View previous topic :: View next topic |
Author |
Message |
Anarcho Advocate
Joined: 06 Jun 2004 Posts: 2970 Location: Germany
|
Posted: Sat Nov 12, 2005 2:08 pm Post subject: |
|
|
Interessant für alle die einen 64Bit Kernel haben:
Ab dem 2.6.13 Kernel ist der AES Cypher in 64Bit Assember geschrieben.
Bei mir bringt das ca. 20 % mehr Leistung als noch mit dem 2.6.12er. Das nenn ich mal nen Sprung nur durch ein Kernel update.
2.6.12: ~33 MB/s
2.6.13: ~40 MB/s
Allerdings heisst die Config Option jetzt CONFIG_CRYPTO_AES_X86_64, daher könnt ihr nicht einfach eure alte Kernel-config verwenden.
Einmal ins menuconfig rein und Schalter setzen. _________________ ...it's only Rock'n'Roll, but I like it! |
|
Back to top |
|
|
return13 Guru
Joined: 02 Feb 2004 Posts: 513 Location: Hamburg - Germany
|
Posted: Tue Nov 22, 2005 9:34 pm Post subject: |
|
|
danke fürs Tut.
Wenn du willst kannst du noch ergänzen das man das Paket app-arch/sharutils braucht für uuencode _________________ Wer Recht erkennen will, muß zuvor in richtiger Weise gezweifelt haben.
Aristoteles (384-322), griech. Philosoph, Begründer d. abendländ. Philosophie |
|
Back to top |
|
|
e-tho n00b
Joined: 21 Oct 2005 Posts: 2 Location: germany
|
Posted: Fri Dec 30, 2005 7:45 pm Post subject: fsck auf verschlüsselte Partition schlägt fehl... |
|
|
Hallo Forum,
erstmal vielen Dank für die guten Tipps, Anleitungen und Tools zum Thema verschlüsseln.
Dank dieser Hilfen habe ich seit einiger Zeit eine verschlüsselte Partition die ich nur mounte wenn ich sie brauche, alles arbeitet wunderbar...
Beim rumschnüffeln in den Logs hab ich aber gesehen, es wird Zeit für ein fsck.
Code: |
Dec 30 18:50:06 nemesis EXT3-fs warning: maximal mount count reached, running e2
fsck is recommended
Dec 30 18:50:06 nemesis kjournald starting. Commit interval 5 seconds
Dec 30 18:50:06 nemesis EXT3 FS on dm-0, internal journal
Dec 30 18:50:06 nemesis EXT3-fs: mounted filesystem with ordered data mode.
|
Kein Problem dachte ich, fsck hilft...
Code: |
# fsck /dev/hda6
fsck 1.38 (30-Jun-2005)
e2fsck 1.38 (30-Jun-2005)
Couldn't find ext2 superblock, trying backup blocks...
fsck.ext2: Bad magic number in super-block while trying to open /dev/hda6
The superblock could not be read or does not describe a correct ext2
filesystem. If the device is valid and it really contains an ext2
filesystem (and not swap or ufs or something else), then the superblock
is corrupt, and you might try running e2fsck with an alternate superblock:
e2fsck -b 8193 <device>
|
Huch? Was ist los? Nochmal explizit mit fsck.ext3 probieren...
Code: |
# fsck.ext3 /dev/hda6
e2fsck 1.38 (30-Jun-2005)
Couldn't find ext2 superblock, trying backup blocks...
fsck.ext3: Bad magic number in super-block while trying to open /dev/hda6
The superblock could not be read or does not describe a correct ext2
filesystem. If the device is valid and it really contains an ext2
filesystem (and not swap or ufs or something else), then the superblock
is corrupt, and you might try running e2fsck with an alternate superblock:
e2fsck -b 8193 <device>
|
Die Partition lässt sich wunderbar mounten und die Daten lesen und schreiben, ist also prinzipiell OK.
Ich probier's auch auf der richtigen Partition. Laut /etc/crypto-mount.conf (was ja funktioniert):
Code: |
DEVICE_NAME="/dev/hda6" # Name of the partition-device, e.g. hda3
CRYPTO_FS="ext3" # Filesystem of the crypto-device
|
Was läuft also mit fsck falsch?
Ich hab sogar probiert die Partition gemountet zu checken (normalerweise macht man sowas ja nicht), aber das ging mit der gleichen Fehlermeldung wieder in die Hose...
Eine Sache noch. Ich hab /sbin/e2fsck auf dem System. Brauch ich ein e3fsck? Bisher hab ich nur mit ext2 gearbeitet...
Linux benutze ich schon länger, bin aber Frischling mit Gentoo.
Könnt ihr mir einen Tipp geben? Ich steh auf dem Schlauch...
Gruss,
e-tho |
|
Back to top |
|
|
svf n00b
Joined: 01 Feb 2005 Posts: 50
|
Posted: Sun Jan 15, 2006 10:46 am Post subject: |
|
|
Hi
du musst e2fsck auf den mapper anwenden...
also erst mit cryptomount dein mapper erstellen(oder von hand)
dann unmount(umount <mountpoint>)
und dann kannst du e2fsck /dev/mapper/<mappername>
danach wieder mounten und fertig
HTH
gruß _________________ uchafu! |
|
Back to top |
|
|
e-tho n00b
Joined: 21 Oct 2005 Posts: 2 Location: germany
|
Posted: Sun Jan 15, 2006 12:20 pm Post subject: |
|
|
Hallo svf,
danke für den Tipp! Hat geholfen.
Gruss,
e-tho |
|
Back to top |
|
|
ScytheMan l33t
Joined: 30 Nov 2005 Posts: 605
|
Posted: Thu Jan 26, 2006 8:42 pm Post subject: |
|
|
Tag,
habe das jetzt so gemacht wie es im HowTo steht, danke erstmal für die Anleitung.
Nun zu meinem Problem: Ich habe gemerkt, dass die Partition ein bisschen zu klein ist. Kann ich die größe nachträglich verändern ohne Probleme?
Gruß ScytheMan |
|
Back to top |
|
|
Anarcho Advocate
Joined: 06 Jun 2004 Posts: 2970 Location: Germany
|
Posted: Tue Jan 31, 2006 6:08 am Post subject: |
|
|
Es gibt nen parameter für cryptsetup mit dem man die grösse ändern kann.
Und es gibt glaube ich nen ext3resize oder so ähnlich.
Mit dieser Kombination könnte man es mal probieren (natürlich vorher die echte partition vergrössern). _________________ ...it's only Rock'n'Roll, but I like it! |
|
Back to top |
|
|
flash49 Apprentice
Joined: 12 Feb 2005 Posts: 233
|
Posted: Sun Feb 05, 2006 2:22 pm Post subject: |
|
|
Anarcho wrote: | Es gibt nen parameter für cryptsetup mit dem man die grösse ändern kann. |
Das geht mit "cryptsetup resize". Wennich mich richtig an meine letzte Erweiterung erinnere braucht man das Filesystem nichtmal auszuhängen. Das ist besonders praktisch, wenn man ein Filesystem wie xfs benutzt. Das kann man dann auch online erweitern
Anarcho wrote: | Und es gibt glaube ich nen ext3resize oder so ähnlich.
Mit dieser Kombination könnte man es mal probieren (natürlich vorher die echte partition vergrössern). |
Das Programm heißt "resize2fs", ext2resize und ext2online sind schon ziemlich alt und haben mit manchen Strukturen Probleme. Bei mir sind sie über die Raid-Optimierungen gestolpert. |
|
Back to top |
|
|
Massimo B. Veteran
Joined: 09 Feb 2005 Posts: 1776 Location: PB, Germany
|
Posted: Tue Feb 07, 2006 9:43 am Post subject: Automatisches Mounten von dm-crypt partition mit pam_mount |
|
|
Hallo. Ich habe hier cm_crypt mit pam_mount verknüpft, nach der HowTo Automatically mount dm-crypt encrypted home with pam_mount. Dadurch muß ich nur noch mein Benutzerpasswort eingeben, der Schlüssel selbst liegt in einer ssl-verschlüsselten Datei.
Scheinbar kümmert sich dort niemand mehr um die Diskussion.- Nach dem Logout bleibt gerne mal die Partition gemountet, wenn Prozeße noch darauf zugreifen. Das habe ich einigermaßen behoben, indem ich das Skript /usr/bin/umount.crypt geändert hab:
Code: | # warte kurz...
sleep 4
#"$UMOUNT" "$1";
"$UMOUNT" -l "$1";
if [ $? -ne 0 ]; then
echo "${0##*/}: error unmounting $1" >&2
# ... | Allerdings bleibt auch dann manchmal noch /dev/mapper/_dev_hda5 aktiv, und läßt sich auch nicht manuell mit remove entfernen, da es noch verwendet werde. Trotzdem zeigt fuser -vm /dev/mapper/_dev_hda5 nichts mehr an.
Das Problem besteht nur bei KDE Sitzungen. Konsolen Login/Logoff funktioniert tadellos.
Laut pam_mount.conf sollte LUKS auch möglich sein. Hier verstehe ich aber nicht, wie ich gemäß HowTo meine Schlüsseldatei als "Passphrasse" mitgebe.Sollte mal ein fsck nötig sein, kann ich dies auf /dev/mapper/_dev_hda5 anwenden? _________________ HP ZBook Power 15.6" G8 i7-11800H|HP EliteDesk 800G1 i7-4790|HP Compaq Pro 6300 i7-3770 |
|
Back to top |
|
|
slick Bodhisattva
Joined: 20 Apr 2003 Posts: 3495
|
Posted: Sat Feb 18, 2006 7:43 am Post subject: |
|
|
Habe mir das crypto-mount script umgebaut, da ich kein Keyfile möchte sondern die Passphase direkt verwenden. Als Vorteil sehe ich die Vermeidung von gpg, denn bei der vorgestellten Variante liegt die ganze Gefahr bei der gpg-Verschlüsselung, ist diese "geknackt" ist auch die Partition offen und außerdem kann ich so das Keyfile nicht verlieren. Nachteil ist dass das Passwort nachträglich nicht mehr geändert werden kann und entsprechend lang sein sollte. Alles was ich nicht benötigte habe ich weggelassen. Ergänzt habe ich die config um PW_TRIPLE_MD5 welche eine 3-fache md5sum des Passwortes enthält damit ich auch dessen Richtigkeit prüfen kann. Evt. sollte man hier einen besseren Hash-Algo. finden, bin für Vorschläge offen. Den Wert erhält man durch
Code: | echo $PASS | md5sum | cut -d ' ' -f 1 | md5sum | cut -d ' ' -f 1 | md5sum | cut -d ' ' -f 1 |
aber nicht vergessen anschliessend den Befehl wieder aus der history zu werfen.
Deweiteren habe ich ein simples fsck ergänzt. (ohne Fehlerbehandlung) Die MOUNT_OPTIONS war im orginalen Script aus dem tar.gz nicht korrekt, da fehlte das -o in der Config oder im Script. Da ich -t ext3 mit in die MOUNT_OPTIONS schreibe habe ich mir letztendlich CRYPTO_FS auch gespart. Das Script crypto-umount ist gleich geblieben.
/etc/crypto-mount.conf
Code: | # ********************************************************************* #
# Script for automatically mounting and unmounting a crypted partition #
# by using a keyfile stored on a removable media. This keyfile can be #
# encrypted by gpg. #
# #
# Author: Matthias Schroeer (Anarcho) #
# Date: 01.11.2004 #
# Version: 0.6 #
# License: GPL #
# #
# ToDo: #
# - add support for multiple crypted partitions #
# ********************************************************************* #
#
# 17.02.2006 - modified by slick, who don't like keyfiles, use password only
#
# Config
PW_TRIPLE_MD5="cc9a69285ff5fffd26e33bde2130c56f" # triple md5sum of password
MAX_PW_TRIES=3 # Maximum password tries
PW_TIME_OUT="20" # password timeout in seconds, set to "" to disable
MAPPER_NAME="crypto" # Mapper-device name
DEVICE_NAME="/dev/md6" # Name of the partition-device, e.g. hda3
CRYPTSETUP_OPTIONS="" # Options for cryptsetup like -s 128
CRYPTO_MOUNT="/mnt/crypto" # Moutpoint for the crypto-device
MOUNT_OPTIONS="-t ext3 -o noatime" # Mountoptions for the crypted device |
crypto-mount
Code: | #!/bin/bash
# ********************************************************************* #
# crypto-mount #
# #
# Script for automatically mounting a crypted partition by using a #
# keyfile stored on a removable media. This can be encrypted by gpg. #
# #
# Author: Matthias Schroeer (Anarcho) #
# Date: 05.12.2004 #
# Version: 0.6.2 #
# License: GPL #
# #
# ToDo: #
# - add support for multiple crypted partitions #
# ********************************************************************* #
#
# 17.02.2006 - modified by slick, who don't like keyfiles, use password only
#
unset PASS
# Color definition
cblack='\E[30m'
cred='\E[31m'
cgreen='\E[32m'
cyellow='\E[33m'
cblue='\E[34m'
cmagenta='\E[35m'
ccyan='\E[36m'
cwhite='\E[37m'
cecho ()
# Argument $1 = message
# Argument $2 = color
{
use_color=${2:-$cblack} # Defaults to black, if not specified.
echo -en '\033[1m'"$use_color"
echo -n "$1"
tput sgr0 # Reset to normal.
return
}
# Checking if you are root
if [ `whoami` != "root" ]; then
cecho " ERROR: " $cred
echo "You have to be Super-User to mount $MAPPER_NAME"
exit 1
fi
# Check for config-file
if [ -f /etc/crypto-mount.conf ]; then
source /etc/crypto-mount.conf
else
cecho " ERROR: " $cred
echo "No config file was found (/etc/crypto_mount.conf)"
exit 10
fi
# Checking if the mapper-device already exists
if [ -b /dev/mapper/${MAPPER_NAME} ]; then
cecho " WARNING: " $cyellow
echo "Mapper already created, only trying to mount"
# Checking if already mounted
MOUNT_TEST=`mount | grep /dev/mapper/${MAPPER_NAME}`
if [ "$MOUNT_TEST" == "" ]; then
# Checking mount-options
if [ "$MOUNT_OPTIONS" != "" ]; then MOUNT_OPTIONS="-o $MOUNT_OPTIONS"; fi
# Checking if mountpoiunt for the crypto-device exists
if [ ! -d ${CRYPTO_MOUNT} ]; then
if [ -e ${CRYPTO_MOUNT} ]; then
cecho " ERROR: " $cred
echo "There is a file where a directory should be (${CRYPTO_MOUNT})"
exit 7
else
cecho " WARNING: " $cyellow
echo "The mountpoint does not exist, I will try to create it (${CRYPTO_MOUNT})"
if ! mkdir ${CRYPTO_MOUNT}; then
cecho " ERROR: " $cred
echo "Creating mountpoint (${CRYPTO_MOUNT})"
exit 9
fi
fi
fi
# fsck
fsck /dev/mapper/${MAPPER_NAME}
# Mounting the cryptodevice
if /bin/mount ${MOUNT_OPTIONS} /dev/mapper/${MAPPER_NAME} ${CRYPTO_MOUNT}; then
echo "Crypto-Device mounted succesfully (${CRYPTO_MOUNT})"
exit 0
else
cecho " ERROR: " $cred
echo "Mounting crypto-device"
exit 5
fi
else
cecho " WARNING: " $cyellow
echo "Crypto-device already mounted! (${CRYPTO_MOUNT})"
exit 0
fi
fi
# Checking if the partition to crypt exists
if [ ! -b "${DEVICE_NAME}" ]; then
cecho " ERROR: " $cred
echo "Device does not exist (${DEVICE_NAME})"
exit 6
fi
# Creating the crypto-device
PW_OK="no"
if [ "$PW_TIME_OUT" != "" ]; then
PW_TIME_OUT="-t $PW_TIME_OUT"
fi
COUNTER=0
while [ "$PW_OK" != "yes" ]; do
echo "Sorry, the password is wrong!"
if [ $COUNTER -ge $MAX_PW_TRIES ]; then
cecho " ERROR: " $cred
echo "Maximum password tries are reached!"
exit 12
fi
echo -n "Please enter passphrase (hit ENTER to exit): "; read -ers $PW_TIME_OUT PASS
# Check if only ENTER
if [ "$PASS" == "" ]; then
echo ""
exit 13
fi
# Check if passwort is right
if [ "`echo $PASS | md5sum | cut -d ' ' -f 1 | md5sum | cut -d ' ' -f 1 | md5sum | cut -d ' ' -f 1`" == "$PW_TRIPLE_MD5" ] ; then
PW_OK="yes" ;
fi
COUNTER=$[$COUNTER+1]
done
echo "$PASS" | /bin/cryptsetup ${CRYPTSETUP_OPTIONS} -h plain create ${MAPPER_NAME} ${DEVICE_NAME} && CRYPT_SUCC="yes"
unset PASS; echo ""
#echo $RUN_CRYPT; exit 1
if [ "$CRYPT_SUCC" == "yes" ]; then
# Checking if mountpoiunt for the crypto-device exists
if [ ! -d ${CRYPTO_MOUNT} ]; then
if [ -e ${CRYPTO_MOUNT} ]; then
cecho " ERROR: " $cred
echo "There is a file where a directory should be (${CRYPTO_MOUNT})"
/bin/cryptsetup remove ${MAPPER_NAME}
exit 7
else
cecho " WARNING: " $cyellow
echo "The mountpoint does not exist, I will try to create it (${CRYPTO_MOUNT})"
if ! mkdir ${CRYPTO_MOUNT}; then
cecho " ERROR: " $cred
echo "Creating mountpoint (${CRYPTO_MOUNT})"
exit 9
fi
fi
fi
# fsck
fsck /dev/mapper/${MAPPER_NAME}
# Mounting the cryptodevice
if /bin/mount ${MOUNT_OPTIONS} /dev/mapper/${MAPPER_NAME} ${CRYPTO_MOUNT}; then
cecho " SUCCESS: " $cgreen
echo "Crypto-Device mounted succesfully (${CRYPTO_MOUNT})"
exit 0
else
cecho " ERROR: " $cred
echo "Mounting crypto-device"
cryptsetup remove ${MAPPER_NAME}
exit 5
fi
else
cecho " ERROR: " $cred
echo "Creating the mapper-device (${MAPPER_NAME})"
exit 4
fi
exit 0 |
|
|
Back to top |
|
|
slick Bodhisattva
Joined: 20 Apr 2003 Posts: 3495
|
Posted: Mon Feb 20, 2006 9:10 am Post subject: |
|
|
Habe das gefunden um die Swap ohne Scripte direkt durch die Angabe in der /etc/fstab zu verschlüsseln. Scheint auch zu funktionieren, /dev/loop7 wird dann als Swap eingebunden, allerdings bin ich mir nicht sicher ob die Verschlüsselung auch so funktioniert wie sie soll, da ja Cryptoloop deprecated sein soll. Weiß das jemand genauer? Kann man das testen? Gibt es einen gleichartigen Eintrag für die fstab auch mit dmcrypt?
/etc/fstab
Code: | /dev/hdax none swap sw,loop=/dev/loop7,encryption=AES128 0 0 |
|
|
Back to top |
|
|
flash49 Apprentice
Joined: 12 Feb 2005 Posts: 233
|
Posted: Tue Feb 21, 2006 9:40 pm Post subject: |
|
|
Sorry slick, wenn ich mal kurz das Thema wechsle, aber ich habe hier noch 2 kleine Tipps:
1)Wenn man mit "gpg -d /system.key.gpg|cryptsetup -h plain create bigspace_crypt /dev/evms/bigspace" das verschlüsselte Filesystem erzeugen will und den falschen key eingibt wird das Mapperdevice trotzdem erzeugt! Das Passwort ist dann leer oder sonst irgendwas.
2)Wenn man den Verschlüsselungskey wechseln will oder muß (z.b. weil man obigen Fehler gemacht hat ), dann geht das wie folgt:
Code: | umount /dev/evms/bigspace
gpg -d /system.key.gpg|cryptsetup -h plain create bigspace_crypt /dev/evms/bigspace
#passwort für alten key eingeben
gpg -d /system-neu.key.gpg|cryptsetup -h plain create bigspace_crypt2 /dev/evms/bigspace
#passwort für neuen key eingeben
dd if=/dev/mapper/bigspace_crypt|buffer -s64k -S10m|dd of=/dev/mapper/bigspace_crypt2 |
Ich habe über einen Tag für 220GB gebraucht (ist aber auch nur ein P3/550 ). Vieleicht bringen auch andere Werte für die Buffergröße etwas.
Achtung der Vorgang darf auf keinen Fall unterbrochen werden, sonst habt ihr ein Filesystem, daß halb mit dem einen und halb mit dem anderen Key verschlüsselt ist
Falls ihr den Vorgang dennnoch unterbrochen habt könnt ihr versuchen mit den "seek" und "skip" Optionen an der Stelle weiterzumachen an der ihr aufgehört habt.
Btw. Wenn ihr vorher ein Backup macht, dann schadet das bestimmt auch nicht! _________________ Don't bash me. |
|
Back to top |
|
|
misterjack Veteran
Joined: 03 Oct 2004 Posts: 1655
|
Posted: Thu Mar 16, 2006 4:57 pm Post subject: |
|
|
Dieses Howto entspricht nicht mehr dem Stand der Sicherheitstechnischen Dinge
Eine bessere Alternative ist die zusätzliche Verwendung von LUKS, wie das funktioniert, wird hier beschrieben:
http://de.gentoo-wiki.com/DM-Crypt _________________ „Meine Meinung steht fest! Bitte verwirren Sie mich nicht mit Tatsachen.“ |
|
Back to top |
|
|
slick Bodhisattva
Joined: 20 Apr 2003 Posts: 3495
|
Posted: Fri Mar 17, 2006 12:00 pm Post subject: |
|
|
misterjack wrote: | Eine bessere Alternative ist die zusätzliche Verwendung von LUKS, wie das funktioniert, ... |
http://de.gentoo-wiki.com/DM-Crypt wrote: | Cryptsetup hat einen Schönheitsfehler, es trennt die Informationen des Keys von den zu verschlüsselten Informationen. Die Cryptsetup Parameter stehen in Skripten oder Dateien und wer diese verliert, erhält keinen Zugriff auf seine Daten.
[...]
LUKS trickst Datenretter aus, indem ein AF-Splitter diese Daten um das Viertausendfache aufbläht. Die aufgeblasene Information ist nicht redudant, es ist immer der komplette Datensatz nötig, um den Master-Key zu bestimmen. Fehlt ein Sektor, ist ein Zugriff unmöglich. |
Ich denke hier sollte man genau überlegen was man möchte. Sicher bietet LUKS Vorteile, aber dafür scheint es mir auf den ersten Blick unsicherer in bezug auf Anfälligkeiten der Hardware (defekte Sektoren). Bei normalem Cryptsetup kann ich genannte "Skripte oder Dateien" einfach sichern. Bei LUKS, wenn ich das richtig verstehe, muß ich schon gezielt einzelne Sektoren der Festplatte sichern (sofern überhaupt bekannt welche) um wieder an den Masterkey zu kommen falls auch nur ein Sektor ausfällt. |
|
Back to top |
|
|
misterjack Veteran
Joined: 03 Oct 2004 Posts: 1655
|
Posted: Fri Mar 17, 2006 12:44 pm Post subject: |
|
|
slick wrote: | Die aufgeblasene Information ist nicht redudant, es ist immer der komplette Datensatz nötig, um den Master-Ke aber dafür scheint es mir auf den ersten Blick unsicherer in bezug auf Anfälligkeiten der Hardware (defekte Sektoren) |
dafür gibts doch das:
Festplatten kennen die Funktion Sector Remapping, eine einfache Technik, die einen schlecht lesbaren Sektor in eine reservierte Festplattenzone kopiert und dann sämtlichen Zugriff umleitet wenn man auf nummer sicher gehen will, added man seinen key halt bis die acht slots voll sind. würde jeden key mit einer angehängten ziffer unterscheiden
edit: habe grad mal die homepage durchsucht, ob sowas geplant ist:
Q: How can I backup my keys
You can't. Either stuff the key into another key slot, if you are afraid of damaged sectors that might occour in your phdr, and regularly backup your disk. This is not the place to talk about the benifits of backups, but when using cryptography you are in a much harder position to recover stuff in the event of data loss. _________________ „Meine Meinung steht fest! Bitte verwirren Sie mich nicht mit Tatsachen.“ |
|
Back to top |
|
|
Massimo B. Veteran
Joined: 09 Feb 2005 Posts: 1776 Location: PB, Germany
|
Posted: Tue Mar 21, 2006 7:15 am Post subject: |
|
|
misterjack wrote: | http://de.gentoo-wiki.com/DM-Crypt |
Ich hab sowohl eine luks-Verschlüsselung, als auch eine herkömmliche nach Anleitung mit pam_mount (zum automatischen Öffnen und mounten bei Login) erfolgreich erstellt. Leider hab ich die Verbindung, nämlich eine Passwortübergabe mit pam_mount an luks nicht hinbekommen.
Mit gleichem cipher (aes-cbc-essiv:sha256 in meinem Fall, was die 600Mhz-G3 ziemlich streßt) sollte luks doch die gleiche Sicherheit bieten, wie herkömmliches cryptsetup, nur weniger komfortabel was fallback-Passwort und Passwortänderung betrifft.
http://de.gentoo-wiki.com/Diskussion:DM-Crypt wrote: | | Fragen zur Howto: - Ist die erste Formatierung vor luksFormat nicht unnötig? Besser wäre eine urandom Überschreibung (wie oft erwähnt, ohne auf Sicherheit von (u)random einzugehen).
- Warum /dev/hda1 und nicht direkt /dev/hda? Ist es möglich ein /dev/mapper/_dev_hda erneut zu partitionieren, d.h. ein großes mapper-device auf /dev/hda erstellen, und darauf dann /dev/mapper/_dev_hda1,2,3?
Kurze Frage zur Performance:- aes-cbc-essiv:sha256 mit 256 bit key bringt auf meinem Laptop gerade mal noch 1MB/s Performance, bei maximaler CPU-Last von kjournald, der eigentlich ja nicht für die Verschlüsselung zuständig ist. Ist ext3 auf einer Crypt-Partition nicht zu emfehlen? Von journaled-Dateisystemen wurde stellenweise abgeraten. Gibts einen leichteren cipher ohne mit der Sicherheit und Schlüsselgröße runterzugehen? aes soll doch weniger lastig als blowfish sein?
_________________ HP ZBook Power 15.6" G8 i7-11800H|HP EliteDesk 800G1 i7-4790|HP Compaq Pro 6300 i7-3770 |
|
Back to top |
|
|
misterjack Veteran
Joined: 03 Oct 2004 Posts: 1655
|
Posted: Tue Mar 21, 2006 4:04 pm Post subject: |
|
|
paoleela wrote: |
Ich hab sowohl eine luks-Verschlüsselung, als auch eine herkömmliche nach Anleitung mit pam_mount (zum automatischen Öffnen und mounten bei Login) erfolgreich erstellt. Leider hab ich die Verbindung, nämlich eine Passwortübergabe mit pam_mount an luks nicht hinbekommen. |
sorry, kann ich nix dazu sagen
paoleela wrote: |
Mit gleichem cipher (aes-cbc-essiv:sha256 in meinem Fall, was die 600Mhz-G3 ziemlich streßt) sollte luks doch die gleiche Sicherheit bieten, wie herkömmliches cryptsetup, nur weniger komfortabel was fallback-Passwort und Passwortänderung betrifft. |
Dein Masterkey ist noch lange nicht so gut gesichert wie bei LUKS
http://de.gentoo-wiki.com/Diskussion:DM-Crypt wrote: | |
habe ich übersehen
paoleela wrote: |
Ist die erste Formatierung vor luksFormat nicht unnötig? Besser wäre eine urandom Überschreibung (wie oft erwähnt, ohne auf Sicherheit von (u)random einzugehen). |
Ja stimmt eigentlich, werde es gleich ändern. urandom ist auch nur nötig, wenn man vorhandene daten löschen will. das macht aber shred schon ziemlich gut (25fache Überschreibung)
paoleela wrote: | Warum /dev/hda1 und nicht direkt /dev/hda? |
Teste es doch einfach mal In dem Anwendungsbeispiel geht es ja darum eine Partition zu verschlüsseln Ich mache grad einen Test mit meinen USB-Stick (lahmende USB 1.1 Version) und sieht erfolgversprechend aus. werde demnächst mal ne 3 GB hdd zum testen reinhauen, meine S-ATA ist schon zur Hälfte voll
paoleela wrote: |
Ist es möglich ein /dev/mapper/_dev_hda erneut zu partitionieren, d.h. ein großes mapper-device auf /dev/hda erstellen, und darauf dann /dev/mapper/_dev_hda1,2,3? |
gerade mal ausprobiert mit usbstick:
Code: | Platte /dev/mapper/usbstick: 65 MByte, 65531904 Byte
255 Köpfe, 63 Sektoren/Spuren, 7 Zylinder
Einheiten = Zylinder von 16065 × 512 = 8225280 Bytes
Gerät boot. Anfang Ende Blöcke Id System
/dev/mapper/usbstick1 1 7 56196 83 Linux
misterjack ~ # ls /dev/mapper/
control media usbstick |
scheint nicht möglich zu sein
paoleela wrote: |
aes-cbc-essiv:sha256 mit 256 bit key bringt auf meinem Laptop gerade mal noch 1MB/s Performance, bei maximaler CPU-Last von kjournald, der eigentlich ja nicht für die Verschlüsselung zuständig ist. Ist ext3 auf einer Crypt-Partition nicht zu emfehlen? Von journaled-Dateisystemen wurde stellenweise abgeraten. Gibts einen leichteren cipher ohne mit der Sicherheit und Schlüsselgröße runterzugehen? aes soll doch weniger lastig als blowfish sein? |
ich habe mit blowfish-cbc-essiv:sha256 und 256 bit key ca 19 MiB/s (auf 1.6 GHZ war mein Athlon XP-M während des Transfer-Tests getaktet). mit ext3 formatiert _________________ „Meine Meinung steht fest! Bitte verwirren Sie mich nicht mit Tatsachen.“ |
|
Back to top |
|
|
Evildad Guru
Joined: 15 Apr 2004 Posts: 475
|
Posted: Sun Mar 26, 2006 11:24 am Post subject: |
|
|
Erstmal Danke für das Howto.
Ich habe aber noch eine Frage. Und zwar habe ich jetzt noch vor mehrere Partitionen zu verschlüsseln.
Crypto-mount kann aber leider ja bisher und so wie es aussieht auch noch für lange Zeit nur 1 Partition verwalten.
Gibt es also irgendeine simple Alternative für mehrere Crypto-Partitionen ?
Grüsse |
|
Back to top |
|
|
ScytheMan l33t
Joined: 30 Nov 2005 Posts: 605
|
Posted: Fri Jun 23, 2006 9:25 pm Post subject: |
|
|
Ich habe das ganze mit cryptsetup verschlüsselt, gibt es die Möglichkeit das ganze auf cryptsetup-luks zu migrieren ohne die Daten irgendwo unverschlüsselt abspeichern zu müssen?
gruß ScytheMan |
|
Back to top |
|
|
flash49 Apprentice
Joined: 12 Feb 2005 Posts: 233
|
Posted: Sat Jun 24, 2006 7:42 am Post subject: |
|
|
Falls du damit einen Wechsel des Crypto-Setupprogramms meinst, dann ist das kein Problem, cryptsetup-luks kann auch mit dm-crypt Partitionen arbeiten. Falls du einen Wechsel der verschlüsselten Partition von dm-crypt nach Luks meinst, dann weiß ich das auch nicht. Ich hab auch schon danach gesucht, aber nichts gefunden. Allerdings ist meine Vermutung, das es nicht geht, da luks ja noch einen Header benötigt und für den dürfte bei einer dmcrypt Partition kein Platz mehr sein. |
|
Back to top |
|
|
ScytheMan l33t
Joined: 30 Nov 2005 Posts: 605
|
Posted: Sat Jun 24, 2006 10:05 am Post subject: |
|
|
das cryptsetup-luks da abwärtskompatibel zu sein scheint, weiß ich..
es wäre also theoretisch möglich HDA (cryptsetup) zu mounten mit cryptsetup-luks und dann auf HDB mit cryptsetup-luks eine Verschlüsselte Partition (cryptsetup-luks) zu erstellen und das ganze dann rüberzukopieren?
gibt es für cryptsetup-luks auch sowas wie ein crypto-mount script? |
|
Back to top |
|
|
manuels Advocate
Joined: 22 Nov 2003 Posts: 2146 Location: Europe
|
Posted: Wed Aug 30, 2006 12:31 pm Post subject: |
|
|
misterjack wrote: | Dieses Howto entspricht nicht mehr dem Stand der Sicherheitstechnischen Dinge
Eine bessere Alternative ist die zusätzliche Verwendung von LUKS, wie das funktioniert, wird hier beschrieben:
http://de.gentoo-wiki.com/DM-Crypt |
Hi,
vielleicht solltest du das ganze auf der 1. Seite nochmal schreiben.
auf Seite 10 sieht man es nicht direkt.
Tschö mit ö
Manuel _________________ Build your own live cd with catalyst 2.0! |
|
Back to top |
|
|
lorschy Apprentice
Joined: 16 Jul 2002 Posts: 191
|
Posted: Thu Mar 22, 2007 5:14 pm Post subject: |
|
|
Auch wensn nimmer dem ssicherheitstechnischen stand entspricht, ich nutzt es immer noch bzw. ich versuche es.,
Habe das ganze vor ner weile auf meiner einen partition erstellt und konnte es auch nutzen.
Nun ist einiges an zeit vergangen und ich wollt mal wieder auf die daten zugreiffen.
nun wollte ich das mapper device ersetllen und es passsiert folgendes:
Code: | gpg --quiet -d movies.key.gpg | cryptsetup -h plain create dump /dev/sda1
[b]Command failed: Block device required[/b]
gpg: DBG: connection to agent established
gpg: WARNING: message was not integrity protected |
Code: | fdisk /dev/sda
Disk /dev/sda: 250.0 GB, 250059350016 bytes
255 heads, 63 sectors/track, 30401 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Device Boot Start End Blocks Id System
Command (m for help): q
|
Nun weiss ich nimmer ob das ganze ueber fdisk zu sehen war, aber ich kann mir die Fehlermeldung "Block device required" nicht anders erklaeren als das irgendwie die partition nimmer da ist.
Auf sda war nur eine partition (sda1) und das ganze teil war als ext3 formatiert - und wie gesagt es ging die ganze zeit. |
|
Back to top |
|
|
Mgiese Veteran
Joined: 23 Mar 2005 Posts: 1609 Location: indiana
|
Posted: Wed Nov 28, 2007 12:46 am Post subject: |
|
|
hi, leider ist der 1. post ja schon 3 jahre alt, kann den nicht mal jemand das howto aktuallisieren ? mich interessiert das thema erst seit kurzem und wenn ich dem howto des allerersten posts folge, komme ich schon hier nicht weiter :
Code: | # head -c 1000 < /dev/urandom | uuencode -m - | grep -v begin | head -c 32 >TEST.key
bash: uuencode: command not found
|
als ich cryptsetup installieren wollte bekam ich ausserdem folgende probleme :
Code: | # emerge sys-fs/cryptsetup --pretend
These are the packages that would be merged, in order:
Calculating dependencies... done!
[ebuild N ] sys-fs/cryptsetup-1.0.5-r1 USE="nls -build -dynamic (-selinux)"
[blocks B ] sys-fs/cryptsetup-luks (is blocking sys-fs/cryptsetup-1.0.5-r1)
[blocks B ] sys-fs/cryptsetup (is blocking sys-fs/cryptsetup-luks-1.0.4-r3)
localhost usixq # emerge -C cryptsetup-luks && emerge sys-fs/cryptsetup
|
nun weiss ich nicht ob ich cryptsetup-luks evl doch benoetige, oder was der unterschied zwischen den 2 programmen ist.
spielt es eine rolle ob ich eine reiserfs oder ext3 partition nehme ?
mfg
EDIT : mein post hat sich erledigt, ich werde morgen mal diesem howto folgen : http://de.gentoo-wiki.com/DM-Crypt _________________ I do not have a Superman complex, for I am God not Superman
Ryzen9 7950x ; Geforce1650 ; kernel 6.5 ; XFCE |
|
Back to top |
|
|
ezfox n00b
Joined: 17 Jun 2004 Posts: 40
|
Posted: Wed Mar 05, 2008 10:03 am Post subject: |
|
|
habe seit heute selbiges problem:
emerge -uDvp world
[ebuild N ] sys-fs/cryptsetup-1.0.5-r1 USE="nls -build -dynamic (-selinux)" 315 kB
[blocks B ] sys-fs/cryptsetup-luks (is blocking sys-fs/cryptsetup-1.0.5-r1)
[blocks B ] sys-fs/cryptsetup (is blocking sys-fs/cryptsetup-luks-1.0.4-r3)
Total: 1 package (1 new, 2 blocks), Size of downloads: 315 kB
was brauch ich denn nun ? |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|