[linux-l] verschluesserung mit "suspend to disk"

So Feb 17 20:33:14 CET 2008

Ivan F. Villanueva B. schrieb:
> Am Sa, Feb 16, 2008 10:16:55 +0100, Christoph Biedl schrieb:
>> Ivan F. Villanueva B. wrote...
>> ... Wenn Du bei der Gelegenheit
>> noch auf "logical volume management" (lvm2) umstellst, mußt Du immer
>> nur einmal ein Paßwort eingeben, mit dem Du das "physical volume"
>> öffnest, in dem dann die "logical volumes" (die früheren Paritionen,
>> einschließlich swap) enthalten sind.
Genau. Das ist ein guter Weg. (imho der beste)

Ein anderer Weg ist das Ablegen von Schlüsseln für die anderen 
verschlüsselten Partitionen auf der ersten verschlüsselten Partition. 
Die anderen Partitionen werden dann in einem zweiten Schritt 
aufgeschlossen. Das ist im Nachhinein leichter zu bewerkstelligen, auch 
bei externen Platten ganz nützlich. (Automounter) Das würde im Prinzip 
dann so aussehen:

(Beispiel: /dev/hdc1-->/dev/mapper/hdc1)

mkdir /etc/keys
chmod 600 /etc/keys
head -c2048 /dev/urandom >/etc/keys/hdc1
cryptsetup -c aes-cbc-essiv:sha256 -s 256 luksFormat /dev/hdc1 
/etc/keys/hdc1
cryptsetup luksOpen /dev/hdc1 hdc1 --key-file /etc/keys/hdc1
mkfs.ext3 -Lhdc1 /dev/mapper/hdc1
tune2fs -c0 -i0 /dev/hdc1
echo '/dev/mapper/hdc1        /mnt/hdc1       ext3 \
       defaults,data=writeback,noatime,nodiratime \
       0       0' >>/etc/fstab
echo 'hdc1    /dev/hdc1       /etc/keys/hdc1  luks' >>/etc/crypttab
mount -a

/etc muss dabei natürlich selbst auf einer verschlüsselten Partition 
liegen, sonst bringt das _gar_ _nix_.
Mehr Infos dazu findest Du auf meinen Vortragsfolien:
http://belug.de/~lutz/pub/vortrag/20060621/LVM2_cryptsetup-Luks.pdf
Dort habe ich /home als Beispiel für so eine Vorgehensweise gewählt.

> OK. Danke. Ich habe folgendes gemacht:
> 
> cryptsetup -c aes-cbc-essiv:sha256 -y -s256 create luksFormat /dev/hda2
> pvcreate /dev/mapper/luksFormat
> vgcreate vg-crypt /dev/mapper/luksFormat
> lvcreate -L2200 -nswap vg-crypt
> lvcreate -L74010 -nroot vg-crypt
> mkfs.ext3 /dev/vg-crypt/root
> mount -t ext3 /dev/vg-crypt/root /new
> cp ...old_root /new/.
ja, genau richtig.
Btw: es gibt inzwischen etwas bessere (neuere) Verschlüsselungsmethoden, 
die weniger cpuleistung essen. Google einfach mal nach folgendem:
cryptsetup -c aes-lrw-benbi -s 256 luksFormat /dev/blahblubber :-)

Die Jungs von gentoo haben einen ganz guten Artikel dazu auf ihren Wiki, 
für weitergehendes Studium und so...

> 
> Jetzt muss ich nur auf /hda1 einen Kernel haben, der alles startet.
> Irgendwelche Tipps wären mir sehr nützlich.
> Ich habe bis jetzt das von Lutz gefunden:
> 
>     http://tuxmobil.de/samsung_x20_linux_lvm_encryption.html
> 
> Aber es scheint veraltet zu sein :-(
ja, das habe ich zu einer Zeit gemacht als cryptsetup noch in den 
Kinderschuhen war. Inzwischen ist das deutlich einfacher, Du machst nur 
noch ein chroot in /new/ und baust Deine initrd (zumindest bei Debian 
isses so). Die initrd wird dann einfach nach /boot kopiert, fertig.

Es existiert noch ein anderer, sehr hübscher und einfacher Weg. Nur 
lernt man dabei leider nicht allzuviel... Also:
* Du sicherst Dein System (also /etc, /home und
    wichtig: dpkg --get-selections >foobar),
* installierst dann komplett neu(minimalinstallation reicht aus),
* wählst im Debian Installer verschlüsseltes LVM aus,
* startest Dein neues System,
* kopierst /etc und /home aus dem Backup ins System,
* installierst alle Pakete neu (dpkg --set-selections <foobar),
* und bist auch in 2 Stunden fertig, und das ohne große Anstrengungen.

**** Du musst etwas intelligenter sichern, wenn Du Dienste auf dem 
Laptop hast(apache, mysql, blahblubber...) ****

Aber das ist ja langweilig, oder nicht? Also, ab ins chroot und initrd 
bauen, das macht mehr Spass!

-- 
Have you tried turning it off and on again?

Freundliche Grüße / Best Regards

         Lutz Willek