View previous topic :: View next topic |
Author |
Message |
Fauli l33t
Joined: 24 Apr 2004 Posts: 760 Location: Moers, Germany
|
Posted: Sat Jun 18, 2005 7:06 pm Post subject: |
|
|
Stimmt!
Wenn du inzwischen die Version 1.01.00 von sys-fs/device-mapper installiert hast, musst du sys-fs/cryptsetup nochmal mergen, damit es die neue Version der devmapper-Bibliothek benutzt. _________________ Do your part to beautify the web! Turn off link underlining! |
|
Back to top |
|
|
Alex7512 n00b
Joined: 18 Jun 2005 Posts: 2
|
Posted: Sat Jun 18, 2005 7:24 pm Post subject: |
|
|
Danke! Funzt jetzt wieder!
MfG
Alex |
|
Back to top |
|
|
KirinSan n00b
Joined: 06 Aug 2003 Posts: 22 Location: NRW
|
Posted: Mon Aug 29, 2005 10:46 am Post subject: |
|
|
Hallo, Hallo!
Ich habe grade nach eurer Anleitung das Verschluesseln per DM-Crypt ohne Probleme zum Laufen bekommen.
Jedoch funktioniert bei mir der Link zu dem Skript von Anarcho, welches das crypto-device on-boot mounten kann, nicht. Anscheinend ist der Server nicht erreichbar?
Gibt es noch andere Bezugsquellen oder fehlts am Platz inklusive guter Anbindung?
Gruesse
Micha _________________ "Ihr kriegt mich niemals! Niemand kriegt Homer Simpson ... ähh ...
ich meine, den Kuchenmann! Ich bin nämlich nicht Homer Simpson,
sondern der Kuchenmann, Homer Simpson ist garnicht hier! HAHAHA!" |
|
Back to top |
|
|
Anarcho Advocate
Joined: 06 Jun 2004 Posts: 2970 Location: Germany
|
|
Back to top |
|
|
toskala Advocate
Joined: 14 Dec 2002 Posts: 2080 Location: hamburg, germany
|
Posted: Tue Aug 30, 2005 10:51 am Post subject: |
|
|
ah haha! erledigt
achja, eine kurze anmerkung noch: mittlerweile hab ich zuhause meinen fileserver ein wenig aufgepustet. nu macht er ein 300gb raid5 auf sata basis mit dmcrypt nach diesem howto. die installation hatte wunderbar geklappt auch unter gentoo 2005.1 und die performance ist grossartig, 27mb / sec *hypffreu*
cheerios,
toskala _________________ adopt an unanswered post
erst denken, dann posten |
|
Back to top |
|
|
Anarcho Advocate
Joined: 06 Jun 2004 Posts: 2970 Location: Germany
|
Posted: Tue Aug 30, 2005 1:12 pm Post subject: |
|
|
Danke!
Nachdem ich nun meine Datenplatten im Server zuhause verschlüsselt habe komm ich nur noch auf ~14MB/s übers Gigabit Netzwerk.
Aber ist auch nur ein Athlon 2000+ ... _________________ ...it's only Rock'n'Roll, but I like it! |
|
Back to top |
|
|
toskala Advocate
Joined: 14 Dec 2002 Posts: 2080 Location: hamburg, germany
|
Posted: Tue Aug 30, 2005 1:38 pm Post subject: |
|
|
naja, ich hab *hüstel* das gw mit nem p4 2,8ghz aufgepustet und raid5 is beim lesen zudem schneller als ne normale platte _________________ adopt an unanswered post
erst denken, dann posten |
|
Back to top |
|
|
Aszrael Tux's lil' helper
Joined: 15 Feb 2005 Posts: 101 Location: Hannover/Germany
|
Posted: Fri Sep 30, 2005 6:26 am Post subject: |
|
|
Super HowTo und klasse Script - Dank an toskala, Anarcho und alle die mitgeholfen haben!
In Verbindung mit dem neuen Baselayout ist swap jetzt auch bei mir verschlüsselt.
Jetzt kommt mir die Idee einer "eierlegenden Wollmilchsau":
Warum nicht beides direkt kombinieren?
Baselayout soll angeblich mit mehreren Partitionen fertig werden, aber ich habe dort nicht die Möglichkeit gefunden, den Key über USB-Stick anzugeben (und das ist genau das, was ich suchte).
Kann mir jemand einen Tipp geben, wo ich ansetzen muß, um baselayout Anarchos usb-mount-Funktion beizubringen?
Dummerweise ist mein Script-Fu absolut unterentwickelt, ich wäre also für Hilfe jeder Art dankbar.
Der einzige Nachteil dieser Implementierung wäre IMO nur die Gefahr bei einem neuen baselayout die scripte zu verlieren.
Gruß,
Aszrael
PS @Anarcho: Gruß nach W-Tal von einem Exil-Gruitener |
|
Back to top |
|
|
Anarcho Advocate
Joined: 06 Jun 2004 Posts: 2970 Location: Germany
|
Posted: Fri Sep 30, 2005 7:40 am Post subject: |
|
|
Warum überlässt du das mounten der verschlüsselten Partitionen nicht dem local.start? Dann bist du imun gegen Änderungen im Baselayout.
Für die allermeisten Fälle ist es egal wann im Bootvorgang die Partitionen gemountet werden (der Rechner wird wohl während des startens noch ohne swap auskommen...) _________________ ...it's only Rock'n'Roll, but I like it! |
|
Back to top |
|
|
benjamin200 Veteran
Joined: 01 Feb 2004 Posts: 1426 Location: DE Munich
|
Posted: Tue Oct 18, 2005 10:19 pm Post subject: |
|
|
Hi toskala,
leider komme ich an der folgenden Stelle deines HowTo's nicht weiter:
Quote: |
7. device mapper konfigurieren
das device an den device mapper koppeln
ACHTUNG! WER JETZT NOCH KEIN BACKUP GEMACHT HAT SOLLTE ES DEFINITIV VORHER TUN!
Code:
gpg --quiet -d NAME.key.gpg | cryptsetup -h plain create MAPPERNAME /dev/hdXX
|
Sobald ich das Device an den Device Mapper koppeln will, erhalte ich folgende Fehlermeldung:
Code: |
# gpg --quiet -d crypt.key.gpg | cryptsetup -h plain create MAPPER /dev/sdb3
gpg: WARNING: message was not integrity protected
Command failed: Invalid argument
|
Kann jemand helfen? _________________ Gentoo Linux Stage1 / Kernel 2.6.18
AMD Athlon64 3500+ on Asus A8N-E / 1024 MB DDR-RAM / ATI X700 PCIe
Take LINUX and forget Blue Screens |
|
Back to top |
|
|
SkaaliaN Veteran
Joined: 21 Apr 2005 Posts: 1362 Location: Valhalla
|
Posted: Wed Oct 19, 2005 6:03 am Post subject: |
|
|
hat von euch schon jmd. eine Linux-Partition mit SafeGuard-Easy verschlüsselt??? Würde mich interessieren ob das geht.
Danke. _________________ c'ya !
skaalian |
|
Back to top |
|
|
benjamin200 Veteran
Joined: 01 Feb 2004 Posts: 1426 Location: DE Munich
|
Posted: Wed Oct 19, 2005 4:28 pm Post subject: |
|
|
Quote: |
Hi toskala,
leider komme ich an der folgenden Stelle deines HowTo's nicht weiter:
Quote:
7. device mapper konfigurieren
das device an den device mapper koppeln
ACHTUNG! WER JETZT NOCH KEIN BACKUP GEMACHT HAT SOLLTE ES DEFINITIV VORHER TUN!
Code:
gpg --quiet -d NAME.key.gpg | cryptsetup -h plain create MAPPERNAME /dev/hdXX
Sobald ich das Device an den Device Mapper koppeln will, erhalte ich folgende Fehlermeldung:
Code:
# gpg --quiet -d crypt.key.gpg | cryptsetup -h plain create MAPPER /dev/sdb3
gpg: WARNING: message was not integrity protected
Command failed: Invalid argument
Kann jemand helfen?
|
Hab es in der zwischenzeit leider noch nicht hinbekommen.
Hier Step by Step meine Vorgehensweise:
1. Sicherstellen das device-mapper support, crypt target support, AES cipher algorithms fest in den Kernel gebaut sind
2. Installation von sys-fs/cryptsetup und app-crypt-gnupg (zusätzlich habe ich noch shareutils für "uuencode" emergen müssen)
3. Partiton /dev/sdb3 ausgewählt
4. Backup der Partition (weiterhin gemountet)
5. siehe Kommandos:
Code: |
# head -c 1000 < /dev/urandom | uuencode -m - | grep -v begin | head -c 32 >crypt.key
# qpg -c crypt.key
# shred crypt.key
# rm crypt.key
|
6. Und nun das Problem:
Code: |
# gpg --quiet -d crypt.key.gpg | cryptsetup -h plain create MAPPER /dev/sdb3
gpg: WARNING: message was not integrity protected
|
Mit der Partition /dev/sdb3 passiert garnichts.
Sie bleibt im unverschlüsselten Zustand. Hoffe es weiß doch noch jemand Rat
Gruß,
Benjamin _________________ Gentoo Linux Stage1 / Kernel 2.6.18
AMD Athlon64 3500+ on Asus A8N-E / 1024 MB DDR-RAM / ATI X700 PCIe
Take LINUX and forget Blue Screens |
|
Back to top |
|
|
Anarcho Advocate
Joined: 06 Jun 2004 Posts: 2970 Location: Germany
|
Posted: Wed Oct 19, 2005 5:10 pm Post subject: |
|
|
Hi!
Also die Meldung "gpg: WARNING: message was not integrity protected" ist nur eine Warnung und somit nicht weiter wichtig für das weitere Vorgehen.
Wenn danach keine richtige Fehlermeldung mehr kommt war die ganze Aktion erfolgreich.
Allerdings bewirkt das in der Tat noch keine Änderung an /dev/sdb3 den damit hast du nur den Mapper eingerichtet. Das ist praktisch der On-The-Fly encrypter. Das bedeutet das du ab sofort nicht mehr auf /dev/sdb3 zugreifen musst sondern auf /dev/mapper/MAPPER.
(dev/sdb3 musst du dann natürlich auch unmounten)
Zuerst musst du dann ein neues FS erstellen: mkfs.ext3 /dev/mapper/MAPPER
dann kannst du dieses mounte: mount /dev/mapper/MAPPER /mnt/crypt
danach wird alles was du nach /mnt/crypt speicherst automatisch verschlüsselt. _________________ ...it's only Rock'n'Roll, but I like it! |
|
Back to top |
|
|
benjamin200 Veteran
Joined: 01 Feb 2004 Posts: 1426 Location: DE Munich
|
Posted: Wed Oct 19, 2005 9:23 pm Post subject: |
|
|
Hi Anarcho,
danke für den Hinweis bezüglich der qpg WARNING...Bin wie im HowTo weiter vorgegangen und siehe da, es funktioniert. Mich hat die Meldung so sehr beeindruckt, das ich erstmal nicht weiter konfiguriert hatte. Aber nun ja, es läuft.
Eine Frage hätte ich noch
Wenn die verschlüsselte Partition mit dem gemapt wieder, und man hier das Passwort falsch eingibt - z.b. vertippt - wird der Mapper unwiederruflich erstellt. Will man nun den gleichen Befehl erneut ausführen, erhält man die Meldung das der Mapper schon existiert. Ich hatte versucht den MAPPER manuell zu löschen "rm -fr /dev/mapper/mapper-driver" aber das half nicht. Einziger Workaround: MAPPER umbenennen, z.B. MAPPER1 anstatt MAPPER. Gibt es hierfür auch eine einfachere Lösung?
P.S.
Dein offizielles ebuild "crypt-mount" werde ich mir demnächst vornehmen.
EDIT:
Performance-Test, Transfer von 2GB File über 2x Maxtor 6B200MO S-ATA2 mit 7200RPM auf AMD-64 3500+, 1GB RAM (64-Bit Native System)
Disk1 --> Disk2 (UnSecure Partition) = 37,8
Disk1 --> Disk2 (Secure Partition) = 22,1 _________________ Gentoo Linux Stage1 / Kernel 2.6.18
AMD Athlon64 3500+ on Asus A8N-E / 1024 MB DDR-RAM / ATI X700 PCIe
Take LINUX and forget Blue Screens |
|
Back to top |
|
|
Anarcho Advocate
Joined: 06 Jun 2004 Posts: 2970 Location: Germany
|
Posted: Thu Oct 20, 2005 5:00 am Post subject: |
|
|
Hi benjamin,
das entfernen eines Mappers machst du ebenfalls mit cryptsetup, nur anstatt create ein remove und keine Festplatte angeben, also so:
cryptsetup remove MAPPER
Danach kannst du den Mapper wieder anlegen.
Die gpg Warnung kannt du entweder ignorieren, per parameter ausschalten oder durch neuerstellen mit sign wegbekommen. Aber normalerweise stört die ja keinen da die Datei ja von dir ist und nicht von irgendwo. _________________ ...it's only Rock'n'Roll, but I like it! |
|
Back to top |
|
|
Frank1969 Tux's lil' helper
Joined: 29 Aug 2005 Posts: 106
|
Posted: Thu Oct 20, 2005 12:22 pm Post subject: |
|
|
Hallo !
hab jetzt schon ne menge gelesen, weiss auch nicht ob meine frage schon irgendwo gestellt und oder beantwortet wurde. also auf die gefahr hin das es doch schon vorkam frag ich trotzdem :
ist es möglich auf dem usb stick das passwort zu speichern ?
ziel ist es, das wenn der usb stick drin ist er den rechner samt cryptet platte hochfährt OHNE nach einem passwort zu fragen weils ja auch auf dem stick liegt.
fein wäre evtl. wenn sobald man den stick zieht er das laufwerk unmountet und sobald man den wieder einsteckt er es wieder mountet !!!
ist sowas möglich ????
man könnte so ein 500 stelliges generiertes passwort benutzen, weiss zwar nicht ob es sinnig ist, aber je länger je besser, steht ja überall man würde sich aber eben auch die passworteingabe sparen. passwörter kann man ja auch ausspähen, wenn man aber keins einibt sondern nur den stick einsteckt wär das ja auch sicherer.
Gruß
Frank |
|
Back to top |
|
|
Anarcho Advocate
Joined: 06 Jun 2004 Posts: 2970 Location: Germany
|
Posted: Thu Oct 20, 2005 12:31 pm Post subject: |
|
|
Frank1969 wrote: | Hallo !
hab jetzt schon ne menge gelesen, weiss auch nicht ob meine frage schon irgendwo gestellt und oder beantwortet wurde. also auf die gefahr hin das es doch schon vorkam frag ich trotzdem :
ist es möglich auf dem usb stick das passwort zu speichern ?
ziel ist es, das wenn der usb stick drin ist er den rechner samt cryptet platte hochfährt OHNE nach einem passwort zu fragen weils ja auch auf dem stick liegt.
fein wäre evtl. wenn sobald man den stick zieht er das laufwerk unmountet und sobald man den wieder einsteckt er es wieder mountet !!!
ist sowas möglich ????
man könnte so ein 500 stelliges generiertes passwort benutzen, weiss zwar nicht ob es sinnig ist, aber je länger je besser, steht ja überall man würde sich aber eben auch die passworteingabe sparen. passwörter kann man ja auch ausspähen, wenn man aber keins einibt sondern nur den stick einsteckt wär das ja auch sicherer.
Gruß
Frank |
Genau dafür ist das Script welches ich hier gepostet habe bzw. das ebuild auch auf der ersten Seite liegt.
Du musst dann nur in der config angeben das du kein GPG verwendest und das Passwort dann eben als Plaintext auf dem Stick speichern.
So läuft das bei mir wunderbar. _________________ ...it's only Rock'n'Roll, but I like it! |
|
Back to top |
|
|
Haldir Guru
Joined: 27 Sep 2002 Posts: 546
|
Posted: Thu Oct 20, 2005 1:47 pm Post subject: |
|
|
Frank1969 wrote: | Hallo !
man könnte so ein 500 stelliges generiertes passwort benutzen, weiss zwar nicht ob es sinnig ist, aber je länger je besser, steht ja überall man würde sich aber eben auch die passworteingabe sparen. passwörter kann man ja auch ausspähen, wenn man aber keins einibt sondern nur den stick einsteckt wär das ja auch sicherer.
|
Sowas ist nicht sicherer als ein Passwort, denn genauso wie du das Keyboard loggen kannst, kannst du noch viel einfacher die Lese/Schreib Zugriffe auf deinen USB Stick protokollieren.
Wenn du was sicheres mit einem USB Stick machen willst, nimm wie schon beschrieben ein Public Key System inkl. Password. |
|
Back to top |
|
|
Frank1969 Tux's lil' helper
Joined: 29 Aug 2005 Posts: 106
|
Posted: Thu Oct 20, 2005 3:33 pm Post subject: |
|
|
wenn jemand den lese/schreibzugriff protokolliert dann nützt auch das passwort nix, ok, er findet es nicht raus aber danach ist das laufwerk ja gemountet und dann sieht man auch alles.
geht eher darum, das es niemand sieht, also wenn jemand neben einem steht. beim stick einstecken kann er kaum was sehen, ausser das plötzlich ein laufwerk mehr da ist.
aber was ich noch anmerken muss, geht es bei dem crypt laufwerk nicht eher um sicherheit hardwaremäßig, also platte wird ausgebaut oder pc geklaut oder sowas, denn wenn ich mit dem ding im internet bin und das crypt laufwerk gemountet ist, ist es doch genau so angreifbar wie ein normales. um passwörter zu schützen dürfte es nur gemountet sein wenn man es braucht und danach sofort wieder unmounten. obwohl selbst das könnte ja reichen. (eine super gut konfigurierte firewall wäre da sicherer)
und zum problem mit /tmp oder swap. wäre es dann nicht einfacher, sobald man den stick zieht und er das crypt laufwerk unmountet, das die swap neu angemeldet wird, somit wäre die dann ja auch leer und man einfach noch das tmp löscht. könnte man ja problemlos ins script bauen. weil tmp und swap crypten halte ich auch für sehr unsinnig.
achso, kann man so einfach swap neu starten, also mal angenommen es wäre was drin
werde aber jetzt doch mal den rest lesen, nicht das doch schon was besprochen wurde was ich wieder anreiße !!
irgendwie sieht man ja alles zu schwarz als ob ich (oder viele andere) sooo wichtige daten auf dem pc hätten die wen interessieren. aber werds mal probieren, hab grad einen pc übrig.
ist aber ne supi anleitung und trotz allem ne tolle idee. |
|
Back to top |
|
|
Anarcho Advocate
Joined: 06 Jun 2004 Posts: 2970 Location: Germany
|
Posted: Thu Oct 20, 2005 7:48 pm Post subject: |
|
|
Das löschen von tmp und swap kann man ja ganz einfach durch steckerziehen umgehen wenn man an die Daten ran will. Daher ist auch das nicht sicher.
Also kommt man für völlige Sicherheit nicht um die komplette Verschlüsselung rum. Aber ich finde es in den allermeisten Fällen als völlig ausreichend nur die Datenpartition zu verschlüsseln.
Alternatvi kann man aber z.b. auf swap ganz verzichten und /tmp als tmpfs mounten. Somit ist nach einem stromaus mit sicherheit alles weg.
Ich muss mal schauen wieviel RAM ich noch reinkrieg... _________________ ...it's only Rock'n'Roll, but I like it! |
|
Back to top |
|
|
Haldir Guru
Joined: 27 Sep 2002 Posts: 546
|
Posted: Thu Oct 20, 2005 10:09 pm Post subject: |
|
|
Was passt euch nicht an der aktuellen Lösung für swap und /tmp, dass einfach bei jedem boot Vorgang neue Keys erstellt werden, damit brauch man sich wirklich keine größeren Sorgen machen über /tmp & swap.
Auch auschalten ohne unmounten ist damit abgehakt... |
|
Back to top |
|
|
benjamin200 Veteran
Joined: 01 Feb 2004 Posts: 1426 Location: DE Munich
|
Posted: Thu Oct 20, 2005 10:44 pm Post subject: |
|
|
Quote: |
das entfernen eines Mappers machst du ebenfalls mit cryptsetup, nur anstatt create ein remove und keine Festplatte angeben, also so:
cryptsetup remove MAPPER
|
@Anarcho:
Danke für den Hinweis...was würde ich (wir) nur ohne dieses Forum und seine User-Gemeinschaft machen.
Merci _________________ Gentoo Linux Stage1 / Kernel 2.6.18
AMD Athlon64 3500+ on Asus A8N-E / 1024 MB DDR-RAM / ATI X700 PCIe
Take LINUX and forget Blue Screens |
|
Back to top |
|
|
AnubisTheKing Apprentice
Joined: 13 Oct 2002 Posts: 166
|
Posted: Wed Nov 09, 2005 8:10 am Post subject: |
|
|
hi,
ich habe heute morgen mein gentoo geupdatet und da wollte er sich cryptsetup-luks installieren. Ist wohl eine neue Abhängigkeit von einem Programm von gnome. Cryptsetup-luks blockt sich natürlich mit dem normale cryptsetup. Deshalb habe ich das von der Platte geworfen. Nun kommt das komische. Ich kann meine alten verschlüsselten Container ordentlich mit cryptsetup-luks entschlüsselnt, wenn ich alles auf der Konsole von Hand eingebe. Aber faul wie ich bin, hatte ich mir natürlich ein Script geschrieben.
Code: |
echo "Please enter passphrase (hit ENTER to exit): "; read -ers PASS
# Check if only ENTER
if [ "$PASS" == "" ]; then
echo ""
exit 1
fi
# Checking if the usb drive already exist
if [ -b /dev/usbplatte ]; then
#mounten der Platte
MOUNT_TEST=`/bin/mount | /bin/grep /dev/usbplatte`
if [ "$MOUNT_TEST" == "" ]; then
/bin/mount /mnt/usbplatte
fi
#erstellen der loop devices un device mapper erstellen
if [ -b /dev/loop0 ]; then
/sbin/losetup /dev/loop0 /mnt/usbplatte/S/a.img
echo "$PASS" | /bin/cryptsetup create imga /dev/loop0
/bin/mount /mnt/imga
fi
fi
unset PASS;
|
Problem ist nun, dass die Platte wenn ich das Script benutzt nicht entschlüsselt wird. Es wird wohl irgendwie ein falsches passwd benutzt. Ich habe mich ganz sicher nicht vertippt. Was macht denn echo anders, als wenn ich das Passwort direkt eintippe? Habe auch schon "echo -n" verscuht, das hat auch nichts gebracht. Irgendjemand eine Idee?
Bis dann
AnubisTheKing _________________ http://www.volker-boehme.de |
|
Back to top |
|
|
Anarcho Advocate
Joined: 06 Jun 2004 Posts: 2970 Location: Germany
|
Posted: Wed Nov 09, 2005 1:56 pm Post subject: |
|
|
Probier mal
Code: | echo "$PASS" | /bin/cryptsetup -h plain create imga /dev/loop0 |
_________________ ...it's only Rock'n'Roll, but I like it! |
|
Back to top |
|
|
AnubisTheKing Apprentice
Joined: 13 Oct 2002 Posts: 166
|
Posted: Wed Nov 09, 2005 6:14 pm Post subject: |
|
|
das hilft leider auch nicht. Ich denke es hat auch nichts mit den cryptsetup Parametern zu tun, sondern nur mit dem echo und der Pipe. Verstehe das voll nicht. Nur bis ich das gelöst habe kann ich nicht booten btw. muss wieder das andere cryptsetup aufspielen.
bis dann
anubistheking _________________ http://www.volker-boehme.de |
|
Back to top |
|
|
|