Wie habt Ihr euer System abgesichert/verschlüsselt?

[SarahS93]

Was für ein System habt Ihr / welche Aufgaben wickelt es ab und wie habt ihr es abgesichert bzw. verschlüsselt?

[hafgan]

[toralf]

[quote="hafgan"]

[hafgan]

@Toralf: So hatte ich es geplant. Ich werde der Sache nochmal nachgehen! - Danke!

[Erdie]

Meinen Desktop habe ich gar nicht verschlüsseln, noch nicht mal ein Login Passwort. Für etwas empfindlichere Daten habe ich einen Bereich, der mit encfs verschlüsselt ist. Der wird bei Bedarf mal gemounted.
_________________
Desktop AMD Ryzen 9 5900X 32GB RAM, Asus GF GTX 1060.
Notebook Tuxedo Pulse 15 Gen1 AMD Ryzen 7 4800H mit Radeon Vega 7
Raspberry Pi 1 + 2 + 3B+ + Zero W

[forrestfunk81]

Bei Laptop, Desktop und Homeserver / Router sind die Root, Swap, Home und Daten Partitionen verschlüsselt mit LUKS (twofish-xts-essiv:sha512). VServer und Raspberry sind unverschlüsselt.
_________________
# cd /pub/
# more beer

[cryptosteve]

Alle meine Rechner sind mit luks/lvm verschlüsselt. Besonders sensible Daten liegen darüber hinaus nochmal in einem encfs, dass nur für den Zeitpunkt des Zugriffs aufgeschlossen wird. gnupg und otr kommen für Kommunikation immer dann zum Einsatz, wenn die Gegenstelle es versteht.

Mir würde sogar der Diebstahl meiner 10kg Desktopkiste Bauchschmerzen bereiten. Ich habe ein sehr gutes luks-Passwort (>20 Zeichen), und dafür dann kein Anmeldepasswort mehr (Autologin).

Btw: dieser Thread hätte besser ins Diskussionsforum gepasst.
_________________
- born to create drama -
gpg: 0x9B6C7E15
CS Virtual Travel Bug: VF6G5D

[Finswimmer]

Ich habe nur meinen Laptop verschlüsselt.
Der Key liegt auf einem USB-Stick in einem "Hidden" Bereich und ist mit GPG verschlüsselt.
Im Safe liegt natürlich noch der Key im Klartext.

Moved from Deutsches Forum (German) to Diskussionsforum.
_________________
Bitte auf Rechtschreibung, korrekte Formatierung und Höflichkeit achten!
Danke

[kurisu]

Unabhängig davon, ob die Daten als sensibel einzuordnen sind oder nicht, sind all meine Rechner grundsätzlich mit aes-xts-plain64:sha512 über LUKS verschlüsselt. Für Daten, die in meinen Augen sensibel sind, verwende ich zusätzlich ecryptfs.

[Yamakuzure]

Grundsicherung:
-------------------
Drei unterschiedliche Passwörter für das Einschalten, das BIOS, sowie den Festplattencontroller und die Festplatte.
Bei den DELL Notebooks ist ganz praktisch, dass selbst wenn jemand für die Festplatte das Backdoor-Passwort von DELL kennen würde, die Freigabe erst nach einem vollständigen Löschen der Festplatte erfolgt.
Ferner ist das Ding auch noch doppelt gesichert. Die Festplatte kann an einem anderen Controller nicht verwendet werden, und eine andere Festplatte nicht an diesem Controller.

Außerdem hat das Gerät noch eine interessante Diebstahlsicherung, mit der ein geklautes Laptop binnen Minuten per GPS ausfindig gemacht werden kann. Egal ob es eingeschaltet ist oder nicht.

Daten:
--------
Ich habe zwei Sätze Truecrypt Container.

Der Erste mit 6 Containern ist für meine diversen Backup Ordner gedacht. Diese synchronisiere ich mit Copy.com. Backups gehen mir also nie verloren, und niemand kann aus der Cloud heraus darauf zugreifen.

Der Zweite mit 7 Containern ist für meine beruflichen und privaten Daten, sowie E-Mails, Notizen, Kalender, halt das KDE-PIM Zeugs.

Nach dem Hochfahren des Laptops muss ein Skript gestartet werden, sonst ist alles leer und nutzlos. Und natürlich muss ich dafür auch immer brav das Passwort von Hand eingeben.

Die 6 Container werden in ein raidz1 (5 + 1 Spare), die 7 Container in ein raidz2 (6 + 1 Spare) eingehängt und dann mittles ZFS gemountet. Mit etwas Anderem wäre das, was ich da mache, auch garnicht möglich.

Swap:
-------
swap ist bei mir nicht verschlüsselt, sondern wird durch 8 zram devices (1 pro CPU) geregelt. Ich wüsste auch nicht, wofür ich das verschlüsseln sollte, ich habe 32GB RAM, und baue alles in einem tmpfs Laufwerk. Aber wirklich gebraucht habe ich swap bislang erst einmal, was damals an ccache lag. Im swap steht dann nun wirklich nichts Wichtiges drin.

Heutzutage ist das für mich auch schwer zu verstehen, wofür man swap verschlüsseln sollte. Auf einem Dektop/Notebook mit mehr als 512MB RAM setzt man vm.swappiness in der /etc/sysctl.conf doch eh immer auf 0. Wie soll dann da irgendetwas Relevantes reinkommen? Aber das ist wahrscheinlich eh eher philosophisch.

Passwörter:
--------------
Alle Passwörter bei mir haben mindestens 10 Stellen und bestehen aus Großbuchstaben, Kleinbuchstaben, Sonderzeichen und Zahlen. Ein Extra Truecrypt Container mit den wichtigen privaten Daten habe ich auch noch, das Passwort hat 30 Stellen.
Sollte mir jemand das Ding im Laufenden Betrieb klauen und irgend eines der Passwörter, bevor der Akku alle ist oder die Polizei vor der Tür steht, geknackt bekommen, wäre ich wahrscheinlich eher beeindruckt als sauer.
_________________
Edited 220,176 times by Yamakuzure

[forrestfunk81]

[Yamakuzure]

[cryptosteve]

Passend zum Thema gerade frisch eingetrudelt:

http://www.pro-linux.de/news/1/22212/dateisystem-ext4-erhaelt-verschluesselung.html
_________________
- born to create drama -
gpg: 0x9B6C7E15
CS Virtual Travel Bug: VF6G5D

[Yamakuzure]

Oh! Da lohnt es sich für mich ja vielleicht doch mal von ZFS zurück auf ext4 umzusteigen... Mal schauen was das wird...
_________________
Edited 220,176 times by Yamakuzure

[Finswimmer]

Aber so wie ich das verstanden habe, werden nur die Dateien verschlüsselt.
Metadaten sind nicht verschlüsselt.
Da will ich dann doch lieber eine komplette Verschlüsselung
_________________
Bitte auf Rechtschreibung, korrekte Formatierung und Höflichkeit achten!
Danke

[schmidicom]

Mir ist sowas wie Luks auch lieber, allein schon deswegen weil man dann nicht zur Nutzung eines bestimmten Dateisystem gezwungen wird, aber wenigstens kommt sowas vermutlich auch ohne ein initrd aus was bei LUKS ja spätestens dann nicht mehr der Fall ist wenn "/" ebenfalls verschlüsselt werden soll.
_________________
Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW

[cryptosteve]

Ja, natürlich ist sowas wie LUKS besser. Aber die angedachte ext4-Verschlüsselung sollte ausreichend sein, um sich vor Dateneinsicht bei Diebstahl zu schützen. Außerdem habe ich es so verstanden, dass man diese Art der Verschlüsselung auch im Nachhinein noch initiieren kann, was wiederum ein echter Vorteil wäre.
_________________
- born to create drama -
gpg: 0x9B6C7E15
CS Virtual Travel Bug: VF6G5D

[Fijoldar]

Ich nutze mittlerweile einfach nur die Hardware-Verschlüsselung meiner SSD im Laptop. Der Desktop PC ist gar nicht verschlüsselt. Ebenso mein Server.

[kernelOfTruth]

[SarahS93]

Die von euch die Intel Prozessoren haben und die AES-NI unterstützen. Habt Ihr diese Funktion im Kernel aktiviert oder lasst Ihr das ausschliesslich über die Software machen?
Mal ganz weit und schlimm gedacht .. kann Intel durch seine AES-NI Funktion im Prozessor die verschlüsselung kompromitieren?

[kernelOfTruth]

[Yamakuzure]

[forrestfunk81]

[cryptosteve]

[forrestfunk81]