Beiträge von Scytale

    Eine Verschlüsselung auf die andere. Also in sich mehrfach verschlüsselt. Oder noch anders erklärt: Es gibt einen äußeren Verschlüsselungsalgorithmus und einen inneren. Erst muss der äußere entschlüsselt werden, damit man an den inneren heran kommt. Danach kann man erst den inneren entschlüsseln. Sind also beide Algorithmen entschlüsselt, kann man den Klartext sehen. Im Prinzip wie es Truecrypt gemacht hat: Mehrere ineinandergreifende Schichten von Verschlüsselung (die eine verschlüsselt jeweils die andere).

    Nett gedacht, aber die gewonnene Sicherheit kommt allein von der Zunahme der Kennwortkomplexität und nicht, dass zwei Verschlüsselungen auf einander folgen. Im Szenario eines tatsächlichen Angriffs ist die Sicherheit des zweiten Containers kompromittiert, sobald der erste (also Root) fällt, weil dort unvermeidbar Daten hineinbluten, anhand derer man eigentlich verschlüsselte Daten aus dem zweiten Container wiederherstellen kann oder das Entschlüsselungskennwort knacken kann.

    Ergo: Benutze bei der Festplattenvollverschlüsselung ein möglichst langes Kennwort, weil damit der Aufwand zum knacken exponentiell steigt. Alles andere ist nur unnötige Komplexitätserhöhung ohne faktischen Sicherheitsgewinn.

    Nun, ich habe auch schon Pferde kotzen sehen. Gerade in der IT und gerade bei Linux erlebt man es häufig, dass eigentlich unmöglich geglaubte Sachen dann tatsächlich eintreten. Deswegen fragte ich.

    Ich meine, bei den ganzen Bastelleien, die man heute immer noch bei Linux machen muss, sobald es etwas komplexer wird als nur Standard-Software, rechne ich da sowieso immer mit allem...

    Windows Admin/User, oder?

    1. Wie bei jeder mir bekannten Linux Distribution LUKS. Spezifikationen bitte auf der Projektseite nachschauen.

    4. Kann man, aber nur nicht bootfähige Laufwerke. Naturgemäß geht das nur mit einer separaten Boot Partition und dem LVM Container/LUKS Partition. SUSE geht aus Sicherheitsgründen den Weg über 2 Partitionen, die nacheinander entsperrt werden müssen, wobei es für die zweite Eingabe einen Workaround gibt. Laufwerke mit einer Partition können auch mit nur einem Passwort entsperrt werden.

    5. Was verstehst du unter mehrstufig?

    6. Ja, aber nicht bei der Implementierung, so wie openSUSE es macht. Bei der PW Abfrage beim entsperren des LVM Containers geht das wohl, wenigstens ist das bei Ubuntu das default Verhalten, aber bei SUSE gehts um die Entsperrung des Bootloaders, das ist was ganz anderes. Aber genau genommen macht das Brute Forcing einfacher.

    7. Nein. Wie soll das denn gehen?

    8. Ohne entsperrtes / kann das OS nicht booten. Nicht OS Partitionen können nach einem Timeout übersprungen werden.

    9. Ich vermute anhand des Leitspruchs "Sicherheit geht immer auf Kosten von Komfort", dass Bitlocker da einfach viele Kartenspielertricks macht, bspw. nicht wirklich alles zu verschlüsselt, oder nur Metadaten und Verweise auf die tatsächlichen Speicherorte von Dateien. Ich vermute das, weil: Der Bootloader ist nicht verschlüsselt, man kann mit einem PIN oder Passwort die Festplatte entsperren, obwohl das nicht das Entschlüsselungskennwort ist, man kann sogar Windows völlig ohne PW EIngabe entsperren lassen und obendrauf gibt es noch einen Bitlocker Wiederherstellungskey, der auch nicht das richtige Verschlüsselungspasswort ist (oder doch?). Und bei allem hängen oft diese reudigen TPM Chips mit drin, die voller Lücken sind und niemand weiß, was die machen. Ich denke, Windows pfuscht da einfach, weil eigentlich müsste Windows bei einer richtigen Vollverschlüsselung jeden einzelnen Sektor auf der Platte mit Quatsch überschreiben und dann die verschlüsselten Daten drauf schreiben. Da das meiner Erfahrung nach viel zu schnell geht, wisst ihr, was ich glaube. Hut ab, wenn die das hinkriegen, aber wir reden hier von einem OS, bei dem man mittlerweile 2 mal im Jahr Angst hat, dass einem ein drittel aller Rechner im Unternehmensnetzwerk für mehrere Stunden ausfallen.

    In Tumbleweed können ab und zu mal Kleinigkeiten kaputt gehen. Ich kann dir aus Sicherheitsgründen nicht empfehlen, per Tumbleweed-CLI den letzten noch funktionierenden Snapshot zu finden, aber das wäre eine Möglichkeit.


    Ansonsten in den sauren Apfel beißen und das Problem aussitzen. Wenn was in TW kaputt ist, ist es i.d.R. nicht lange kaputt. Als temporären Workaround gibt es den Tor Browser in einer Flatpak version. Dann in ein oder zwei Wochen nochmal testen.

    Ab einem bestimmten Punkt lehnt die Gegenstelle alles ab.


    Wir hatten das gleiche Szenario, aber mit centOS und Migration auf O365. MS hat jegliche Mails vom Ticketsystem abgelehnt, weil die lokal installieren openSSL Versionen zu ranzig waren.


    D.h. ihr könnt euch da gültige Zertifikate installieren, aber irgendwann ist da deadline. Und das ist leider relativ unabsehbar und unterm Strich könntet ihr euch da mehr Aufwand machen, als einmal den Server ordentlich nochmal aufzusetzen (und diesmal regelmäßig zu patchen, damit die Migrationspfade vom Hersteller unterstützt sind).


    Und nochmal als Sysadmin gesprochen: Es ist fahrlässig, so altes Zeug laufen zu lassen, wenn Clients da ran kommen können.

    Mal oberflächlich geschaut:


    Im Autostart ist ein Befehlsaufruf "mintinstall-update-flatpak". Nach Feierabend versuche ich herauszubekommen, was das genau macht.


    €dit:

    Kurz im Web gesucht. Ich nehme an, dieses .py Skript wird ausgeführt: