Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Wie habt Ihr euer System abgesichert/verschlüsselt?
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

Goto page 1, 2, 3  Next  
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum
View previous topic :: View next topic  
Author Message
SarahS93
l33t
l33t


Joined: 21 Nov 2013
Posts: 693

PostPosted: Mon Apr 06, 2015 12:26 pm    Post subject: Wie habt Ihr euer System abgesichert/verschlüsselt? Reply with quote

Was für ein System habt Ihr / welche Aufgaben wickelt es ab und wie habt ihr es abgesichert bzw. verschlüsselt?
Back to top
View user's profile Send private message
hafgan
n00b
n00b


Joined: 27 Sep 2012
Posts: 43

PostPosted: Mon Apr 06, 2015 12:43 pm    Post subject: Re: Wie habt Ihr euer System abgesichert/verschlüsselt? Reply with quote

SarahS93 wrote:
Was für ein System habt Ihr / welche Aufgaben wickelt es ab und wie habt ihr es abgesichert bzw. verschlüsselt?


Nur Laptop:
Falls es mal verloren/gestohlen werden sollte.
Das Benutzerverzeichnis wurde mit ecrpytfs verschlüsselt.

Unter Gentoo macht mir allerdings noch die Einbindung einer verschlüsselten SWAP Schwierigkeiten. Daher lass ich SWAP komplett weg. (Mit 8GB ist das bisher nicht problematisch gewesen).
Back to top
View user's profile Send private message
toralf
Developer
Developer


Joined: 01 Feb 2004
Posts: 3920
Location: Hamburg

PostPosted: Mon Apr 06, 2015 1:44 pm    Post subject: Re: Wie habt Ihr euer System abgesichert/verschlüsselt? Reply with quote

[quote="hafgan"]
SarahS93 wrote:
Unter Gentoo macht mir allerdings noch die Einbindung einer verschlüsselten SWAP Schwierigkeiten.
Ups, genau das ging bei mir problemlos:
Code:
n22kvm ~ # grep -v -e '#' -e '^$' /etc/conf.d/dmcrypt
swap=crypt-swap
source='/dev/sda3'

n22kvm ~ # grep swap /etc/fstab
#/dev/vda3              none            swap            sw              0 0
/dev/mapper/crypt-swap  swap            swap            defaults        0 0

n22kvm ~ # zgrep CONFIG_DM_CR /proc/config.gz
CONFIG_DM_CRYPT=m
Back to top
View user's profile Send private message
hafgan
n00b
n00b


Joined: 27 Sep 2012
Posts: 43

PostPosted: Mon Apr 06, 2015 2:00 pm    Post subject: Reply with quote

@Toralf: So hatte ich es geplant. Ich werde der Sache nochmal nachgehen! - Danke!
Back to top
View user's profile Send private message
Erdie
Advocate
Advocate


Joined: 20 May 2004
Posts: 2566
Location: Heidelberg - Germany

PostPosted: Tue Apr 07, 2015 7:35 am    Post subject: Reply with quote

Meinen Desktop habe ich gar nicht verschlüsseln, noch nicht mal ein Login Passwort. Für etwas empfindlichere Daten habe ich einen Bereich, der mit encfs verschlüsselt ist. Der wird bei Bedarf mal gemounted.
_________________
Desktop AMD Ryzen 9 5900X 32GB RAM, Asus GF GTX 1060.
Notebook Tuxedo Pulse 15 Gen1 AMD Ryzen 7 4800H mit Radeon Vega 7
Raspberry Pi 1 + 2 + 3B+ + Zero W
Back to top
View user's profile Send private message
forrestfunk81
Guru
Guru


Joined: 07 Feb 2006
Posts: 565
Location: münchen.de

PostPosted: Tue Apr 07, 2015 2:29 pm    Post subject: Reply with quote

Bei Laptop, Desktop und Homeserver / Router sind die Root, Swap, Home und Daten Partitionen verschlüsselt mit LUKS (twofish-xts-essiv:sha512). VServer und Raspberry sind unverschlüsselt.
_________________
# cd /pub/
# more beer
Back to top
View user's profile Send private message
cryptosteve
Veteran
Veteran


Joined: 04 Jan 2004
Posts: 1169
Location: GER

PostPosted: Tue Apr 07, 2015 3:48 pm    Post subject: Reply with quote

Alle meine Rechner sind mit luks/lvm verschlüsselt. Besonders sensible Daten liegen darüber hinaus nochmal in einem encfs, dass nur für den Zeitpunkt des Zugriffs aufgeschlossen wird. gnupg und otr kommen für Kommunikation immer dann zum Einsatz, wenn die Gegenstelle es versteht.

Mir würde sogar der Diebstahl meiner 10kg Desktopkiste Bauchschmerzen bereiten. Ich habe ein sehr gutes luks-Passwort (>20 Zeichen), und dafür dann kein Anmeldepasswort mehr (Autologin).

Btw: dieser Thread hätte besser ins Diskussionsforum gepasst. :)
_________________
- born to create drama -
gpg: 0x9B6C7E15
CS Virtual Travel Bug: VF6G5D
Back to top
View user's profile Send private message
Finswimmer
Bodhisattva
Bodhisattva


Joined: 02 Sep 2004
Posts: 5467
Location: Langen (Hessen), Germany

PostPosted: Tue Apr 07, 2015 6:01 pm    Post subject: Reply with quote

Ich habe nur meinen Laptop verschlüsselt.
Der Key liegt auf einem USB-Stick in einem "Hidden" Bereich und ist mit GPG verschlüsselt.
Im Safe liegt natürlich noch der Key im Klartext.

Moved from Deutsches Forum (German) to Diskussionsforum.
_________________
Bitte auf Rechtschreibung, korrekte Formatierung und Höflichkeit achten!
Danke
Back to top
View user's profile Send private message
kurisu
Apprentice
Apprentice


Joined: 19 Jan 2011
Posts: 159
Location: Munich, Germany

PostPosted: Wed Apr 08, 2015 6:32 pm    Post subject: Reply with quote

Unabhängig davon, ob die Daten als sensibel einzuordnen sind oder nicht, sind all meine Rechner grundsätzlich mit aes-xts-plain64:sha512 über LUKS verschlüsselt. Für Daten, die in meinen Augen sensibel sind, verwende ich zusätzlich ecryptfs.
Back to top
View user's profile Send private message
Yamakuzure
Advocate
Advocate


Joined: 21 Jun 2006
Posts: 2280
Location: Adendorf, Germany

PostPosted: Thu Apr 09, 2015 8:50 am    Post subject: Reply with quote

Grundsicherung:
-------------------
Drei unterschiedliche Passwörter für das Einschalten, das BIOS, sowie den Festplattencontroller und die Festplatte.
Bei den DELL Notebooks ist ganz praktisch, dass selbst wenn jemand für die Festplatte das Backdoor-Passwort von DELL kennen würde, die Freigabe erst nach einem vollständigen Löschen der Festplatte erfolgt.
Ferner ist das Ding auch noch doppelt gesichert. Die Festplatte kann an einem anderen Controller nicht verwendet werden, und eine andere Festplatte nicht an diesem Controller.

Außerdem hat das Gerät noch eine interessante Diebstahlsicherung, mit der ein geklautes Laptop binnen Minuten per GPS ausfindig gemacht werden kann. Egal ob es eingeschaltet ist oder nicht.

Daten:
--------
Ich habe zwei Sätze Truecrypt Container.

Der Erste mit 6 Containern ist für meine diversen Backup Ordner gedacht. Diese synchronisiere ich mit Copy.com. Backups gehen mir also nie verloren, und niemand kann aus der Cloud heraus darauf zugreifen.

Der Zweite mit 7 Containern ist für meine beruflichen und privaten Daten, sowie E-Mails, Notizen, Kalender, halt das KDE-PIM Zeugs.

Nach dem Hochfahren des Laptops muss ein Skript gestartet werden, sonst ist alles leer und nutzlos. ;-) Und natürlich muss ich dafür auch immer brav das Passwort von Hand eingeben.

Die 6 Container werden in ein raidz1 (5 + 1 Spare), die 7 Container in ein raidz2 (6 + 1 Spare) eingehängt und dann mittles ZFS gemountet. Mit etwas Anderem wäre das, was ich da mache, auch garnicht möglich.

Swap:
-------
swap ist bei mir nicht verschlüsselt, sondern wird durch 8 zram devices (1 pro CPU) geregelt. Ich wüsste auch nicht, wofür ich das verschlüsseln sollte, ich habe 32GB RAM, und baue alles in einem tmpfs Laufwerk. Aber wirklich gebraucht habe ich swap bislang erst einmal, was damals an ccache lag. Im swap steht dann nun wirklich nichts Wichtiges drin.

Heutzutage ist das für mich auch schwer zu verstehen, wofür man swap verschlüsseln sollte. Auf einem Dektop/Notebook mit mehr als 512MB RAM setzt man vm.swappiness in der /etc/sysctl.conf doch eh immer auf 0. Wie soll dann da irgendetwas Relevantes reinkommen? Aber das ist wahrscheinlich eh eher philosophisch.

Passwörter:
--------------
Alle Passwörter bei mir haben mindestens 10 Stellen und bestehen aus Großbuchstaben, Kleinbuchstaben, Sonderzeichen und Zahlen. Ein Extra Truecrypt Container mit den wichtigen privaten Daten habe ich auch noch, das Passwort hat 30 Stellen.
Sollte mir jemand das Ding im Laufenden Betrieb klauen und irgend eines der Passwörter, bevor der Akku alle ist oder die Polizei vor der Tür steht, geknackt bekommen, wäre ich wahrscheinlich eher beeindruckt als sauer. ;-)
_________________
Important German:
  1. "Aha" - German reaction to pretend that you are really interested while giving no f*ck.
  2. "Tja" - German reaction to the apocalypse, nuclear war, an alien invasion or no bread in the house.
Back to top
View user's profile Send private message
forrestfunk81
Guru
Guru


Joined: 07 Feb 2006
Posts: 565
Location: münchen.de

PostPosted: Thu Apr 09, 2015 11:58 am    Post subject: Reply with quote

Yamakuzure wrote:

Heutzutage ist das für mich auch schwer zu verstehen, wofür man swap verschlüsseln sollte. Auf einem Dektop/Notebook mit mehr als 512MB RAM setzt man vm.swappiness in der /etc/sysctl.conf doch eh immer auf 0. Wie soll dann da irgendetwas Relevantes reinkommen? Aber das ist wahrscheinlich eh eher philosophisch.

Der Rechner könnte ja genau in dem Moment abstürzen, wenn der Speicher knapp wird und ein paar MB in den Swap geschrieben werden. Und dann stehen die bösen Jungs vor der Tür :-)
Deshalb: Sicher ist sicher und es macht ja keinen großen Aufwand das auch zu verschlüsseln.

Yamakuzure wrote:

Sollte mir jemand das Ding im Laufenden Betrieb klauen und irgend eines der Passwörter, bevor der Akku alle ist oder die Polizei vor der Tür steht, geknackt bekommen, wäre ich wahrscheinlich eher beeindruckt als sauer. ;-)

Das seh ich auch so. Bei dem Szenario fürchte ich am meisten Bugs im Screensaver, wie wir es vor zwei, drei Jahren mal hatten.
_________________
# cd /pub/
# more beer
Back to top
View user's profile Send private message
Yamakuzure
Advocate
Advocate


Joined: 21 Jun 2006
Posts: 2280
Location: Adendorf, Germany

PostPosted: Fri Apr 10, 2015 7:51 am    Post subject: Reply with quote

forrestfunk81 wrote:
Yamakuzure wrote:

Heutzutage ist das für mich auch schwer zu verstehen, wofür man swap verschlüsseln sollte. Auf einem Dektop/Notebook mit mehr als 512MB RAM setzt man vm.swappiness in der /etc/sysctl.conf doch eh immer auf 0. Wie soll dann da irgendetwas Relevantes reinkommen? Aber das ist wahrscheinlich eh eher philosophisch.

Der Rechner könnte ja genau in dem Moment abstürzen, wenn der Speicher knapp wird und ein paar MB in den Swap geschrieben werden. Und dann stehen die bösen Jungs vor der Tür :-)
Deshalb: Sicher ist sicher und es macht ja keinen großen Aufwand das auch zu verschlüsseln.
Da hast du natürlich Recht, auch wenn das die Wahrscheinlichkeit eines solchen Szenarios bei meinen 32GB RAM streng gegen Null geht.

Aber aus reiner Neugier: Wie verschlüssel ich ZRAM-Swap? Sollte von der Performance her ja kein Problem sein.
forrestfunk81 wrote:
Yamakuzure wrote:

Sollte mir jemand das Ding im Laufenden Betrieb klauen und irgend eines der Passwörter, bevor der Akku alle ist oder die Polizei vor der Tür steht, geknackt bekommen, wäre ich wahrscheinlich eher beeindruckt als sauer. ;-)

Das seh ich auch so. Bei dem Szenario fürchte ich am meisten Bugs im Screensaver, wie wir es vor zwei, drei Jahren mal hatten.
Oh? Was war denn da?
Es ist mir gerade ein wenig peinlich, dass ich davon nichts weiß...
_________________
Important German:
  1. "Aha" - German reaction to pretend that you are really interested while giving no f*ck.
  2. "Tja" - German reaction to the apocalypse, nuclear war, an alien invasion or no bread in the house.
Back to top
View user's profile Send private message
cryptosteve
Veteran
Veteran


Joined: 04 Jan 2004
Posts: 1169
Location: GER

PostPosted: Fri Apr 10, 2015 8:43 am    Post subject: Reply with quote

Passend zum Thema gerade frisch eingetrudelt:

http://www.pro-linux.de/news/1/22212/dateisystem-ext4-erhaelt-verschluesselung.html
_________________
- born to create drama -
gpg: 0x9B6C7E15
CS Virtual Travel Bug: VF6G5D
Back to top
View user's profile Send private message
Yamakuzure
Advocate
Advocate


Joined: 21 Jun 2006
Posts: 2280
Location: Adendorf, Germany

PostPosted: Fri Apr 10, 2015 12:45 pm    Post subject: Reply with quote

Oh! Da lohnt es sich für mich ja vielleicht doch mal von ZFS zurück auf ext4 umzusteigen... Mal schauen was das wird...
_________________
Important German:
  1. "Aha" - German reaction to pretend that you are really interested while giving no f*ck.
  2. "Tja" - German reaction to the apocalypse, nuclear war, an alien invasion or no bread in the house.
Back to top
View user's profile Send private message
Finswimmer
Bodhisattva
Bodhisattva


Joined: 02 Sep 2004
Posts: 5467
Location: Langen (Hessen), Germany

PostPosted: Sat Apr 11, 2015 12:12 pm    Post subject: Reply with quote

Aber so wie ich das verstanden habe, werden nur die Dateien verschlüsselt.
Metadaten sind nicht verschlüsselt.
Da will ich dann doch lieber eine komplette Verschlüsselung
_________________
Bitte auf Rechtschreibung, korrekte Formatierung und Höflichkeit achten!
Danke
Back to top
View user's profile Send private message
schmidicom
Veteran
Veteran


Joined: 09 Mar 2006
Posts: 1921
Location: Schweiz

PostPosted: Sat Apr 11, 2015 12:26 pm    Post subject: Reply with quote

Mir ist sowas wie Luks auch lieber, allein schon deswegen weil man dann nicht zur Nutzung eines bestimmten Dateisystem gezwungen wird, aber wenigstens kommt sowas vermutlich auch ohne ein initrd aus was bei LUKS ja spätestens dann nicht mehr der Fall ist wenn "/" ebenfalls verschlüsselt werden soll.
_________________
Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW
Back to top
View user's profile Send private message
cryptosteve
Veteran
Veteran


Joined: 04 Jan 2004
Posts: 1169
Location: GER

PostPosted: Sun Apr 12, 2015 7:29 am    Post subject: Reply with quote

Ja, natürlich ist sowas wie LUKS besser. Aber die angedachte ext4-Verschlüsselung sollte ausreichend sein, um sich vor Dateneinsicht bei Diebstahl zu schützen. Außerdem habe ich es so verstanden, dass man diese Art der Verschlüsselung auch im Nachhinein noch initiieren kann, was wiederum ein echter Vorteil wäre.
_________________
- born to create drama -
gpg: 0x9B6C7E15
CS Virtual Travel Bug: VF6G5D
Back to top
View user's profile Send private message
Fijoldar
Apprentice
Apprentice


Joined: 10 Apr 2013
Posts: 248

PostPosted: Sun Apr 12, 2015 10:08 am    Post subject: Reply with quote

Ich nutze mittlerweile einfach nur die Hardware-Verschlüsselung meiner SSD im Laptop. Der Desktop PC ist gar nicht verschlüsselt. Ebenso mein Server.
Back to top
View user's profile Send private message
kernelOfTruth
Watchman
Watchman


Joined: 20 Dec 2005
Posts: 6111
Location: Vienna, Austria; Germany; hello world :)

PostPosted: Mon Apr 13, 2015 11:13 pm    Post subject: Reply with quote

Yamakuzure wrote:


Aber aus reiner Neugier: Wie verschlüssel ich ZRAM-Swap? Sollte von der Performance her ja kein Problem sein.


ich hab's einfach in die


/etc/local.d/zram.start

gepackt - danke für den Wink mit dem Zaunpfahl - hatte bis jetzt noch keine Verschlüsselung dafür verwendet :roll:


zwar schön umständlich - aber so oft wird das System nicht neugestartet:

Code:
cryptsetup -y --cipher aes-xts-benbi:sha256 --key-size 512 -h whirlpool luksFormat /dev/zram0

cryptsetup luksOpen /dev/zram0 crypto_ram_swap

mkswap /dev/mapper/crypto_ram_swap

swapon -d /dev/mapper/crypto_ram_swap -p 100

_________________
https://github.com/kernelOfTruth/ZFS-for-SystemRescueCD/tree/ZFS-for-SysRescCD-4.9.0
https://github.com/kernelOfTruth/pulseaudio-equalizer-ladspa

Hardcore Gentoo Linux user since 2004 :D
Back to top
View user's profile Send private message
SarahS93
l33t
l33t


Joined: 21 Nov 2013
Posts: 693

PostPosted: Wed Apr 15, 2015 1:03 pm    Post subject: Reply with quote

Die von euch die Intel Prozessoren haben und die AES-NI unterstützen. Habt Ihr diese Funktion im Kernel aktiviert oder lasst Ihr das ausschliesslich über die Software machen?
Mal ganz weit und schlimm gedacht .. kann Intel durch seine AES-NI Funktion im Prozessor die verschlüsselung kompromitieren?
Back to top
View user's profile Send private message
kernelOfTruth
Watchman
Watchman


Joined: 20 Dec 2005
Posts: 6111
Location: Vienna, Austria; Germany; hello world :)

PostPosted: Wed Apr 15, 2015 2:07 pm    Post subject: Reply with quote

SarahS93 wrote:
Die von euch die Intel Prozessoren haben und die AES-NI unterstützen. Habt Ihr diese Funktion im Kernel aktiviert oder lasst Ihr das ausschliesslich über die Software machen?
Mal ganz weit und schlimm gedacht .. kann Intel durch seine AES-NI Funktion im Prozessor die verschlüsselung kompromitieren?


alles ist möglich,

darum verwende ich das z.B. nur für so triviale Sache wie Verschlüsselung der Swap und der System-Partition

ich trau dem ganzen nicht :wink:


Wenn man aber davon schon ausgehen (muss), dann kann man das ganze auch weiterspinnen und

muss die SSSE3-Erweiterungen in die Überlegungen einschließen


Viel Leistung bleibt dann nicht mehr übrig bzw. das meiste muss dann über Software - oder den Prozessor abgearbeitet werden


Im Endeffekt ist es eh wurscht, da man die Daten ja großteils gegen Einbruch, Klau und dergleichen absichert
_________________
https://github.com/kernelOfTruth/ZFS-for-SystemRescueCD/tree/ZFS-for-SysRescCD-4.9.0
https://github.com/kernelOfTruth/pulseaudio-equalizer-ladspa

Hardcore Gentoo Linux user since 2004 :D
Back to top
View user's profile Send private message
Yamakuzure
Advocate
Advocate


Joined: 21 Jun 2006
Posts: 2280
Location: Adendorf, Germany

PostPosted: Fri Apr 17, 2015 11:01 am    Post subject: Reply with quote

kernelOfTruth wrote:
Yamakuzure wrote:


Aber aus reiner Neugier: Wie verschlüssel ich ZRAM-Swap? Sollte von der Performance her ja kein Problem sein.


ich hab's einfach in die


/etc/local.d/zram.start

gepackt - danke für den Wink mit dem Zaunpfahl - hatte bis jetzt noch keine Verschlüsselung dafür verwendet :roll:


zwar schön umständlich - aber so oft wird das System nicht neugestartet:

Code:
cryptsetup -y --cipher aes-xts-benbi:sha256 --key-size 512 -h whirlpool luksFormat /dev/zram0

cryptsetup luksOpen /dev/zram0 crypto_ram_swap

mkswap /dev/mapper/crypto_ram_swap

swapon -d /dev/mapper/crypto_ram_swap -p 100
Oha!

Ob man das nicht auch in sys-block/zram-init inbauen könnte?
_________________
Important German:
  1. "Aha" - German reaction to pretend that you are really interested while giving no f*ck.
  2. "Tja" - German reaction to the apocalypse, nuclear war, an alien invasion or no bread in the house.
Back to top
View user's profile Send private message
forrestfunk81
Guru
Guru


Joined: 07 Feb 2006
Posts: 565
Location: münchen.de

PostPosted: Mon Apr 20, 2015 3:32 pm    Post subject: Reply with quote

Yamakuzure wrote:
forrestfunk81 wrote:
Yamakuzure wrote:

Sollte mir jemand das Ding im Laufenden Betrieb klauen und irgend eines der Passwörter, bevor der Akku alle ist oder die Polizei vor der Tür steht, geknackt bekommen, wäre ich wahrscheinlich eher beeindruckt als sauer. ;-)

Das seh ich auch so. Bei dem Szenario fürchte ich am meisten Bugs im Screensaver, wie wir es vor zwei, drei Jahren mal hatten.
Oh? Was war denn da?
Es ist mir gerade ein wenig peinlich, dass ich davon nichts weiß...

2012, Bug in Xorg.
Quote:
Basically, an attacker with physical access to an affected computer can bypass the the screensaver / lock screen dialog (GNOME Screensaver, xscreensaver kscreenlocker, etc - on any desktop environment) using a simple keyboard combination, without having to enter the password.
Kam damals auch über den Heise Ticker, finde es aber gerade nicht mehr.

Ungefähr zur gleichen Zeit gab es auch eine Lücke im Gnome Screensaver (der iirc zum Absturz vom Screensaver führte) und bald darauf noch einen im Unity Screensaver.
_________________
# cd /pub/
# more beer
Back to top
View user's profile Send private message
cryptosteve
Veteran
Veteran


Joined: 04 Jan 2004
Posts: 1169
Location: GER

PostPosted: Mon Apr 20, 2015 4:38 pm    Post subject: Reply with quote

forrestfunk81 wrote:
und bald darauf noch einen im Unity Screensaver.

Bugs im (Ubuntu) Screensaver sind keine Seltenheit.
_________________
- born to create drama -
gpg: 0x9B6C7E15
CS Virtual Travel Bug: VF6G5D
Back to top
View user's profile Send private message
forrestfunk81
Guru
Guru


Joined: 07 Feb 2006
Posts: 565
Location: münchen.de

PostPosted: Tue Apr 21, 2015 1:27 pm    Post subject: Reply with quote

cryptosteve wrote:

Bugs im (Ubuntu) Screensaver sind keine Seltenheit.

Einer von denen ist schon über ein Jahr alt und immer noch "Unassigned" :roll:

Mir fällt noch ein Grund ein Swap zu verschlüsseln: Suspend to disk.
_________________
# cd /pub/
# more beer
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum All times are GMT
Goto page 1, 2, 3  Next
Page 1 of 3

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum