[linux-l] aesloop root filesystem encryption
Jan-Benedict Glaw
jbglaw at lug-owl.de
Do Mai 6 12:04:23 CEST 2004
On Thu, 2004-05-06 04:07:53 +0100, Christian Jacken <antispam308-belug.de at jacken.de>
wrote in message <4099AC09.4070408 at jacken.de>:
> [JBG]
> >Ich wage mal zu behaupten, daß nur dm-crypto die nächsten zwei Jahre
> >überleben wird. (Um das zu benutzen, muß man allerdings 2.6.x
> >einsetzen...)
>
> Was spricht noch dagegen?
:-)
> >>Da das Ganze doch etwas zeitaufwendig und mir sehr wichtig ist, bin ich
> >>auch bereit über eine Aufwandsentschädigung zu reden.
> >Das ganze ist recht simpel aufzusetzen, siehe
> >http://www.saout.de/misc/dm-crypt/ .
>
> Wenn das root fs auch verschlüsselt werden soll (darauf lege ich
> ebenfalls sehr viel Wert, werde anschließend nur von read-only-media
> (CD) booten) ist es nicht so einfach. Ich fühle mich jedenfalls damit
Doch - Du brauchst auf der CD nur einen Kernel und eine initrd, die Dein
(neues, verschlüsseltes) root filesystem vorbereitet.
> derzeit überfordert. Wer würde mir IRL helfen (vielleicht am
> Wochenende)? Im Rahmen der BELUG-Treffen haben wir es schon probiert.
> Auf seinem eigenen Rechner laufen hatte es keiner. Wir blieben dann
> immer irgendwo stecken oder die Zeit reichte nicht.
So schwierig ist das nicht. Unter'm Strich geht's so: Du legst Dir
irgendwo ein Verzeichnis an, und packst alle Programme, die Du zum
zusammenbauen des rotofs brauchst, darein:
- losetup
- ev. bash
- mount
- losetup
- pivot_root
- ...
- device nodes
- alle benötigten libs ("ldd" ist Dein Freund)
Alles an dieselbe Stelle stellen, wo Du es auf Deinem eigentlichen
Rechner gefunden hast.
Dann ein Script anlegen, daß die Arbeit tut.
- "read", um den Key zu bekommen
- losetup
- mount
- cd /new_root
- mkdir initrd_root
- pivot_root . initrd_root
- exec /sbin/init
MfG, JBG
--
Jan-Benedict Glaw jbglaw at lug-owl.de . +49-172-7608481
"Eine Freie Meinung in einem Freien Kopf | Gegen Zensur | Gegen Krieg
fuer einen Freien Staat voll Freier Bürger" | im Internet! | im Irak!
ret = do_actions((curr | FREE_SPEECH) & ~(NEW_COPYRIGHT_LAW | DRM | TCPA));
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 189 bytes
Beschreibung: Digital signature
URL : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20040506/f46d79d5/attachment.sig>
Mehr Informationen über die Mailingliste linux-l