View previous topic :: View next topic |
Author |
Message |
zielscheibe l33t
Joined: 02 Apr 2004 Posts: 804 Location: Aachen
|
Posted: Thu Nov 25, 2004 10:08 pm Post subject: |
|
|
Bitte Konsolenmeldungen in den "code" Tags hier ins Forum stellen. Is übersichtlicher.
Zu deinem Problem. Bis du als root angemeldet, welche gpg Version verwendest du? Besteht das Problem nach einem Löschen von "dave.key" sowie dem nachgelagertem Ausführen von
Code: |
head -c 1000 < /dev/urandom | uuencode -m - | grep -v begin | head -c 32 >dave.key
gpg -c dave.key
|
|
|
Back to top |
|
|
Anarcho Advocate
Joined: 06 Jun 2004 Posts: 2970 Location: Germany
|
Posted: Fri Nov 26, 2004 5:53 am Post subject: |
|
|
Erstell einfach das Verzeichnis .gnupg
also
_________________ ...it's only Rock'n'Roll, but I like it! |
|
Back to top |
|
|
Hotstuff Guru
Joined: 19 Sep 2004 Posts: 487 Location: Schweiz ( Zürich )
|
Posted: Mon Nov 29, 2004 9:09 pm Post subject: |
|
|
Hallo
Wenn ich den Befehl eingebe kommt das
Befehl
Code: | head -c 1000 < /dev/hdb1 | uuencode -m - | grep -v begin | head -c 32 >dave.key |
Fehlermeldung
Code: | bash: uuencode: command not found
|
Gruss Dave _________________ Root Server 1: INTEL Core 2 Quad Q6600 "Kentsfield", 4x 2.40GHz, 4GB DDR2 Ram, Gentoo 2007.0 32Bit
Root Server 2: INTEL Core 2 Quad Q6600 "Kentsfield", 4x 2.40GHz, 4GB DDR2 Ram, Gentoo 2007.0 64Bit |
|
Back to top |
|
|
zielscheibe l33t
Joined: 02 Apr 2004 Posts: 804 Location: Aachen
|
Posted: Mon Nov 29, 2004 9:37 pm Post subject: |
|
|
Ähh, zitiere mal das Howto
Code: |
head -c 1000 < /dev/urandom | uuencode -m - | grep -v begin | head -c 32 >dave.key
|
zu deinem Code listening
Code: |
head -c 1000 < /dev/hdb1 | uuencode -m - | grep -v begin | head -c 32 >dave.key
|
Tippfehler oder Absicht? |
|
Back to top |
|
|
toskala Advocate
Joined: 14 Dec 2002 Posts: 2080 Location: hamburg, germany
|
Posted: Tue Nov 30, 2004 8:32 am Post subject: |
|
|
lieber dave,
das howto ist so geschrieben, dass du fast alle sachen via copy und paste lösen kannst.
die dinge die du anpassen musst, habe ich in <> geschrieben.
und mit /dev/urandom meine ich wirklich /dev/urandom
aber falls dir uuencode wirklich fehlt (das findest du raus mittels 'whereis uuencode')
dann solltest du das paket "app-arch/sharutils" installieren.
Code: | emerge app-arch/sharutils |
fertig. _________________ adopt an unanswered post
erst denken, dann posten |
|
Back to top |
|
|
tinux n00b
Joined: 28 Nov 2004 Posts: 4
|
Posted: Tue Nov 30, 2004 6:08 pm Post subject: |
|
|
Danke auch meinerseits fürs HOWTO! Ich plane, mein home verschlüsselt abzulegen. Dafür würde sich ja eigentlich auch ein via loop device gemountetes, verschlüsseltes image eignen. Was sind denn die Vor- und Nachteile der einen oder anderen Lösung? Weiss per Zufall auch jemand, ob es plattformübergreifende Lösungen (mit Mac OS X) gibt?
Danke!
Martin |
|
Back to top |
|
|
Hotstuff Guru
Joined: 19 Sep 2004 Posts: 487 Location: Schweiz ( Zürich )
|
Posted: Tue Nov 30, 2004 7:05 pm Post subject: |
|
|
Hallo
Ich scheidere schon wider.
Bei diesen Befehl
Code: | gpg --quiet -d dave.key.pgp | cryptsetup -h plain create dave /dev/hdb1
|
Kommt diese Fehlermeldung
Code: | root@localhost dave # gpg --quiet -d dave.key.pgp | cryptsetup -h plain create dave /dev/hdb1
gpg: 'dave.key.pgp' kann nicht geöffnet werden
gpg: decrypt_message failed: Fehler beim Öffnen der Datei
Command failed: Das Argument ist ungültig
|
Was mache ich schon wieder faltsch, was fehlt?
Gruss Dave _________________ Root Server 1: INTEL Core 2 Quad Q6600 "Kentsfield", 4x 2.40GHz, 4GB DDR2 Ram, Gentoo 2007.0 32Bit
Root Server 2: INTEL Core 2 Quad Q6600 "Kentsfield", 4x 2.40GHz, 4GB DDR2 Ram, Gentoo 2007.0 64Bit |
|
Back to top |
|
|
Anarcho Advocate
Joined: 06 Jun 2004 Posts: 2970 Location: Germany
|
Posted: Wed Dec 01, 2004 7:28 am Post subject: |
|
|
dave1986 wrote: | Hallo
Ich scheidere schon wider.
Bei diesen Befehl
Code: | gpg --quiet -d dave.key.pgp | cryptsetup -h plain create dave /dev/hdb1
|
Kommt diese Fehlermeldung
Code: | root@localhost dave # gpg --quiet -d dave.key.pgp | cryptsetup -h plain create dave /dev/hdb1
gpg: 'dave.key.pgp' kann nicht geöffnet werden
gpg: decrypt_message failed: Fehler beim Öffnen der Datei
Command failed: Das Argument ist ungültig
|
Was mache ich schon wieder faltsch, was fehlt?
Gruss Dave |
Bist du auch sicher das du im richtigen Verzeichnis bist????
Du musst dabei im gleichen Verzeichnis sein, in dem auch die dave.key.gpg liegt. Andernfalls musst du den ganzen Pfad mit angeben.
BTW. Ich würde mir sorgen um meine Rechtschreibung/Grammatik machen... _________________ ...it's only Rock'n'Roll, but I like it! |
|
Back to top |
|
|
toskala Advocate
Joined: 14 Dec 2002 Posts: 2080 Location: hamburg, germany
|
Posted: Wed Dec 01, 2004 8:11 am Post subject: |
|
|
hi dave,
wie anarcho schon sagte, kuck ob der pfad passt, bzw. die datei so heisst, in einem beitrag weiter oben, hast du getippt, dass du deinen key "dave.key" genannt hast.
kuck ob alles richtig stimmt.
viel erfolg noch
toskala _________________ adopt an unanswered post
erst denken, dann posten |
|
Back to top |
|
|
euphi2 n00b
Joined: 25 Aug 2004 Posts: 60
|
Posted: Wed Dec 01, 2004 3:30 pm Post subject: |
|
|
toskala wrote: | l
und mit /dev/urandom meine ich wirklich /dev/urandom
|
Der ganz Paranoide nimmt natürlich trotzdem /dev/random
Euphi |
|
Back to top |
|
|
euphi2 n00b
Joined: 25 Aug 2004 Posts: 60
|
Posted: Wed Dec 01, 2004 3:49 pm Post subject: |
|
|
Kommt diese Fehlermeldung
Code: | root@localhost dave # gpg --quiet -d dave.key.pgp | cryptsetup -h plain create dave /dev/hdb1
gpg: 'dave.key.pgp' kann nicht geöffnet werden
gpg: decrypt_message failed: Fehler beim Öffnen der Datei
Command failed: Das Argument ist ungültig
|
Was mache ich schon wieder faltsch, was fehlt?
[/quote]
Gleich zwei Sachen, zum einen findet der Deinen Key nicht, zum anderen kann cryptsetup nicht auf dein Device /dev/hdb1 zugreifen. Kann es sein, daß das noch gemountet ist?
Euphi |
|
Back to top |
|
|
Coogee Apprentice
Joined: 23 Apr 2002 Posts: 184 Location: E.U.
|
Posted: Sat Dec 04, 2004 2:09 pm Post subject: |
|
|
Hallo Leute,
ich habe für KDE ein kleines Script geschrieben, das das Einhängen und Aushängen der Crypto-Partition KDE-like handelt.
Bei jedem Aufruf wird geprüft, ob die Partition schon gemounted ist. Wenn nicht, wird das Passwort abgefragt und die Partition eingehängt.
Wenn sie schon gemounted war, wird sie wieder ausgehängt/umounted.
Alle Dialoge/Abfragen werden über KDialog abgefahren.
Code: | #!/bin/sh
MNT_DIR="/mnt/crypt"
KEY="/home/user/crypt.key.gpg"
MAPPER_DEV_NAME="crypt"
DEV="/dev/hda1"
TITLE="--title Crypt"
if ( ! /bin/grep -sq $MNT_DIR /etc/mtab ); then
$KDEDIR/bin/kdialog $TITLE --password 'Verschlüsselte Partition einbinden' | /usr/bin/gpg --passphrase-fd 0 --batch -d $KEY | /usr/bin/sudo /bin/cryptsetup -h plain create $MAPPER_DEV_NAME $DEV && /bin/mount $MNT_DIR
if ( /bin/grep -sq $MNT_DIR /etc/mtab ); then
$KDEDIR/bin/kdialog $TITLE --msgbox 'Verschlüsselte Partition eingebunden'
else /usr/bin/sudo /bin/cryptsetup remove $MAPPER_DEV_NAME
$KDEDIR/bin/kdialog $TITLE --error 'Mounten der verschlüsselten Partition fehlgeschlagen!'
fi
else /bin/umount $MNT_DIR
if ( /bin/grep -sq $MNT_DIR /etc/mtab ); then
$KDEDIR/bin/kdialog $TITLE --error 'Umount der verschlüsselten Partition fehlgeschlagen!'
else /usr/bin/sudo /bin/cryptsetup remove $MAPPER_DEV_NAME
$KDEDIR/bin/kdialog $TITLE --msgbox 'Verschlüsselte Partition nicht mehr eingebunden'
fi
fi
| Die Variablen am Anfang müssen natürlich dem jeweiligen System noch angepaßt werden.
Damit man alles auch als normaler User ausführen kann, muß noch Sudo installiert werden:
Code: | emerge app-admin/sudo |
Dazu die passende Zeile in /etc/sudoers:
Code: | username ALL=NOPASSWD: /bin/cryptsetup
| ('username' bitte anpassen)
Außerdem noch ein Eintrag in /etc/fstab:
Code: | /dev/mapper/crypt /mnt/crypt ext3 rw,noauto,users,noatime 0 0
| (Device, Mount-Point und File-System müssen dem System angepaßt werden)
Ich habe mir auf dem Desktop ein Icon erzeugt (Mittel-Klick auf Desktop->Neu erstellen->Datei->Verknüpfung zu Programm...), womit ich per einfachen Klick die Partition ein- und aushängen kann.
Ich hoffe, ihr könnt was damit anfangen... |
|
Back to top |
|
|
DarKRaveR Guru
Joined: 11 Oct 2003 Posts: 500 Location: Old Europe/G-Many
|
Posted: Sat Dec 04, 2004 2:25 pm Post subject: |
|
|
Noch eine Sache die im HOWTO fehlt:
Entweder Swap deaktivieren oder auch crypten, denn sonst liegen da im zweifelsfall Infos die das brechen beschleunigen können.
Und sonst:
Solltest Du es hinbekommen die root partition zu crypten, dann wäre das eine Erweiterung der HowTo wert |
|
Back to top |
|
|
golloza Guru
Joined: 14 Mar 2004 Posts: 427
|
Posted: Sat Dec 04, 2004 3:29 pm Post subject: |
|
|
Wieso wollt ihr überhaupt / verschlüsseln?
Sensible Daten macht man auf ne eigene Partition (bzw. verschlüsselt /home), der Rest ist doch uninteressant, kostet nur Performance und ist ein ziemlicher Aufwand beim Booten. |
|
Back to top |
|
|
Haldir Guru
Joined: 27 Sep 2002 Posts: 546
|
Posted: Sat Dec 04, 2004 3:43 pm Post subject: |
|
|
Höchstens noch /etc und /var verschlüsseln, den Rest von root braucht man imho nicht |
|
Back to top |
|
|
DarKRaveR Guru
Joined: 11 Oct 2003 Posts: 500 Location: Old Europe/G-Many
|
Posted: Sat Dec 04, 2004 5:04 pm Post subject: |
|
|
Muß da grade nochmal einhaken:
Verschlüsselst Du /tmp nicht, kannst Du von vorneherein auf die ganze aktion verzichten.
Ähnlichs gilt für /var.
Und ab nem gewissen zeitpunktist der aufwand, lauter teilbäume auf eigene gecryptete devics zu legen einfach zu hoch, daher die 'faule methode' |
|
Back to top |
|
|
Haldir Guru
Joined: 27 Sep 2002 Posts: 546
|
Posted: Sat Dec 04, 2004 6:29 pm Post subject: |
|
|
Über tmp kann man bei linux diskutieren, ob sich das zu encrypten lohnt, insb. wenn deine restlichen verschlüsselten Partitionen eher wegen den Daten (MP3 etc.) relevant sind und nicht weil du Passwörter drauf hast.
Trotzdem ist tmp und swap zu encrypten eher eine leichte Aufgabe, es gibt dafür auch schon feste Wege. Für den Normalfall des typischen Users hier, der seine MP3s usw. verschlüsseln will, reicht sicher das Verzeichnis mit den Daten + Swap. Ob man tmp verschlüssen sollte, hängt wohl ziemlich von den benützten Programmen ab. |
|
Back to top |
|
|
toskala Advocate
Joined: 14 Dec 2002 Posts: 2080 Location: hamburg, germany
|
Posted: Sat Dec 04, 2004 7:57 pm Post subject: |
|
|
das problem beim swap crypten ist die performance, mal ganz davon abgesehen, dass ich das problem hierbei nicht ganz sehe. afaik wird swap doch leer gemacht wenn umounted. also nehmen wir mal das std. vorgehen wenn man einen busten will.
strom weg,
rechner fährt runter,
rechner wird neu gestartet,
swap gemounted,
crypt partition geht nicht mit hoch,
viel spass?
oder überseh ich grade was? _________________ adopt an unanswered post
erst denken, dann posten |
|
Back to top |
|
|
Hotstuff Guru
Joined: 19 Sep 2004 Posts: 487 Location: Schweiz ( Zürich )
|
Posted: Sat Dec 04, 2004 8:01 pm Post subject: |
|
|
Hallo
Man ich komme auch nicht weiter. Im welchen Verzeichnis muss ich dan sein.
Kommt immer die Fehler Meldung
Code: | root@localhost dave # gpg --quiet -d dave.key.pgp | cryptsetup -h plain create appz /dev/hdb1
gpg: 'dave.key.pgp' kann nicht geöffnet werden
gpg: decrypt_message failed: Fehler beim Öffnen der Datei
Command failed: Das Argument ist ungültig
|
Könnt ihr mir helfen
Gruss Dave _________________ Root Server 1: INTEL Core 2 Quad Q6600 "Kentsfield", 4x 2.40GHz, 4GB DDR2 Ram, Gentoo 2007.0 32Bit
Root Server 2: INTEL Core 2 Quad Q6600 "Kentsfield", 4x 2.40GHz, 4GB DDR2 Ram, Gentoo 2007.0 64Bit |
|
Back to top |
|
|
Haldir Guru
Joined: 27 Sep 2002 Posts: 546
|
Posted: Sat Dec 04, 2004 8:08 pm Post subject: |
|
|
Naja toskala, leermachen von der Swap Partition hat nix mit echtem Leermachen (also mehrmalig null/rand/null drüber schreiben zu tun).
Die Swap partition kann daher noch informationen über den inhalt deiner crypto part beinhalten. z.b. Dateipfade und u.U. auch Teilinhalte von Dateien. Daher mag es Sicherheitsprobleme geben |
|
Back to top |
|
|
toskala Advocate
Joined: 14 Dec 2002 Posts: 2080 Location: hamburg, germany
|
Posted: Sat Dec 04, 2004 10:37 pm Post subject: |
|
|
ja, abgesehen davon passiert das aber nur, wenn das was man aus der crypto partition liest auch tatsächlich im swap landet. wenn ich mir mein top mal ansehe
Code: |
Mem: 1034764k total, 589272k used, 445492k free, 37736k buffers
Swap: 506036k total, 0k used, 506036k free, 393080k cached |
ist das nich so wild.
aber bezüglich des leermachens, wenn swap genutzt wird, dann wird das ja sofort wieder mehrmals überschrieben, ich halte das sicherheitsloch welches aus swap heraus entsteht eher für sehr gering, da meine idee dazu so aussieht:
eine maschine mit so wenig ram, dass sie swap braucht swapped wohl öfter als nur exakt das eine mal an dem eine verschlüsselte datei verwendet wird.
davon ausgehend swapped sie ständig auch normale daten drüber, was ja bedeuten würde, dass das verwerfliche file nur relativ kurz im swap liegen bleibt.
aber ich bin kein speicher-experte, ich überlege nur grade ob das wirklich ein problem darstellt. _________________ adopt an unanswered post
erst denken, dann posten |
|
Back to top |
|
|
toskala Advocate
Joined: 14 Dec 2002 Posts: 2080 Location: hamburg, germany
|
Posted: Sat Dec 04, 2004 10:39 pm Post subject: |
|
|
dave1986 wrote: |
Code: | root@localhost dave # gpg --quiet -d dave.key.pgp | cryptsetup -h plain create appz /dev/hdb1
gpg: 'dave.key.pgp' kann nicht geöffnet werden
gpg: decrypt_message failed: Fehler beim Öffnen der Datei
Command failed: Das Argument ist ungültig
|
Könnt ihr mir helfen
|
dave, was sagt ein:
wenn du das als root ausführst?
ich bin mir sehr sicher, dass die datei hier nicht existiert wo du sie suchst. _________________ adopt an unanswered post
erst denken, dann posten |
|
Back to top |
|
|
Haldir Guru
Joined: 27 Sep 2002 Posts: 546
|
Posted: Sat Dec 04, 2004 10:57 pm Post subject: |
|
|
Hmm, ich hatte mal kurz uncrypted swap mounted und ne runde mit Samba aufm Server Dateien rumgeschaufelt und über Apache Mp3s geserved für mein Pinnacle Showcenter, dann hab ich mal den swap (512mb) in ne Datei gepackt und durchsucht, zumindest Pfade zu verschlüsselten Verzeichnissen sind aufgetaucht im swap |
|
Back to top |
|
|
DarKRaveR Guru
Joined: 11 Oct 2003 Posts: 500 Location: Old Europe/G-Many
|
Posted: Sun Dec 05, 2004 12:38 am Post subject: |
|
|
@tosk/hal:
JA, das mit wap mag übertrieben sein. Ist vielleicht auch ne Frage wie genau der Rechner genutzt wird etc.
Ich würde ja bei nem ordentlich großen Server notfalls einfach auf Swap verzichten, weil eh mehr als genug RAM. Auf der anderen Seite kann man den Swap natürlich mit einer geringeren bitbreite encrypten und nem anderen key, natürlich es ist immernoch ein schwaches Glied, aber besser als ungeschützt.
Ich stimme zu, bei den meisten Szenarien mag es unsinnig sein.
Aber soweit ich weiß, wird der swapspace, auch bei nem clean unmount nicht wirklich gewiped, wozu auch ....
Nehmen wir mal als Szenario ein Rechner, Fileserver, zum Beispiel von Arztpraxis oder einr Kanzelei, ich glaube das wären Situationen, wo man nicht wollen würde, daß Patienten-/Klienteninformationen vielleicht doch mal unverschlüsselt im Swap oder im tmp liegen, falls die Kiste abhanden käme.
Sicherlich ein extremes Szenario, aber vielleicht doch für die Zukunft eine Überlegung wert ? |
|
Back to top |
|
|
Anarcho Advocate
Joined: 06 Jun 2004 Posts: 2970 Location: Germany
|
Posted: Sun Dec 05, 2004 8:14 am Post subject: |
|
|
Aber dann würde ich doch eher dazu tendieren 512 MB mehr Ram zu verbauen und auf Swap zu verzichten, denn swap mit verschlüsselung dürfet performance-mässig der hammer sein.
Man überlege: Die Datei muss entschlüsselt werden, dann wird bemerkt das der RAM voll ist, speichert sie also in teilen im Swap, was eh schon leistungseinbruch bedeutet. Beim Speicher muss diese Datei nochmals verschlüsselt und beim wieder rauslesen wieder entschlüsselt werden.
Wir haben also statt 1 mal entschlüssel 2 mal entschlüssel und einmal verschlüssel + langsamer durch festplatte.
Also dann doch lieber 90 ¤ ausgeben um mehr Speicher zu haben.
Bei /tmp mag das schon eher sinnvoll sein. _________________ ...it's only Rock'n'Roll, but I like it! |
|
Back to top |
|
|
|