufwerk gemountet ist, ist es doch genau so angreifbar wie ein normales. um passwörter zu schützen dürfte es nur gemountet sein wenn man es braucht und danach sofort wieder unmounten. obwohl selbst das könnte ja reichen. (eine super gut konfigurierte firewall wäre da sicherer)

und zum problem mit /tmp oder swap. wäre es dann nicht einfacher, sobald man den stick zieht und er das crypt laufwerk unmountet, das die swap neu angemeldet wird, somit wäre die dann ja auch leer und man einfach noch das tmp löscht. könnte man ja problemlos ins script bauen. weil tmp und swap crypten halte ich auch für sehr unsinnig.
achso, kann man so einfach swap neu starten, also mal angenommen es wäre was drin ;-)

werde aber jetzt doch mal den rest lesen, nicht das doch schon was besprochen wurde was ich wieder anreiße !!

irgendwie sieht man ja alles zu schwarz ;-)

als ob ich (oder viele andere) sooo wichtige daten auf dem pc hätten die wen interessieren. aber werds mal probieren, hab grad einen pc übrig.

ist aber ne supi anleitung und trotz allem ne tolle idee.

Anarcho · Advocate Joined: 06 Jun 2004 Posts: 2970 Location: Germany

Das löschen von tmp und swap kann man ja ganz einfach durch steckerziehen umgehen wenn man an die Daten ran will. Daher ist auch das nicht sicher.
Also kommt man für völlige Sicherheit nicht um die komplette Verschlüsselung rum. Aber ich finde es in den allermeisten Fällen als völlig ausreichend nur die Datenpartition zu verschlüsseln.

Alternatvi kann man aber z.b. auf swap ganz verzichten und /tmp als tmpfs mounten. Somit ist nach einem stromaus mit sicherheit alles weg.
Ich muss mal schauen wieviel RAM ich noch reinkrieg...
_________________
...it's only Rock'n'Roll, but I like it!

Haldir · Guru Joined: 27 Sep 2002 Posts: 546

Was passt euch nicht an der aktuellen Lösung für swap und /tmp, dass einfach bei jedem boot Vorgang neue Keys erstellt werden, damit brauch man sich wirklich keine größeren Sorgen machen über /tmp & swap.
Auch auschalten ohne unmounten ist damit abgehakt...

benjamin200 · Posted: Thu Oct 20, 2005 10:44 pm Post subject:

AnubisTheKing · Apprentice Joined: 13 Oct 2002 Posts: 166

hi,

ich habe heute morgen mein gentoo geupdatet und da wollte er sich cryptsetup-luks installieren. Ist wohl eine neue Abhängigkeit von einem Programm von gnome. Cryptsetup-luks blockt sich natürlich mit dem normale cryptsetup. Deshalb habe ich das von der Platte geworfen. Nun kommt das komische. Ich kann meine alten verschlüsselten Container ordentlich mit cryptsetup-luks entschlüsselnt, wenn ich alles auf der Konsole von Hand eingebe. Aber faul wie ich bin, hatte ich mir natürlich ein Script geschrieben.

Anarcho · Advocate Joined: 06 Jun 2004 Posts: 2970 Location: Germany

Probier mal

AnubisTheKing · Apprentice Joined: 13 Oct 2002 Posts: 166

das hilft leider auch nicht. Ich denke es hat auch nichts mit den cryptsetup Parametern zu tun, sondern nur mit dem echo und der Pipe. Verstehe das voll nicht. Nur bis ich das gelöst habe kann ich nicht booten btw. muss wieder das andere cryptsetup aufspielen.

bis dann
anubistheking
_________________
http://www.volker-boehme.de