| View previous topic :: View next topic |
| Author |
Message |
Yamakuzure
Advocate
Joined: 21 Jun 2006
Posts: 2284
Location: Adendorf, Germany
|
 Posted: Wed Apr 22, 2015 1:25 pm Post subject: |
 |
|
| forrestfunk81 wrote: |
Einer von denen ist schon über ein Jahr alt und immer noch "Unassigned" 
Mir fällt noch ein Grund ein Swap zu verschlüsseln: Suspend to disk. |
Habe ich ausprobiert, ist nichts für mich. Das dauert, auch mit TuxOnIce eeeeeewig. (32GiB RAM)
_________________
Important German:- "Aha" - German reaction to pretend that you are really interested while giving no f*ck.
- "Tja" - German reaction to the apocalypse, nuclear war, an alien invasion or no bread in the house.
|
|
| Back to top |
|
 |
katfish
Tux's lil' helper
Joined: 14 Nov 2011
Posts: 147
|
| Posted: Mon Jun 08, 2015 1:01 pm Post subject: |
|
|
| Yamakuzure wrote: | ....
Ich habe zwei Sätze Truecrypt Container.
Der Erste mit 6 Containern ist für meine diversen Backup Ordner gedacht. Diese synchronisiere ich mit Copy.com. Backups gehen mir also nie verloren, und niemand kann aus der Cloud heraus darauf zugreifen.
Der Zweite mit 7 Containern ist für meine beruflichen und privaten Daten, sowie E-Mails, Notizen, Kalender, halt das KDE-PIM Zeugs.
Nach dem Hochfahren des Laptops muss ein Skript gestartet werden, sonst ist alles leer und nutzlos.  Und natürlich muss ich dafür auch immer brav das Passwort von Hand eingeben.
Die 6 Container werden in ein raidz1 (5 + 1 Spare), die 7 Container in ein raidz2 (6 + 1 Spare) eingehängt und dann mittles ZFS gemountet. Mit etwas Anderem wäre das, was ich da mache, auch garnicht möglich.
|
Hast Du so viele Platten im Notebook? Anderfalls verstehe ich nicht, weshalb Du die Container so zerstückelst. |
|
| Back to top |
|
|
toralf
Developer
Joined: 01 Feb 2004
Posts: 3922
Location: Hamburg
|
| Posted: Mon Jun 08, 2015 6:50 pm Post subject: |
|
|
| forrestfunk81 wrote: | | Mir fällt noch ein Grund ein Swap zu verschlüsseln: Suspend to disk. |
Geht denn das überhaupt zusammen - ich dachte, genau das schließt sich aus. |
|
| Back to top |
|
|
Yamakuzure
Advocate
Joined: 21 Jun 2006
Posts: 2284
Location: Adendorf, Germany
|
| Posted: Tue Jun 09, 2015 6:18 am Post subject: |
|
|
| katfish wrote: | | Yamakuzure wrote: | ....
Ich habe zwei Sätze Truecrypt Container.
Der Erste mit 6 Containern ist für meine diversen Backup Ordner gedacht. Diese synchronisiere ich mit Copy.com. Backups gehen mir also nie verloren, und niemand kann aus der Cloud heraus darauf zugreifen.
Der Zweite mit 7 Containern ist für meine beruflichen und privaten Daten, sowie E-Mails, Notizen, Kalender, halt das KDE-PIM Zeugs.
Nach dem Hochfahren des Laptops muss ein Skript gestartet werden, sonst ist alles leer und nutzlos. Und natürlich muss ich dafür auch immer brav das Passwort von Hand eingeben.
Die 6 Container werden in ein raidz1 (5 + 1 Spare), die 7 Container in ein raidz2 (6 + 1 Spare) eingehängt und dann mittles ZFS gemountet. Mit etwas Anderem wäre das, was ich da mache, auch garnicht möglich.
|
Hast Du so viele Platten im Notebook? Anderfalls verstehe ich nicht, weshalb Du die Container so zerstückelst. |
*lach* nein, ich habe eine Platte. Die Truecrypt Container sind per raidz bzw raidz2 eingebunden, und das hat zwei Gründe:
- Backup: Ich synchronisiere meine Backup-Container mit Copy.com. Ohne genau zu wissen wie die Container eingehängt werden, nützt selbst das Cracken einzelner Container nichts. (Ich vertraue Clouds ungefähr soweit wie ich eine Waschmaschine schmeißen kann.)
- Sicherheit. Einer der Container ist immer Spare. Sollte mir, warum auch immer, mal ein Container kaputt gehen, schmeiße ich ihn raus, der Spare übernimmt, und ich hänge einen neuen Container als neuen Spare ein.
Du kannst so viel verschlüsseln, wie du willst. Kaputte Platte ist kaputtePlatte. Und wenn meine Festplatte abraucht, liegen zumindest meine Backups in der Cloud.
_________________
Important German:- "Aha" - German reaction to pretend that you are really interested while giving no f*ck.
- "Tja" - German reaction to the apocalypse, nuclear war, an alien invasion or no bread in the house.
|
|
| Back to top |
|
|
katfish
Tux's lil' helper
Joined: 14 Nov 2011
Posts: 147
|
| Posted: Tue Jun 09, 2015 12:04 pm Post subject: |
|
|
Jetzt verstehe ich.
Ist der Client von Copy.com in der Lage,
beim syncen deiner Container, nur die geänderten Bits zu übertragen?
Ich nutze owncloud, damit geht das nicht. AFAIK. |
|
| Back to top |
|
|
Yamakuzure
Advocate
Joined: 21 Jun 2006
Posts: 2284
Location: Adendorf, Germany
|
| Posted: Wed Jun 10, 2015 10:38 am Post subject: |
|
|
| katfish wrote: | Jetzt verstehe ich.
Ist der Client von Copy.com in der Lage,
beim syncen deiner Container, nur die geänderten Bits zu übertragen?
Ich nutze owncloud, damit geht das nicht. AFAIK. |
Jein. Ich denke Dropbox ist da noch etwas effizienter. Aber 20GB auf Copy.com versus 2GB auf DropBox haben mich überzeugt. Und mit Werbelink gibts immer was oben drauf: https://copy.com/?r=s1C6wm
_________________
Important German:- "Aha" - German reaction to pretend that you are really interested while giving no f*ck.
- "Tja" - German reaction to the apocalypse, nuclear war, an alien invasion or no bread in the house.
|
|
| Back to top |
|
|
Dragonix
Apprentice
Joined: 21 May 2006
Posts: 253
Location: Germany
|
| Posted: Wed Jun 10, 2015 7:18 pm Post subject: |
|
|
Wundert mich, dass hierauf Cold Boot Attack noch keiner eingegangen ist?
In dem Kontext hab ich auch die folgenden Tools erst kennen gelernt, vielleicht kennts jemand noch nicht:
inception: Über Firewire/Thunderbolt mittels DMA auf die unteren 4GB Speicher zugreiffen.
und
volatility: Speicherabbilder verwerten |
|
| Back to top |
|
|
Yamakuzure
Advocate
Joined: 21 Jun 2006
Posts: 2284
Location: Adendorf, Germany
|
| Posted: Thu Jun 11, 2015 9:36 am Post subject: |
|
|
| Dragonix wrote: | Wundert mich, dass hierauf Cold Boot Attack noch keiner eingegangen ist?
In dem Kontext hab ich auch die folgenden Tools erst kennen gelernt, vielleicht kennts jemand noch nicht:
inception: Über Firewire/Thunderbolt mittels DMA auf die unteren 4GB Speicher zugreiffen.
und
volatility: Speicherabbilder verwerten |
Die Kaltstartattacke ist so dermaßen schwierig erfolgreich umzusetzen, ich glaube als Privatperson muss man sich darum keine großen Gedanken machen.
_________________
Important German:- "Aha" - German reaction to pretend that you are really interested while giving no f*ck.
- "Tja" - German reaction to the apocalypse, nuclear war, an alien invasion or no bread in the house.
|
|
| Back to top |
|
|
xtrace
Tux's lil' helper
Joined: 17 May 2010
Posts: 76
|
| Posted: Thu Jun 11, 2015 9:56 am Post subject: |
|
|
| Yamakuzure wrote: | Grundsicherung:
-------------------
Drei unterschiedliche Passwörter für das Einschalten, das BIOS, sowie den Festplattencontroller und die Festplatte.
Bei den DELL Notebooks ist ganz praktisch, dass selbst wenn jemand für die Festplatte das Backdoor-Passwort von DELL kennen würde, die Freigabe erst nach einem vollständigen Löschen der Festplatte erfolgt.
Ferner ist das Ding auch noch doppelt gesichert. Die Festplatte kann an einem anderen Controller nicht verwendet werden, und eine andere Festplatte nicht an diesem Controller.
Außerdem hat das Gerät noch eine interessante Diebstahlsicherung, mit der ein geklautes Laptop binnen Minuten per GPS ausfindig gemacht werden kann. Egal ob es eingeschaltet ist oder nicht.
Daten:
--------
Ich habe zwei Sätze Truecrypt Container.
Der Erste mit 6 Containern ist für meine diversen Backup Ordner gedacht. Diese synchronisiere ich mit Copy.com. Backups gehen mir also nie verloren, und niemand kann aus der Cloud heraus darauf zugreifen.
Der Zweite mit 7 Containern ist für meine beruflichen und privaten Daten, sowie E-Mails, Notizen, Kalender, halt das KDE-PIM Zeugs.
Nach dem Hochfahren des Laptops muss ein Skript gestartet werden, sonst ist alles leer und nutzlos. Und natürlich muss ich dafür auch immer brav das Passwort von Hand eingeben.
Die 6 Container werden in ein raidz1 (5 + 1 Spare), die 7 Container in ein raidz2 (6 + 1 Spare) eingehängt und dann mittles ZFS gemountet. Mit etwas Anderem wäre das, was ich da mache, auch garnicht möglich.
Swap:
-------
swap ist bei mir nicht verschlüsselt, sondern wird durch 8 zram devices (1 pro CPU) geregelt. Ich wüsste auch nicht, wofür ich das verschlüsseln sollte, ich habe 32GB RAM, und baue alles in einem tmpfs Laufwerk. Aber wirklich gebraucht habe ich swap bislang erst einmal, was damals an ccache lag. Im swap steht dann nun wirklich nichts Wichtiges drin.
Heutzutage ist das für mich auch schwer zu verstehen, wofür man swap verschlüsseln sollte. Auf einem Dektop/Notebook mit mehr als 512MB RAM setzt man vm.swappiness in der /etc/sysctl.conf doch eh immer auf 0. Wie soll dann da irgendetwas Relevantes reinkommen? Aber das ist wahrscheinlich eh eher philosophisch.
Passwörter:
--------------
Alle Passwörter bei mir haben mindestens 10 Stellen und bestehen aus Großbuchstaben, Kleinbuchstaben, Sonderzeichen und Zahlen. Ein Extra Truecrypt Container mit den wichtigen privaten Daten habe ich auch noch, das Passwort hat 30 Stellen.
Sollte mir jemand das Ding im Laufenden Betrieb klauen und irgend eines der Passwörter, bevor der Akku alle ist oder die Polizei vor der Tür steht, geknackt bekommen, wäre ich wahrscheinlich eher beeindruckt als sauer. |
Hallo, Yamakuzure!
Deine Maßnahmen i.S. Verschlüsselung hören sich sehr interessant an und ich würde dies gerne auch so umsetzen.
Hast du nach einem Howto gearbeitet? Kannst du mir ein Howto empfehlen?
Ich bedanke mich im Vorraus.
cu,
xtrace |
|
| Back to top |
|
|
katfish
Tux's lil' helper
Joined: 14 Nov 2011
Posts: 147
|
| Posted: Thu Jun 11, 2015 10:59 am Post subject: |
|
|
cold boot - als es damals public wurde,
dachte ich darüber nach, meinen speicher festzukleben.
bisher beschränke ich mich aber darauf, an meinem notebook,
das booten von anderen medien nur mit bios pw zu erlauben.
Als AES NI rauskam, dachte ich, das dadurch cold boot attacken nicht mehr möglich sind -
das ist aber nicht sicher. auf der Luks ML gab es mal eine diskussion dazu, aber keinen konsens. |
|
| Back to top |
|
|
katfish
Tux's lil' helper
Joined: 14 Nov 2011
Posts: 147
|
| Posted: Thu Jun 11, 2015 11:04 am Post subject: |
|
|
| Quote: |
Hallo, Yamakuzure!
Deine Maßnahmen i.S. Verschlüsselung hören sich sehr interessant an und ich würde dies gerne auch so umsetzen.
Hast du nach einem Howto gearbeitet? Kannst du mir ein Howto empfehlen?
Ich bedanke mich im Vorraus.
cu,
xtrace |
https://wiki.gentoo.org/wiki/DM-Crypt_LUKS |
|
| Back to top |
|
|
cryptosteve
Veteran
Joined: 04 Jan 2004
Posts: 1169
Location: GER
|
| Posted: Thu Jun 11, 2015 12:45 pm Post subject: |
|
|
| katfish wrote: | | https://wiki.gentoo.org/wiki/DM-Crypt_LUKS |
Er hat aber gar kein LUKS, sondern TrueCrypt. Oder hab ich den entscheidenen Part übersehen/-lesen?
_________________
- born to create drama -
gpg: 0x9B6C7E15
CS Virtual Travel Bug: VF6G5D |
|
| Back to top |
|
|
xtrace
Tux's lil' helper
Joined: 17 May 2010
Posts: 76
|
| Posted: Thu Jun 11, 2015 12:53 pm Post subject: |
|
|
| katfish wrote: | | Quote: |
Hallo, Yamakuzure!
Deine Maßnahmen i.S. Verschlüsselung hören sich sehr interessant an und ich würde dies gerne auch so umsetzen.
Hast du nach einem Howto gearbeitet? Kannst du mir ein Howto empfehlen?
Ich bedanke mich im Vorraus.
cu,
xtrace |
https://wiki.gentoo.org/wiki/DM-Crypt_LUKS |
so habe ich es im Moment eingerichtet.
Das ist allerdings eine ganz andere Art und Weise, als es Yamakuzure gelöst hat.
| cryptosteve wrote: | | katfish wrote: | | https://wiki.gentoo.org/wiki/DM-Crypt_LUKS |
Er hat aber gar kein LUKS, sondern TrueCrypt. Oder hab ich den entscheidenen Part übersehen/-lesen? |
Nein. Richtig. Er nutzt Truecrypt. |
|
| Back to top |
|
|
Yamakuzure
Advocate
Joined: 21 Jun 2006
Posts: 2284
Location: Adendorf, Germany
|
| Posted: Thu Jun 11, 2015 3:43 pm Post subject: |
|
|
| xtrace wrote: | Hallo, Yamakuzure!
Deine Maßnahmen i.S. Verschlüsselung hören sich sehr interessant an und ich würde dies gerne auch so umsetzen.
Hast du nach einem Howto gearbeitet? Kannst du mir ein Howto empfehlen?
Ich bedanke mich im Vorraus.
cu,
xtrace |
Nein, kein Howto. Wenn du die Container erstellt und mit TrueCrypt "gestartet" hast (Ohne mount, also mit --filesystem=none), kannst du die Laufwerke aus /dev/mapper wie gewöhnliche laufwerke per zpool in raidz1 oder raidz2 zusammenfassen.
Siehe: | Code: | ~ # zpool list -v
NAME SIZE ALLOC FREE EXPANDSZ FRAG CAP DEDUP HEALTH ALTROOT
bpool 4,97G 3,55G 1,42G - 41% 71% 1.00x ONLINE -
raidz1 4,97G 3,55G 1,42G - 41% 71%
truecrypt21 - - - - - -
truecrypt22 - - - - - -
truecrypt24 - - - - - -
truecrypt25 - - - - - -
truecrypt26 - - - - - -
gpool 318G 183G 135G - 36% 57% 1.00x ONLINE -
sda4 318G 183G 135G - 36% 57%
ppool 69,5G 43,1G 26,4G - 29% 61% 1.00x ONLINE -
raidz2 69,5G 43,1G 26,4G - 29% 61%
truecrypt11 - - - - - -
truecrypt12 - - - - - -
truecrypt13 - - - - - -
truecrypt14 - - - - - -
truecrypt15 - - - - - -
truecrypt16 - - - - - -
truecrypt17 - - - - - -
~ # zpool status ppool
pool: ppool
state: ONLINE
scan: scrub repaired 0 in 0h18m with 0 errors on Fri Sep 19 21:02:37 2014
config:
NAME STATE READ WRITE CKSUM
ppool ONLINE 0 0 0
raidz2-0 ONLINE 0 0 0
truecrypt11 ONLINE 0 0 0
truecrypt12 ONLINE 0 0 0
truecrypt13 ONLINE 0 0 0
truecrypt14 ONLINE 0 0 0
truecrypt15 ONLINE 0 0 0
truecrypt16 ONLINE 0 0 0
truecrypt17 ONLINE 0 0 0
spares
truecrypt18 AVAIL
errors: No known data errors
~ # zpool status bpool
pool: bpool
state: ONLINE
scan: scrub repaired 0 in 0h1m with 0 errors on Fri Sep 19 20:43:31 2014
config:
NAME STATE READ WRITE CKSUM
bpool ONLINE 0 0 0
raidz1-0 ONLINE 0 0 0
truecrypt21 ONLINE 0 0 0
truecrypt22 ONLINE 0 0 0
truecrypt24 ONLINE 0 0 0
truecrypt25 ONLINE 0 0 0
truecrypt26 ONLINE 0 0 0
spares
truecrypt23 AVAIL
errors: No known data errors |
Ich würde allerdings empfehlen ein Script zu schreiben, dass das Einhängen nach jedem Boot übernimmt.
Das Skript sollte die Pools erst einmal exportieren, *bevor* die Container eingehängt werden, und erst dann importieren. Das Zusammenbauen der Raids übernimmt zpool dann ganz von alleine.
Achja: Feste Slots vergeben!
So sieht das Skript bei mir aus: | Code: | #!/bin/bash
pw=""
# Disable history expansion on exclamation marks
set +H
if [ $# -ne 2 ] ; then
read -sp "PW ? " pw
else
pw="${1}"
fi
echo "Clearing pools"
sudo zpool export bpool
sudo zpool export ppool
xOpts="-t --filesystem=none --keyfiles= --volume-type=normal --protect-hidden=no --password=${pw}"
# private :
echo -n "Mounting containers for ppool ..."
for nr in $(seq 1 8) ; do
truecrypt $xOpts --slot=1${nr} /Pfad/zum/ppool/ppool_${nr}.7z
done
echo " done"
# backup :
echo -n "Mounting containers for bpool ..."
for nr in $(seq 1 6) ; do
truecrypt $xOpts --slot=2${nr} /Pfad/zum/bpool/bpool_${nr}6.7z
done
echo " done"
# Starte pools
echo -n "Mounting ppool ..."
sudo zpool import -f ppool
echo " done"
echo -n "Mounting bpool ..."
sudo zpool import -f bpool
echo " done" |
(Ich habe die Pfade ein wenig retuschiert. )
Schwachpunkt: Alle Container verwenden das selbe Passwort. Sobald ich mal Zeit habe, werden ich allen ungeraden Containern ein anderes Passwort geben.
_________________
Important German:- "Aha" - German reaction to pretend that you are really interested while giving no f*ck.
- "Tja" - German reaction to the apocalypse, nuclear war, an alien invasion or no bread in the house.
|
|
| Back to top |
|
|
katfish
Tux's lil' helper
Joined: 14 Nov 2011
Posts: 147
|
| Posted: Thu Jun 11, 2015 5:23 pm Post subject: |
|
|
| Quote: |
Deine Maßnahmen i.S. Verschlüsselung hören sich sehr interessant an und ich würde dies gerne auch so umsetzen.
Hast du nach einem Howto gearbeitet? Kannst du mir ein Howto empfehlen?
.. |
xtrace,
Sorry, ich dachte, Du nutzt noch gar keine Verschluesselung.
An deiner Stelle würde ich Truecrypt meiden, da es nicht mehr weiterentwickelt wird.
AFAIK ist Luks/DM-Crypt auch nicht schlechter als Truecrypt. Mit containern kann es auch umgehen. |
|
| Back to top |
|
|
Yamakuzure
Advocate
Joined: 21 Jun 2006
Posts: 2284
Location: Adendorf, Germany
|
| Posted: Thu Jun 11, 2015 8:09 pm Post subject: |
|
|
| katfish wrote: | | Quote: |
Deine Maßnahmen i.S. Verschlüsselung hören sich sehr interessant an und ich würde dies gerne auch so umsetzen.
Hast du nach einem Howto gearbeitet? Kannst du mir ein Howto empfehlen?
.. |
xtrace,
Sorry, ich dachte, Du nutzt noch gar keine Verschluesselung.
An deiner Stelle würde ich Truecrypt meiden, da es nicht mehr weiterentwickelt wird.
AFAIK ist Luks/DM-Crypt auch nicht schlechter als Truecrypt. Mit containern kann es auch umgehen. |
Naja, Truecrypt hat sein letztes Release schon vor Jahren gesehen, es gibt schlicht nichts weiterzuentwickeln. Vielleicht haben die Entwickler auch deswegen Schluss gemacht? Wer weiß?
Aber es gibt ja auch schon NAchfolgeprojekte, wie z.B. VeraCrypt. Nur werden alle Nachfolger irgendwann TrueCrypt ersetzen, aber kaum was "draufpacken" können. Fertig ist fertig.
Wie dem au sein, nach eingehenden Prüfungen, zum Beispiel vom Open Crypto Audit Project, soll TrueCrypt ja weitestgehend sicher sein.
_________________
Important German:- "Aha" - German reaction to pretend that you are really interested while giving no f*ck.
- "Tja" - German reaction to the apocalypse, nuclear war, an alien invasion or no bread in the house.
|
|
| Back to top |
|
|
SkaaliaN
Veteran
Joined: 21 Apr 2005
Posts: 1360
Location: Valhalla
|
| Posted: Thu Jun 11, 2015 8:29 pm Post subject: |
|
|
Ich habe auch lange Truecrypt eingesetzt und war eigentlich zufrieden.
Ich bin dann allerdings vor einiger Zeit auf LUKS gewechselt. Bisher keine Probleme gehabt.
Unter anderem deswegen:
http://www.pcwelt.de/news/Truecrypt_ist_angeblich_unsicher___Entwicklung_eingestellt-Unsichere_Verschluesselung-8743009.html
Dort steht u.a.:
| Quote: |
Es kursiert allerdings auch die Vermutung, dass es den US-Geheimdiensten gelungen sei, Truecrypt zu kompromittieren. Ein ähnlicher Verdacht schwebt seit einiger Zeit auch über dem Verschlüsselungsnetzwerk von Tor. |
Ob was an der Sache dran ist!? Keine Ahnung. Komisch war die ganze Aktion schon..
Die US Geheimdienste sind mir eigentlich auch egal. Es geht sich um das Prinzip. Ob die bekannten Türchen auch ausschließlich bei ihnen bleiben, dass ist die andere Sache.
Das schweift nun aber zu sehr vom Thema ab.
_________________
c'ya !
skaalian |
|
| Back to top |
|
|
katfish
Tux's lil' helper
Joined: 14 Nov 2011
Posts: 147
|
| Posted: Thu Jun 11, 2015 8:33 pm Post subject: |
|
|
Yamakuzure,
ich hab den Wirbel um TC auch verfolgt,
und behaupte auch nicht, dass es unsicher ist
Weshalb setzt Du denn auf TC? |
|
| Back to top |
|
|
xtrace
Tux's lil' helper
Joined: 17 May 2010
Posts: 76
|
| Posted: Fri Jun 12, 2015 6:26 am Post subject: |
|
|
| Yamakuzure wrote: | | xtrace wrote: | Hallo, Yamakuzure!
Deine Maßnahmen i.S. Verschlüsselung hören sich sehr interessant an und ich würde dies gerne auch so umsetzen.
Hast du nach einem Howto gearbeitet? Kannst du mir ein Howto empfehlen?
Ich bedanke mich im Vorraus.
cu,
xtrace |
Nein, kein Howto. Wenn du die Container erstellt und mit TrueCrypt "gestartet" hast (Ohne mount, also mit --filesystem=none), kannst du die Laufwerke aus /dev/mapper wie gewöhnliche laufwerke per zpool in raidz1 oder raidz2 zusammenfassen.
Siehe: | Code: | ~ # zpool list -v
NAME SIZE ALLOC FREE EXPANDSZ FRAG CAP DEDUP HEALTH ALTROOT
bpool 4,97G 3,55G 1,42G - 41% 71% 1.00x ONLINE -
raidz1 4,97G 3,55G 1,42G - 41% 71%
truecrypt21 - - - - - -
truecrypt22 - - - - - -
truecrypt24 - - - - - -
truecrypt25 - - - - - -
truecrypt26 - - - - - -
gpool 318G 183G 135G - 36% 57% 1.00x ONLINE -
sda4 318G 183G 135G - 36% 57%
ppool 69,5G 43,1G 26,4G - 29% 61% 1.00x ONLINE -
raidz2 69,5G 43,1G 26,4G - 29% 61%
truecrypt11 - - - - - -
truecrypt12 - - - - - -
truecrypt13 - - - - - -
truecrypt14 - - - - - -
truecrypt15 - - - - - -
truecrypt16 - - - - - -
truecrypt17 - - - - - -
~ # zpool status ppool
pool: ppool
state: ONLINE
scan: scrub repaired 0 in 0h18m with 0 errors on Fri Sep 19 21:02:37 2014
config:
NAME STATE READ WRITE CKSUM
ppool ONLINE 0 0 0
raidz2-0 ONLINE 0 0 0
truecrypt11 ONLINE 0 0 0
truecrypt12 ONLINE 0 0 0
truecrypt13 ONLINE 0 0 0
truecrypt14 ONLINE 0 0 0
truecrypt15 ONLINE 0 0 0
truecrypt16 ONLINE 0 0 0
truecrypt17 ONLINE 0 0 0
spares
truecrypt18 AVAIL
errors: No known data errors
~ # zpool status bpool
pool: bpool
state: ONLINE
scan: scrub repaired 0 in 0h1m with 0 errors on Fri Sep 19 20:43:31 2014
config:
NAME STATE READ WRITE CKSUM
bpool ONLINE 0 0 0
raidz1-0 ONLINE 0 0 0
truecrypt21 ONLINE 0 0 0
truecrypt22 ONLINE 0 0 0
truecrypt24 ONLINE 0 0 0
truecrypt25 ONLINE 0 0 0
truecrypt26 ONLINE 0 0 0
spares
truecrypt23 AVAIL
errors: No known data errors |
Ich würde allerdings empfehlen ein Script zu schreiben, dass das Einhängen nach jedem Boot übernimmt.
Das Skript sollte die Pools erst einmal exportieren, *bevor* die Container eingehängt werden, und erst dann importieren. Das Zusammenbauen der Raids übernimmt zpool dann ganz von alleine.
Achja: Feste Slots vergeben!
So sieht das Skript bei mir aus: | Code: | #!/bin/bash
pw=""
# Disable history expansion on exclamation marks
set +H
if [ $# -ne 2 ] ; then
read -sp "PW ? " pw
else
pw="${1}"
fi
echo "Clearing pools"
sudo zpool export bpool
sudo zpool export ppool
xOpts="-t --filesystem=none --keyfiles= --volume-type=normal --protect-hidden=no --password=${pw}"
# private :
echo -n "Mounting containers for ppool ..."
for nr in $(seq 1 8) ; do
truecrypt $xOpts --slot=1${nr} /Pfad/zum/ppool/ppool_${nr}.7z
done
echo " done"
# backup :
echo -n "Mounting containers for bpool ..."
for nr in $(seq 1 6) ; do
truecrypt $xOpts --slot=2${nr} /Pfad/zum/bpool/bpool_${nr}6.7z
done
echo " done"
# Starte pools
echo -n "Mounting ppool ..."
sudo zpool import -f ppool
echo " done"
echo -n "Mounting bpool ..."
sudo zpool import -f bpool
echo " done" |
(Ich habe die Pfade ein wenig retuschiert. )
Schwachpunkt: Alle Container verwenden das selbe Passwort. Sobald ich mal Zeit habe, werden ich allen ungeraden Containern ein anderes Passwort geben. |
Hallo, Yamakuzure!
Ich werde es testen. Danke. Hört sich sehr komplex an  Ich bin gespannt. |
|
| Back to top |
|
|
Yamakuzure
Advocate
Joined: 21 Jun 2006
Posts: 2284
Location: Adendorf, Germany
|
| Posted: Fri Jun 12, 2015 7:32 am Post subject: |
|
|
| katfish wrote: | Yamakuzure,
ich hab den Wirbel um TC auch verfolgt,
und behaupte auch nicht, dass es unsicher ist
Weshalb setzt Du denn auf TC? |
Container und Cross-Platform-Kompatibilität.
Du kannst mit LUKS keinen Container unter Linux erstellen, Daten rein tun, den Container auf eine externe Festplatte kopieren, und den Container unter Windows mounten.
_________________
Important German:- "Aha" - German reaction to pretend that you are really interested while giving no f*ck.
- "Tja" - German reaction to the apocalypse, nuclear war, an alien invasion or no bread in the house.
|
|
| Back to top |
|
|
py-ro
Veteran
Joined: 24 Sep 2002
Posts: 1734
Location: Velbert
|
| Posted: Fri Jun 12, 2015 10:38 am Post subject: |
|
|
| @Yamakuzure doch das geht mit LUKS, gibt entsprechende Implementierung für Windows. |
|
| Back to top |
|
|
Yamakuzure
Advocate
Joined: 21 Jun 2006
Posts: 2284
Location: Adendorf, Germany
|
| Posted: Fri Jun 12, 2015 2:17 pm Post subject: |
|
|
| py-ro wrote: | | @Yamakuzure doch das geht mit LUKS, gibt entsprechende Implementierung für Windows. |
Oh? das wusste ich noch garnicht. Wieder etwas gelernt.
So, hab mal etwas nachgelesen, und *nope*, wir bleiben wohl bei Truecrypt. Die Alternative auf Windows (FreeOTFE für LUKS-Container) sind noch nicht so das Wahre.
- FreeOTFE: Wird seit 3-4 Jahren nicht weiterentwickelt (freeotfe.org ist tot, die neueste Version auf SourceForge ist vom 04.01.2012)
- VeraCrypt soll unglaublich langsam sein (unbestätigt)
- DiskCryptor ist inkompatibel zu allem über Windows 7 und soll schon manchen MBR geschrottet haben
Oh, nochwas gefunden: Alternativen zu TrueCrypt
Also eine echte Alternative gegenüber dem (geprüften!) TrueCrypt tut sich da noch nicht auf.
Aber ich hoffe, es taucht irgendwann eine Alternative auf.
_________________
Important German:- "Aha" - German reaction to pretend that you are really interested while giving no f*ck.
- "Tja" - German reaction to the apocalypse, nuclear war, an alien invasion or no bread in the house.
|
|
| Back to top |
|
|
furanku
l33t
Joined: 08 May 2003
Posts: 905
Location: Hamburg, Germany
|
| Posted: Thu Aug 06, 2015 8:53 pm Post subject: |
|
|
Ich habe mittlerweile gar nichts mehr verschlüsselt. Ich kenne mich zwar so einigermaßen mit Rechnern und Sicherheit als Informatik-Nebenfächler aus. Da liegt aber die Crux: Ich weiss
- mittlerweile genug, um zu wissen, dass ich nicht genug weiss, um meine Verschlüsselungen wirklich wasserdicht zu machen,
- dass wirkliche Datensicherheit mehr ist als ein HOWTO zur Plattenverschlüsselung nachzuvollziehen und
- dann der Nutzungskomfort und die Nutzungsmöglichkeiten ganz erheblich eingeschränkt sind und das eine hohe Disziplin erfordert.
Nehmt das bitte nicht als Angriff auf eure Sicherheitskonzepte, aber ich befürchte, dass "gefühlte" Sicherheit schlimmer ist als gar keine. |
|
| Back to top |
|
|
mv
Watchman
Joined: 20 Apr 2005
Posts: 6747
|
| Posted: Fri Aug 07, 2015 1:05 pm Post subject: |
|
|
| furanku wrote: | Ich habe mittlerweile gar nichts mehr verschlüsselt. [...]
Nehmt das bitte nicht als Angriff auf eure Sicherheitskonzepte, aber ich befürchte, dass "gefühlte" Sicherheit schlimmer ist als gar keine. |
Man muss sich im Klaren sein, was man mit Festplattenverschlüsselung erreicht, und darf nicht mehr (aber auch nicht weniger) erwarten:
Man erhält einen Schutz gegen einmaligen "offenen" physikalischen Zugriff auf den Rechner.
Wenn man also befürchtet, dass einem jemand auf Reisen den Laptop stiehlt, und dann damit Unfug angestellt wird, ist das schon sehr nützlich; und für diesen Schutz genügt auch ein einfaches HOWTO aus dem Netz.
Wenn man hingegen erwartet, auch beliebig im Netz surfen zu können, ohne um seine Daten fürchten zu müssen, nur weil die Festplatte verschlüsselt ist, macht man den bekannten Fehler der Überkompensation.
Gegen heimlichen physikalischen Zugriff hilft Verschlüsselung auch nicht, weil Trojaner oder Hardware-Keylogger heutzutage für entsprechende Organisationen sogar schneller zu realisieren sind, als eine Kopie der Festplatte zu ziehen. |
|
| Back to top |
|
|
furanku
l33t
Joined: 08 May 2003
Posts: 905
Location: Hamburg, Germany
|
| Posted: Sat Aug 08, 2015 6:56 pm Post subject: |
|
|
Dem kann ich einigermaßen zustimmen. Ich wollte betonen, dass Sicherheit immer ein Konzept ist und man selber Teil dieses Konzepts ist. Man sollte schon wissen, was man genau wogegen eigentlich schützen will -- und was man dann verantwortungsvollerweise überhaupt noch mit seinem Rechner machen kann, ohne mit dem Arsch einzureißen was man mit den Händen aufgebaut hat. Das genannte Nachvollziehen eines HOWTOs zur Plattenverschlüsselung hilft z.B. beim Diebstahl des Laptops, wenn der Dieb nicht selber Experte auf dem Thema ist und wiederum Angriffe auf die Verschlüsselung kennt -- und überhaupt an den Daten interessiert ist und den Laptop nicht einfach schnell beim Hehler verkaufen will. Und dann stellt sich eben die Frage: Welche Daten sind sicherheitsrelevant? Die eigene Porno-Sammlung? Nö, sicher nicht. Onlinebanking-Logindaten? Sollte man die besser nicht auswendig lernen als sie dem Passwortspeicher eines Browsers anzuvertrauen (dann zahlt die Bank bei Missbrauch auch nicht, egal ob die Platte verschlüsselt war)? Usw. ...
Ich bin da für mich zum Schluss gekommen, dass Festplattenverschlüsselung nicht notwendig ist. Your Mileage may vary. Wenn ich allerdings in Foren solche Diskussionen mitlese überkommt mich aber leider manchmal das Gefühl, dass einige da sowohl ihr Verständnis der krytologischen Verfahren als auch die Kenntniss deren konkreter Implementation überschätzen und sich dann in einer trügerischen gefühlten Sicherheit gerade zu riskantem Verhalten hinreissen lassen. |
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
Deutsches Forum (German) 
