[linux-l] S: Empfehlung für verschluesseltes Setup

[Hauke Laging]

Moin,

Am 27.09.20 um 22:31 schrieb Boris Kirkorowicz via linux-l:

>> Wozu? Warum die Netztrennung? Welchen Vorteil bringt das gegenüber einer
>> Deaktivierung der entsprechenden Dienste (NFS/CIFS)?
> 
> Bequemlichkeit: ich kann nichts vergessen. ;-)

na, ja, wenn man nicht weiß, über welche Dienste der Zugriff auf den
eigenen Datenbestand möglich ist, hat man wohl größere Probleme...


> Die Idee ist, so auch auf einfache Weise ein Image des Systems zu
> ziehen. Jetzt, wo ich das schreibe, klingt es nicht mehr ganz so
> logisch, darüber sinne ich noch mal nach.

Ich glaube, es ist ergiebiger, direkt nach der Installation (bzw. nach
der Installation und Einrichtung des Konfigurationsmanagements) einmal
ein Image zu erstellen und das System mit Puppet, Ansible o.Ä. zu pflegen.


>> Der vergessliche USB-Stick heißt /run, aber das ist ja nicht nötig, weil
>> die fragliche Information in dem LUKS-Volume untergebracht werden kann.
> 
> Das kenne ich noch nicht: ist das dann eine selbstentschlüsselnde
> Verschlüsselung, sowas wie der Wohnungsschlüssel unter der Fußmatte?
> Nee, kann ja gar nicht sein, aber wie ist das zu verstehen?

Solange das Volume verschlüsselt ist, kommt man an die Schlüsseldatei
nicht ran. Aber wenn man es einmal entschlüsselt hat, braucht man für
andere Laufwerke (mit gleich hohen oder niedrigeren
Sicherheitsanforderungen) kein Passwort mehr einzugeben.

Ich habe bei mir ein Mini-Volume, in dem nur die Schlüsseldatei liegt.
Beim Hochfahren wird nur das entschlüsselt, dann werden von da aus alle
anderen block devices entschlüsselt, danach wird das Keyfile-Volume
(bzw. dessen Entschlüsselung) deaktiviert.


>> Das LUKS-Volume (ich empfehle, denselben LUKS-Header für das reguläre
>> und das Backup-Volume zu verwenden, mit neu gesetzter UUID) sollte neben
>> dem Passwort einen key slot bekommen, der für eine Schlüsseldatei
>> verwendet wird.
> 
> Darüber muss ich mich noch belesen (bislang habe ich nur die Methode mit
> eingetipptem Passwort verwendet). Aber wie kann das sicher sein, wenn
> der Schlüssel gleich mitgeliefert wird? Oder was verstehe ich da nicht?

Man kann ein block device natürlich nur mit einer Schlüsseldatei
entschlüsseln, die nicht auf demselben block device liegt. Das hat also
typischerweise nur dann einen Sinn, wenn mehrere Volumes zu
entschlüsseln sind.


>> - Dienst beenden (das stellt sicher, dass vor dem Backup alle Buffer
>> geleert werden)
>> - Dienst in der Firewall sperren
> 
> Da muss ich ja praktisch alle Netzwerkdienste so behandeln;

Dateien werden üblicherweise über maximal zwei Dienste zugänglich
gemacht. Es ist zwar unwahrscheinlich, dass es dadurch zu Problemen
kommt, aber grundsätzlich werden Netzwerkdienste natürlich lieber sauber
heruntergefahren, als dass sie nicht mehr kommunizieren können.


[btrfs-Snapshots]
> Daran hatte ich auch schon gedacht, habe mich aber durch böse Berichte
> noch böserer Zwischenfälle abschrecken lassen. Angeblich sei btrfs noch
> immer nicht ganz ausgereift und gebe gelegentlich Anlass zur
> Beschäftigung mit Totalverlusten.

Na, ja, wie lange ist das her?

Und mal zynisch: Bei täglichen Sicherungen ist der maximale Schaden ja
sehr begrenzt... ;-)

Und bei btrfs kann man fsck (es heißt da anders) ja auch im laufenden
Betrieb laufen lassen.


CU

Hauke