Verschlüsselte root-Partition, die /boot beinhaltet.

Hinweis: In dem Thema Verschlüsselte root-Partition, die /boot beinhaltet. gibt es 11 Antworten auf 2 Seiten. Der letzte Beitrag () befindet sich auf der letzten Seite.

    Hallo zusammen,


    ich bin ganz neu hier und möchte zuerst einmal Hallo sagen. :)
    Ich benutze seit etwa zwei Jahren Linux und arbeite mich Monat für Monat in ein anderes Problemchen rein. Ist manchmal für einen Anfänger zäh, aber am Ende macht es Spaß, ein wirklich tolles System zu haben.


    Ich habe nun eine Frage zur Vollverschlüsselung von OpenSuse Tumbleweed, die ich bisher einfach nicht klären konnte.
    Ich hoffe, sie ist nicht doch hier im Forum schon mal angesprochen worden und ich habe es nicht gesehen.


    Aaaalso:


    Ich hab mein System bei der Installation mit den Optionen "Enable Logical Volume Management" und "Enable Disk Encryption" aufgesetzt.
    Bekanntermaßen führt dies jedoch zum Problem, dass die Passphrase bei jedem Start doppelt eingegeben werden muss.


    Ich habe dann etwas gesucht, und mit dem folgenden Link auch eine sehr gute Anleitung gefunden, wie ich ein Keyfile erstellen kann, um die Passphrase nur einmal eingeben zu müssen.
    https://en.opensuse.org/SDB:En…type_the_passphrase_twice


    Mein Problem ist nun aber die Warrnung

    Zitat von openSuse


    Warning: Do this only if you have an encrypted root partition that includes /boot (no separate /boot partition)!



    The key added to the initrd can be used to decrypt your root partition, therefore having the initrd on an unencrypted /boot partition would defeat encrypting your root partition.

    Betrachte ich die Partitionen bei der Installation, legt openSUSE ganz automatisch eine eigene physische boot Partition an.
    Ich verstehe die Warnung also so, dass ich mit dieser Systemkonfiguration kein Keyfile nach der Anleitung erstellen darf.


    Und das ist die Stelle, an der ich einfach nicht mehr weiter weiß.
    Gibt es eine Möglichkeit, /boot in die root-Partition einzubauen, anstatt sie als eigene Partition nur dort zu mounten?
    Oder verstehe ich die Warnung falsch?


    Ich würde mich sehr freuen, einen kleinen Tipp zu bekommen.
    Danke schon mal.
    :smilie_hops_011:


    LG Josh_78

    Für den Inhalt des Beitrages 139572 haftet ausdrücklich der jeweilige Autor: Josh_78

    Hallo,


    die Möglichkeit hast Du nur, wenn Du _kein_ uefi benutzt.
    uefi verlangt _zwingend_ ein vfat Filesystem. Und dieses läuft komplett konträr zu allem, was Linux haben will für sich.


    Ergo, no way mit uefi.


    Zudem musst du mit der vollverschlüsselung beachten, dass du 2 dinge hier vermischen willst.
    Einmal die Verschlüsselung der Platte selbst bzw. dem kompletten FS da drauf und zum Anderen der Grub, der verschlüsselt wird.


    Das ist ein 2stufiges Verschlüsselungsverfahren, was einem BösenBuben schon den boot verwehrt wenn er dem Grub sein Passwort nicht gibt.
    Idealerweise sollten dann auch - wenn mans auf die Spitze treibt - die Passphrases zum Entschlüsseln von Grub und Platte(n) unterschiedlich sein.

    Viele Grüße,
    T.

    Für den Inhalt des Beitrages 139574 haftet ausdrücklich der jeweilige Autor: Tamerlain

    Und, ergänzend zu meinem Vorredner, solltest du jemals dein Passwort verlegen hast du alle deine Daten verloren. Ich weiß nicht, ob du im Hochsicherheitsbereich arbeitest oder ob du nur mal probieren willst, aber ich würde dir dasThema Datensicherung wärmstens ans Herz legen. Und diese Datensicherung mit deinen hochgeheimen Daten muß dann natürlich auch verschlüsselt werden, idealerweise mit wieder einem anderen Passwort und, um dem ganzen die Krone aufzusetzen, reicht bei extrem wichtigen Daten eine Datensicherung nicht aus, da dieser eine Datenträger versagen kann. Man sollte also mehrere Sicherungen anlegen, alle idealerweise mit anderen Passwörtern auf verschiedenen Datenträgern. Und nun bist du dran.

    Hallo,


    vielen Dank für Eure Hilfe.


    Ich habe natürlich gehofft, eine Lösung für die störende, doppelte Passworteingabe zu finden, gerade auch, weil andere Distros dieses Problem scheinbar nicht haben.
    Aber was nicht geht geht nicht. :/


    @Alero:
    Ja, ich verstehe Dich. Ich habe keine "hochgeheimen" Daten, möchte aber andererseits meinen Laptop auch nicht komplett unverschlüsselt lassen. Wenn man ihn dann mal verlieren sollte, oder er entwendet wird. fühlt es sich ja trotzdem ziemlich komisch an.
    Eine Datensicherung mache ich regelmäßig und bin mir dessen bewusst, dass ein vergessenes Passwort meinen Laptop nicht wiederherstellbar macht.


    Eigentlich wollte ich einfach mein Home-Verzeichnis verschlüsseln, habe in einem ToDo-Video hierzu aber mitbekommen, wie leicht sich das root Passwort eines unverschlüsselten Systems zurücksetzten lässt.
    So dann die Idee der kompletten Verschlüsselung.
    Gibt es hierzu denn eine Möglichkeit, die Ihr als einfach und vernünftig beschreiben würdet?


    @Tamerlain: Ich vermute, kein UEFI zu nutzen bringt dann wieder andere Probleme mit sich!? 8o


    Ansonsten verschlüssele ich einfach nur mein Home-Verzeichnis.


    Vielen Dank,
    Josh

    Für den Inhalt des Beitrages 139582 haftet ausdrücklich der jeweilige Autor: Josh_78

    @Josh_78
    Reden wir mal Klartext. Wie viele Hacker hast du in deinem Bekanntenkreis? Wie viele Leute interessieren sich für deine Daten? Es ist ganz einfach so ...
    Wenn dein Laptop geklaut wird dann wollen die Diebe nicht deine Software, sondern deine Hardware. HDD rausschrauben, neue reinschrauben, Laptop verkaufen. Wenn das /home verschlüsselt ist, reicht das aus. Bei meinem ist gar nichts verschlüsselt. Natürlich befinden sich auch keine Passwörter auf meinem Laptop! Nicht eines. Die sind nur in meinem Hirn. Es macht sich niemand die Mühe, Daten zu entschlüsseln, die hinterher wertlos sind. Viel zu viel Aufwand. Es sei denn, du bist Geheimnisträger. Wer sich dann für deinen Laptop interessiert ... lach ... da kannst du verschlüsseln, was du willst, der wird in Sekunden geknackt.
    Mein Vorschlag: Verschlüssele dein /home für Gelegenheitsdiebe. Wenn dein Lappi weg ist, ist er sowieso weg. Der wird zu Geld gemacht.

    Mon zusammen,


    jein Alero.
    Heutzutage greift da leider der verschärfte Datenschutz. Bedeutet, der TE ist voll haftbar, wenn die Daten geklaut werden (mitsamt dem Lappi) und mit den Daten Unfug getrieben wird und nachgewiesen werden kann dass der TE eben nicht alles getan hat was nötig war.


    Hier muss er leider sein Lappi verschlüsseln, da geht kein Weg vorbei, sonst kann es richtig teuer werden. Dies beinhaltet dann leider auch Deine entsprechenden Anmerkungen zum Backup.


    Wegen Passwörtern gibt es Passwort Safes btw. ich habe mir eine PW Kopie in meinem Bankschliessfach eingelagert. Nutzt zwar nix wenn man beim Kunden hockt und sein Passwort vergessen hat, aber man kommt wenigstens überhaupt noch ran ohne die Daten komplett zu verlieren. Man handelt dann halt ganz getreu dem Motto: Was man im Kopf nicht hat, hat man in den Füssen :)

    Viele Grüße,
    T.

    Für den Inhalt des Beitrages 139586 haftet ausdrücklich der jeweilige Autor: Tamerlain

    @Tamerlain
    Setzt voraus, das sich auf dem Laptop Daten befinden, mit denen Unfug getrieben werden kann. Bei einem einfachen Browser für den Internetzugang oder anderer Software, die man offiziell herunterladen kann trifft das wohl kaum zu.

    Ich glaube, das führt hier auch in eine unsinnige Richtung.


    Wenn ich nochmal kurz zusammenfassen darf:
    a) Ich wollte eigentlich nur mein home-Verzeichnis verschlüsseln. Das ist wohl legitim, auch wenn ich nichts wirklich weltbewegendes an Daten besitze.
    b) Weil ich darüber gelesen habe, zugegebenermaßen auch wegen etwas Spielerei und technischem Interesse, wollte ich mein System dann gleich so verschlüsseln, dass mein Root Passwort nicht über den Trick, beim booten eine bash zu öffnen zurückgesetzt werden kann.


    Ich verstehe Dich @Alero, aber ich darf ja trotzdem mal fragen. Ich interessiere mich auch einfach dafür, etwas zu lernen und fand das hier interessant, auch wenn ich es nicht unbedingt brauche.


    Also ich habe, auch durch @Tamerlain Post es nun so verstanden, dass ich zwingend zu meiner home-Partition auch meine root-Partition verschlüsseln muss, damit ein root-Passwort nicht zurückgesetzt werden kann. Bei Verwendung von UEFI komme ich dann um eine doppelte Passworteingabe nicht herum. Ist das so korrekt?
    Vielleicht hat noch jemand einen Vorschlag, ansonsten finde ich wohl keine Lösung auf die Frage.


    LG

    Für den Inhalt des Beitrages 139588 haftet ausdrücklich der jeweilige Autor: Josh_78

    Wenn es dir nur um das lernen geht ...


    https://www.grund-wissen.de/li…ung/verschluesselung.html

    Zitat von Alero

    Wer sich dann für deinen Laptop interessiert ... lach ... da kannst du verschlüsseln, was du willst, der wird in Sekunden geknackt.

    Ganz so einfach ist es nicht.
    Man muß ja nicht ROT13 nehmen.


    Im Buch "Geschichte der Kryptografie" wurde ein Fall beschrieben,
    Bei dem die Lösung so einfach war, daß keiner schnell darauf gekommen ist.
    Ich denke es war ROT13. Das war den Spezialisten zu einfach.

    Für den Inhalt des Beitrages 139622 haftet ausdrücklich der jeweilige Autor: Kanonentux