[linux-l] aesloop root filesystem encryption

Jan-Benedict Glaw jbglaw at lug-owl.de
Do Mai 6 12:04:23 CEST 2004 

On Thu, 2004-05-06 04:07:53 +0100, Christian Jacken <antispam308-belug.de at jacken.de>
wrote in message <4099AC09.4070408 at jacken.de>:
> [JBG]
> >Ich wage mal zu behaupten, daß nur dm-crypto die nächsten zwei Jahre
> >überleben wird. (Um das zu benutzen, muß man allerdings 2.6.x
> >einsetzen...)
> 
> Was spricht noch dagegen?

:-)

> >>Da das Ganze doch etwas zeitaufwendig und mir sehr wichtig ist, bin ich
> >>auch bereit über eine Aufwandsentschädigung zu reden.
> >Das ganze ist recht simpel aufzusetzen, siehe
> >http://www.saout.de/misc/dm-crypt/ .
> 
> Wenn das root fs auch verschlüsselt werden soll (darauf lege ich 
> ebenfalls sehr viel Wert, werde anschließend nur von read-only-media 
> (CD) booten) ist es nicht so einfach. Ich fühle mich jedenfalls damit 

Doch - Du brauchst auf der CD nur einen Kernel und eine initrd, die Dein
(neues, verschlüsseltes) root filesystem vorbereitet.

> derzeit überfordert. Wer würde mir IRL helfen (vielleicht am 
> Wochenende)? Im Rahmen der BELUG-Treffen haben wir es schon probiert. 
> Auf seinem eigenen Rechner laufen hatte es keiner. Wir blieben dann 
> immer irgendwo stecken oder die Zeit reichte nicht.

So schwierig ist das nicht. Unter'm Strich geht's so: Du legst Dir
irgendwo ein Verzeichnis an, und packst alle Programme, die Du zum
zusammenbauen des rotofs brauchst, darein:

- losetup
- ev. bash
- mount
- losetup
- pivot_root
- ...
- device nodes
- alle benötigten libs ("ldd" ist Dein Freund)

Alles an dieselbe Stelle stellen, wo Du es auf Deinem eigentlichen
Rechner gefunden hast.

Dann ein Script anlegen, daß die Arbeit tut.

	- "read", um den Key zu bekommen
	- losetup
	- mount
	- cd /new_root
	- mkdir initrd_root
	- pivot_root . initrd_root
	- exec /sbin/init

MfG, JBG

-- 
   Jan-Benedict Glaw       jbglaw at lug-owl.de    . +49-172-7608481
   "Eine Freie Meinung in  einem Freien Kopf    | Gegen Zensur | Gegen Krieg
    fuer einen Freien Staat voll Freier Bürger" | im Internet! |   im Irak!
   ret = do_actions((curr | FREE_SPEECH) & ~(NEW_COPYRIGHT_LAW | DRM | TCPA));
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: Digital signature
URL         : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20040506/f46d79d5/attachment.sig>

Mehr Informationen über die Mailingliste linux-l