Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
partition verschlüsseln mit dmcrypt
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

Goto page Previous  1, 2, 3, 4, 5, 6 ... 9, 10, 11  Next  
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Deutsche Dokumentation
View previous topic :: View next topic  
Author Message
zielscheibe
l33t
l33t


Joined: 02 Apr 2004
Posts: 804
Location: Aachen

PostPosted: Thu Nov 25, 2004 10:08 pm    Post subject: Reply with quote

Bitte Konsolenmeldungen in den "code" Tags hier ins Forum stellen. Is übersichtlicher. :)

Zu deinem Problem. Bis du als root angemeldet, welche gpg Version verwendest du? Besteht das Problem nach einem Löschen von "dave.key" sowie dem nachgelagertem Ausführen von
Code:

head -c 1000 < /dev/urandom | uuencode -m - | grep -v begin | head -c 32 >dave.key

gpg -c dave.key

:?:
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2959
Location: Wuppertal (Germany)

PostPosted: Fri Nov 26, 2004 5:53 am    Post subject: Reply with quote

Erstell einfach das Verzeichnis .gnupg

also

Code:
mkdir /root/.gnupg

_________________
...it's only Rock'n'Roll, but I like it!
HOWTO:WLAN mit OpenVPN absichern | TOOL:useedit - USE-flag editor/changer
Back to top
View user's profile Send private message
Hotstuff
Guru
Guru


Joined: 19 Sep 2004
Posts: 487
Location: Schweiz ( Zürich )

PostPosted: Mon Nov 29, 2004 9:09 pm    Post subject: Reply with quote

Hallo

Wenn ich den Befehl eingebe kommt das

Befehl

Code:
head -c 1000 < /dev/hdb1 | uuencode -m - | grep -v begin | head -c 32 >dave.key


Fehlermeldung

Code:
bash: uuencode: command not found


Gruss Dave
_________________
Root Server 1: INTEL Core 2 Quad Q6600 "Kentsfield", 4x 2.40GHz, 4GB DDR2 Ram, Gentoo 2007.0 32Bit
Root Server 2: INTEL Core 2 Quad Q6600 "Kentsfield", 4x 2.40GHz, 4GB DDR2 Ram, Gentoo 2007.0 64Bit
Back to top
View user's profile Send private message
zielscheibe
l33t
l33t


Joined: 02 Apr 2004
Posts: 804
Location: Aachen

PostPosted: Mon Nov 29, 2004 9:37 pm    Post subject: Reply with quote

Ähh, zitiere mal das Howto
Code:

head -c 1000 < /dev/urandom | uuencode -m - | grep -v begin | head -c 32 >dave.key

zu deinem Code listening
Code:

head -c 1000 < /dev/hdb1 | uuencode -m - | grep -v begin | head -c 32 >dave.key


Tippfehler oder Absicht?
Back to top
View user's profile Send private message
toskala
Advocate
Advocate


Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany

PostPosted: Tue Nov 30, 2004 8:32 am    Post subject: Reply with quote

lieber dave,

das howto ist so geschrieben, dass du fast alle sachen via copy und paste lösen kannst.
die dinge die du anpassen musst, habe ich in <> geschrieben.

und mit /dev/urandom meine ich wirklich /dev/urandom :)

aber falls dir uuencode wirklich fehlt (das findest du raus mittels 'whereis uuencode')

dann solltest du das paket "app-arch/sharutils" installieren.

Code:
emerge app-arch/sharutils


fertig.
_________________
adopt an unanswered post
erst denken, dann posten
Back to top
View user's profile Send private message
tinux
n00b
n00b


Joined: 28 Nov 2004
Posts: 4

PostPosted: Tue Nov 30, 2004 6:08 pm    Post subject: Reply with quote

Danke auch meinerseits fürs HOWTO! Ich plane, mein home verschlüsselt abzulegen. Dafür würde sich ja eigentlich auch ein via loop device gemountetes, verschlüsseltes image eignen. Was sind denn die Vor- und Nachteile der einen oder anderen Lösung? Weiss per Zufall auch jemand, ob es plattformübergreifende Lösungen (mit Mac OS X) gibt?
Danke!
Martin
Back to top
View user's profile Send private message
Hotstuff
Guru
Guru


Joined: 19 Sep 2004
Posts: 487
Location: Schweiz ( Zürich )

PostPosted: Tue Nov 30, 2004 7:05 pm    Post subject: Reply with quote

Hallo

Ich scheidere schon wider.

Bei diesen Befehl

Code:
gpg --quiet -d dave.key.pgp | cryptsetup -h plain create dave /dev/hdb1


Kommt diese Fehlermeldung

Code:
root@localhost dave # gpg --quiet -d dave.key.pgp | cryptsetup -h plain create dave /dev/hdb1
gpg: 'dave.key.pgp' kann nicht geöffnet werden
gpg: decrypt_message failed: Fehler beim Öffnen der Datei
Command failed: Das Argument ist ungültig


Was mache ich schon wieder faltsch, was fehlt?

Gruss Dave
_________________
Root Server 1: INTEL Core 2 Quad Q6600 "Kentsfield", 4x 2.40GHz, 4GB DDR2 Ram, Gentoo 2007.0 32Bit
Root Server 2: INTEL Core 2 Quad Q6600 "Kentsfield", 4x 2.40GHz, 4GB DDR2 Ram, Gentoo 2007.0 64Bit
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2959
Location: Wuppertal (Germany)

PostPosted: Wed Dec 01, 2004 7:28 am    Post subject: Reply with quote

dave1986 wrote:
Hallo

Ich scheidere schon wider.

Bei diesen Befehl

Code:
gpg --quiet -d dave.key.pgp | cryptsetup -h plain create dave /dev/hdb1


Kommt diese Fehlermeldung

Code:
root@localhost dave # gpg --quiet -d dave.key.pgp | cryptsetup -h plain create dave /dev/hdb1
gpg: 'dave.key.pgp' kann nicht geöffnet werden
gpg: decrypt_message failed: Fehler beim Öffnen der Datei
Command failed: Das Argument ist ungültig


Was mache ich schon wieder faltsch, was fehlt?


Gruss Dave


Bist du auch sicher das du im richtigen Verzeichnis bist????
Du musst dabei im gleichen Verzeichnis sein, in dem auch die dave.key.gpg liegt. Andernfalls musst du den ganzen Pfad mit angeben.

BTW. Ich würde mir sorgen um meine Rechtschreibung/Grammatik machen...
_________________
...it's only Rock'n'Roll, but I like it!
HOWTO:WLAN mit OpenVPN absichern | TOOL:useedit - USE-flag editor/changer
Back to top
View user's profile Send private message
toskala
Advocate
Advocate


Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany

PostPosted: Wed Dec 01, 2004 8:11 am    Post subject: Reply with quote

hi dave,

wie anarcho schon sagte, kuck ob der pfad passt, bzw. die datei so heisst, in einem beitrag weiter oben, hast du getippt, dass du deinen key "dave.key" genannt hast.

kuck ob alles richtig stimmt.

viel erfolg noch ;)
toskala
_________________
adopt an unanswered post
erst denken, dann posten
Back to top
View user's profile Send private message
euphi2
n00b
n00b


Joined: 25 Aug 2004
Posts: 59

PostPosted: Wed Dec 01, 2004 3:30 pm    Post subject: Reply with quote

toskala wrote:
l
und mit /dev/urandom meine ich wirklich /dev/urandom :)

Der ganz Paranoide nimmt natürlich trotzdem /dev/random :-)

Euphi
Back to top
View user's profile Send private message
euphi2
n00b
n00b


Joined: 25 Aug 2004
Posts: 59

PostPosted: Wed Dec 01, 2004 3:49 pm    Post subject: Reply with quote

Kommt diese Fehlermeldung

Code:
root@localhost dave # gpg --quiet -d dave.key.pgp | cryptsetup -h plain create dave /dev/hdb1
gpg: 'dave.key.pgp' kann nicht geöffnet werden
gpg: decrypt_message failed: Fehler beim Öffnen der Datei
Command failed: Das Argument ist ungültig

Was mache ich schon wieder faltsch, was fehlt?
[/quote]

Gleich zwei Sachen, zum einen findet der Deinen Key nicht, zum anderen kann cryptsetup nicht auf dein Device /dev/hdb1 zugreifen. Kann es sein, daß das noch gemountet ist?


Euphi
Back to top
View user's profile Send private message
Coogee
Apprentice
Apprentice


Joined: 23 Apr 2002
Posts: 184
Location: E.U.

PostPosted: Sat Dec 04, 2004 2:09 pm    Post subject: Reply with quote

Hallo Leute,

ich habe für KDE ein kleines Script geschrieben, das das Einhängen und Aushängen der Crypto-Partition KDE-like handelt.
Bei jedem Aufruf wird geprüft, ob die Partition schon gemounted ist. Wenn nicht, wird das Passwort abgefragt und die Partition eingehängt.
Wenn sie schon gemounted war, wird sie wieder ausgehängt/umounted.
Alle Dialoge/Abfragen werden über KDialog abgefahren.

Code:
#!/bin/sh

MNT_DIR="/mnt/crypt"
KEY="/home/user/crypt.key.gpg"
MAPPER_DEV_NAME="crypt"
DEV="/dev/hda1"
TITLE="--title Crypt"

if ( ! /bin/grep -sq $MNT_DIR /etc/mtab ); then
   $KDEDIR/bin/kdialog $TITLE --password 'Verschlüsselte Partition einbinden' | /usr/bin/gpg --passphrase-fd 0 --batch -d $KEY | /usr/bin/sudo /bin/cryptsetup -h plain create $MAPPER_DEV_NAME $DEV && /bin/mount $MNT_DIR
   if ( /bin/grep -sq $MNT_DIR /etc/mtab ); then
      $KDEDIR/bin/kdialog $TITLE --msgbox 'Verschlüsselte Partition eingebunden'
   else   /usr/bin/sudo /bin/cryptsetup remove $MAPPER_DEV_NAME
      $KDEDIR/bin/kdialog $TITLE --error 'Mounten der verschlüsselten Partition fehlgeschlagen!'
   fi
else   /bin/umount $MNT_DIR
   if ( /bin/grep -sq $MNT_DIR /etc/mtab ); then
      $KDEDIR/bin/kdialog $TITLE --error 'Umount der verschlüsselten Partition fehlgeschlagen!'
   else   /usr/bin/sudo /bin/cryptsetup remove $MAPPER_DEV_NAME
      $KDEDIR/bin/kdialog $TITLE --msgbox 'Verschlüsselte Partition nicht mehr eingebunden'
   fi
fi
Die Variablen am Anfang müssen natürlich dem jeweiligen System noch angepaßt werden.


Damit man alles auch als normaler User ausführen kann, muß noch Sudo installiert werden:
Code:
emerge app-admin/sudo

Dazu die passende Zeile in /etc/sudoers:
Code:
username      ALL=NOPASSWD:   /bin/cryptsetup
('username' bitte anpassen)


Außerdem noch ein Eintrag in /etc/fstab:
Code:
/dev/mapper/crypt   /mnt/crypt   ext3   rw,noauto,users,noatime   0 0
(Device, Mount-Point und File-System müssen dem System angepaßt werden)


Ich habe mir auf dem Desktop ein Icon erzeugt (Mittel-Klick auf Desktop->Neu erstellen->Datei->Verknüpfung zu Programm...), womit ich per einfachen Klick die Partition ein- und aushängen kann.

Ich hoffe, ihr könnt was damit anfangen... :D
Back to top
View user's profile Send private message
DarKRaveR
Guru
Guru


Joined: 11 Oct 2003
Posts: 500
Location: Old Europe/G-Many

PostPosted: Sat Dec 04, 2004 2:25 pm    Post subject: Reply with quote

Noch eine Sache die im HOWTO fehlt:

Entweder Swap deaktivieren oder auch crypten, denn sonst liegen da im zweifelsfall Infos die das brechen beschleunigen können.

Und sonst:

Solltest Du es hinbekommen die root partition zu crypten, dann wäre das eine Erweiterung der HowTo wert :twisted:
Back to top
View user's profile Send private message
golloza
Guru
Guru


Joined: 14 Mar 2004
Posts: 427

PostPosted: Sat Dec 04, 2004 3:29 pm    Post subject: Reply with quote

Wieso wollt ihr überhaupt / verschlüsseln?
Sensible Daten macht man auf ne eigene Partition (bzw. verschlüsselt /home), der Rest ist doch uninteressant, kostet nur Performance und ist ein ziemlicher Aufwand beim Booten.
Back to top
View user's profile Send private message
Haldir
Guru
Guru


Joined: 27 Sep 2002
Posts: 546

PostPosted: Sat Dec 04, 2004 3:43 pm    Post subject: Reply with quote

Höchstens noch /etc und /var verschlüsseln, den Rest von root braucht man imho nicht
Back to top
View user's profile Send private message
DarKRaveR
Guru
Guru


Joined: 11 Oct 2003
Posts: 500
Location: Old Europe/G-Many

PostPosted: Sat Dec 04, 2004 5:04 pm    Post subject: Reply with quote

Muß da grade nochmal einhaken:

Verschlüsselst Du /tmp nicht, kannst Du von vorneherein auf die ganze aktion verzichten.

Ähnlichs gilt für /var.

Und ab nem gewissen zeitpunktist der aufwand, lauter teilbäume auf eigene gecryptete devics zu legen einfach zu hoch, daher die 'faule methode'
Back to top
View user's profile Send private message
Haldir
Guru
Guru


Joined: 27 Sep 2002
Posts: 546

PostPosted: Sat Dec 04, 2004 6:29 pm    Post subject: Reply with quote

Über tmp kann man bei linux diskutieren, ob sich das zu encrypten lohnt, insb. wenn deine restlichen verschlüsselten Partitionen eher wegen den Daten (MP3 etc.) relevant sind und nicht weil du Passwörter drauf hast.
Trotzdem ist tmp und swap zu encrypten eher eine leichte Aufgabe, es gibt dafür auch schon feste Wege. Für den Normalfall des typischen Users hier, der seine MP3s usw. verschlüsseln will, reicht sicher das Verzeichnis mit den Daten + Swap. Ob man tmp verschlüssen sollte, hängt wohl ziemlich von den benützten Programmen ab.
Back to top
View user's profile Send private message
toskala
Advocate
Advocate


Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany

PostPosted: Sat Dec 04, 2004 7:57 pm    Post subject: Reply with quote

das problem beim swap crypten ist die performance, mal ganz davon abgesehen, dass ich das problem hierbei nicht ganz sehe. afaik wird swap doch leer gemacht wenn umounted. also nehmen wir mal das std. vorgehen wenn man einen busten will.

strom weg,
rechner fährt runter,
rechner wird neu gestartet,
swap gemounted,
crypt partition geht nicht mit hoch,
viel spass?

oder überseh ich grade was?
_________________
adopt an unanswered post
erst denken, dann posten
Back to top
View user's profile Send private message
Hotstuff
Guru
Guru


Joined: 19 Sep 2004
Posts: 487
Location: Schweiz ( Zürich )

PostPosted: Sat Dec 04, 2004 8:01 pm    Post subject: Reply with quote

Hallo

Man ich komme auch nicht weiter. Im welchen Verzeichnis muss ich dan sein.

Kommt immer die Fehler Meldung

Code:
root@localhost dave # gpg --quiet -d dave.key.pgp | cryptsetup -h plain create appz /dev/hdb1
gpg: 'dave.key.pgp' kann nicht geöffnet werden
gpg: decrypt_message failed: Fehler beim Öffnen der Datei
Command failed: Das Argument ist ungültig


Könnt ihr mir helfen

Gruss Dave
_________________
Root Server 1: INTEL Core 2 Quad Q6600 "Kentsfield", 4x 2.40GHz, 4GB DDR2 Ram, Gentoo 2007.0 32Bit
Root Server 2: INTEL Core 2 Quad Q6600 "Kentsfield", 4x 2.40GHz, 4GB DDR2 Ram, Gentoo 2007.0 64Bit
Back to top
View user's profile Send private message
Haldir
Guru
Guru


Joined: 27 Sep 2002
Posts: 546

PostPosted: Sat Dec 04, 2004 8:08 pm    Post subject: Reply with quote

Naja toskala, leermachen von der Swap Partition hat nix mit echtem Leermachen (also mehrmalig null/rand/null drüber schreiben zu tun).
Die Swap partition kann daher noch informationen über den inhalt deiner crypto part beinhalten. z.b. Dateipfade und u.U. auch Teilinhalte von Dateien. Daher mag es Sicherheitsprobleme geben
Back to top
View user's profile Send private message
toskala
Advocate
Advocate


Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany

PostPosted: Sat Dec 04, 2004 10:37 pm    Post subject: Reply with quote

ja, abgesehen davon passiert das aber nur, wenn das was man aus der crypto partition liest auch tatsächlich im swap landet. wenn ich mir mein top mal ansehe
Code:

Mem:   1034764k total,   589272k used,   445492k free,    37736k buffers
Swap:   506036k total,        0k used,   506036k free,   393080k cached


ist das nich so wild.

aber bezüglich des leermachens, wenn swap genutzt wird, dann wird das ja sofort wieder mehrmals überschrieben, ich halte das sicherheitsloch welches aus swap heraus entsteht eher für sehr gering, da meine idee dazu so aussieht:

eine maschine mit so wenig ram, dass sie swap braucht swapped wohl öfter als nur exakt das eine mal an dem eine verschlüsselte datei verwendet wird.
davon ausgehend swapped sie ständig auch normale daten drüber, was ja bedeuten würde, dass das verwerfliche file nur relativ kurz im swap liegen bleibt.

aber ich bin kein speicher-experte, ich überlege nur grade ob das wirklich ein problem darstellt.
_________________
adopt an unanswered post
erst denken, dann posten
Back to top
View user's profile Send private message
toskala
Advocate
Advocate


Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany

PostPosted: Sat Dec 04, 2004 10:39 pm    Post subject: Reply with quote

dave1986 wrote:

Code:
root@localhost dave # gpg --quiet -d dave.key.pgp | cryptsetup -h plain create appz /dev/hdb1
gpg: 'dave.key.pgp' kann nicht geöffnet werden
gpg: decrypt_message failed: Fehler beim Öffnen der Datei
Command failed: Das Argument ist ungültig


Könnt ihr mir helfen


dave, was sagt ein:
Code:

ls -l dave.key.pgp


wenn du das als root ausführst?

ich bin mir sehr sicher, dass die datei hier nicht existiert wo du sie suchst.
_________________
adopt an unanswered post
erst denken, dann posten
Back to top
View user's profile Send private message
Haldir
Guru
Guru


Joined: 27 Sep 2002
Posts: 546

PostPosted: Sat Dec 04, 2004 10:57 pm    Post subject: Reply with quote

Hmm, ich hatte mal kurz uncrypted swap mounted und ne runde mit Samba aufm Server Dateien rumgeschaufelt und über Apache Mp3s geserved für mein Pinnacle Showcenter, dann hab ich mal den swap (512mb) in ne Datei gepackt und durchsucht, zumindest Pfade zu verschlüsselten Verzeichnissen sind aufgetaucht im swap
Back to top
View user's profile Send private message
DarKRaveR
Guru
Guru


Joined: 11 Oct 2003
Posts: 500
Location: Old Europe/G-Many

PostPosted: Sun Dec 05, 2004 12:38 am    Post subject: Reply with quote

@tosk/hal:

JA, das mit wap mag übertrieben sein. Ist vielleicht auch ne Frage wie genau der Rechner genutzt wird etc.

Ich würde ja bei nem ordentlich großen Server notfalls einfach auf Swap verzichten, weil eh mehr als genug RAM. Auf der anderen Seite kann man den Swap natürlich mit einer geringeren bitbreite encrypten und nem anderen key, natürlich es ist immernoch ein schwaches Glied, aber besser als ungeschützt.

Ich stimme zu, bei den meisten Szenarien mag es unsinnig sein.

Aber soweit ich weiß, wird der swapspace, auch bei nem clean unmount nicht wirklich gewiped, wozu auch ....

Nehmen wir mal als Szenario ein Rechner, Fileserver, zum Beispiel von Arztpraxis oder einr Kanzelei, ich glaube das wären Situationen, wo man nicht wollen würde, daß Patienten-/Klienteninformationen vielleicht doch mal unverschlüsselt im Swap oder im tmp liegen, falls die Kiste abhanden käme.

Sicherlich ein extremes Szenario, aber vielleicht doch für die Zukunft eine Überlegung wert ?
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2959
Location: Wuppertal (Germany)

PostPosted: Sun Dec 05, 2004 8:14 am    Post subject: Reply with quote

Aber dann würde ich doch eher dazu tendieren 512 MB mehr Ram zu verbauen und auf Swap zu verzichten, denn swap mit verschlüsselung dürfet performance-mässig der hammer sein.

Man überlege: Die Datei muss entschlüsselt werden, dann wird bemerkt das der RAM voll ist, speichert sie also in teilen im Swap, was eh schon leistungseinbruch bedeutet. Beim Speicher muss diese Datei nochmals verschlüsselt und beim wieder rauslesen wieder entschlüsselt werden.

Wir haben also statt 1 mal entschlüssel 2 mal entschlüssel und einmal verschlüssel + langsamer durch festplatte.

Also dann doch lieber 90 ¤ ausgeben um mehr Speicher zu haben.

Bei /tmp mag das schon eher sinnvoll sein.
_________________
...it's only Rock'n'Roll, but I like it!
HOWTO:WLAN mit OpenVPN absichern | TOOL:useedit - USE-flag editor/changer
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Deutsche Dokumentation All times are GMT
Goto page Previous  1, 2, 3, 4, 5, 6 ... 9, 10, 11  Next
Page 5 of 11

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum