Verschlüsseltes System (Ubuntu Server) ohne manuelle Passwort-Eingabe hochfahren

  • Hi,


    irgendwie finde ich nichts Konkretes. Dass man unter Linux verschlüsselte Partitionen
    mit dem richtigen Key, z.B. abgelegt auf einer ebenfalls (ent)verschlüsselten Partition
    automatisch mounten kann, habe ich mitbekommen.


    Aber wie kann ich ein System komplett verschlüsseln und die notwendige
    Passwortabfrage umgehen, indem ich den nötigen Key auf einem USB-Stick
    bereitstelle?


    Den Server per WOL zu starten und das System booten zu lassen ist so, ohne manuellen Eingriff unmöglich.


    Grüße
    tivi2

    c't VDR v4.5 unfree / Kernel: 2.6.16-ct-1 / 1.4.7-2ctvdr3 (Tobi/TomG)
    Asus K8V-X / Athlon64 3000+ / FU-Si DVB-C FF + 3x Terratec Cinergy 1200 DVB-C


    Neuinstallation in Arbeit:
    c't VDR v7.0 unfree / Kernel: 2.6.28-etobi.3-486 / 1.7.8-1devel1 (Tobi/TomG)


    Ubuntu Server in Arbeit:
    GA-MA785GMT-UD2H / Athlon II X4 605e / 3x HD154UI 1,5TB Raid5
    Linux Server 2.6.31-14-server x86_64

  • Die Frage ist nicht unberechtigt. Dennoch kann es Szenarien geben, in denen
    es - individuell betrachtet - seinen Sinn haben kann.


    Für mich wäre er z.B. bei einer längeren Abwesenheit, in welcher der Server
    ungenutzt bleiben würde.


    cu
    tivi2

    c't VDR v4.5 unfree / Kernel: 2.6.16-ct-1 / 1.4.7-2ctvdr3 (Tobi/TomG)
    Asus K8V-X / Athlon64 3000+ / FU-Si DVB-C FF + 3x Terratec Cinergy 1200 DVB-C


    Neuinstallation in Arbeit:
    c't VDR v7.0 unfree / Kernel: 2.6.28-etobi.3-486 / 1.7.8-1devel1 (Tobi/TomG)


    Ubuntu Server in Arbeit:
    GA-MA785GMT-UD2H / Athlon II X4 605e / 3x HD154UI 1,5TB Raid5
    Linux Server 2.6.31-14-server x86_64

  • Hi,


    mich würde das auch interessieren.
    Ich habe folgendes Szenario: der Server ist zu 100% verschlüsselt und läuft 24/7. Allerdings befindet sich kein Bildschirm dran. Wenn die Kiste also mal gebootet werden muss, kommt der Stick rein (zum Glück einer mit LED :) ), dann kommt GRUB und Kernel und dann die Passwortabfrage, die ich blind über die Tastatur eingebe (nämlich dann, wenn das Lämpchen ausgeht ;) ). Wenn das Passwort korrekt war, blinkt's am Stick noch mal kurz auf und ich kann mich auf den Weg zu meinem Client machen...


    Da der Stick nach dem Hochfahren entfernt und ansonsten sicher verwahrt wird, wäre mir auch am Liebsten, das Passwort oder in diesem Fall eine Key-Datei mit auf dem Stick abzulegen. Es scheint da auch noch andere Möglichkeiten zu geben den Key z. B. zwischen die Partitionen auf dem Stick zu legen bzw. zu verstecken. Leider wird der Key bei allen Methoden die ich probiert habe einfach nicht akzeptiert, obwohl das Key-File an sich korrekt ist.


    Das System läuft unter Debian Etch 4.0r3 mit Vanilla-Kernel 2.6.27-6.


    Grüße joker

    HW VDR: Thermaltake DH102 | Gigabyte GA-M720-US3 | AMD 270u | 8GB RAM | 120GB SSD System + 3TB HDD Daten | L4M Cine CT V6 + Flex S2 | Zotac GT630 | Futaba MDM166A | Atric IR-Einschalter Rev. 5 | NEC P553 | SEDU + 96 PIX | Pioneer SC-LX85 | Jamo S606
    SW VDR: Debian Wheezy | Kernel 3.2.0-4-amd64 | Mate 1.6 | VDR 2.2.0 | nVidia 331.79 | LIRC 0.9.0 | media_build_experimental | Plugins: permashift 1.0.3, softhddevice 0.6.1rc1-git, menuorg 0.5.1, skinnopacity 0.1.3, tvscraper 0.2.0-git, seduatmo 0.0.2-git, mplayer 0.10.2-hg, fritzbox 1.5.3, vdradmin-am 3.6.9, femon 1.7.19, targavfd 0.3.0, span 0.0.7, dvd 0.3.6-cvs, graphtftng 0.4.10-git, extrecmenu 1.2.4-git, epgsearch 1.0.1-git, block 0.1.2-git, cpumon 0.0.6a, ac3mode 0.1, HD-- 1.0.0-hg, u. v. a. ...

  • Achso:
    eine sehr gute Anleitung zum Verschlüsseln von Systemen befindet sich hier.

    HW VDR: Thermaltake DH102 | Gigabyte GA-M720-US3 | AMD 270u | 8GB RAM | 120GB SSD System + 3TB HDD Daten | L4M Cine CT V6 + Flex S2 | Zotac GT630 | Futaba MDM166A | Atric IR-Einschalter Rev. 5 | NEC P553 | SEDU + 96 PIX | Pioneer SC-LX85 | Jamo S606
    SW VDR: Debian Wheezy | Kernel 3.2.0-4-amd64 | Mate 1.6 | VDR 2.2.0 | nVidia 331.79 | LIRC 0.9.0 | media_build_experimental | Plugins: permashift 1.0.3, softhddevice 0.6.1rc1-git, menuorg 0.5.1, skinnopacity 0.1.3, tvscraper 0.2.0-git, seduatmo 0.0.2-git, mplayer 0.10.2-hg, fritzbox 1.5.3, vdradmin-am 3.6.9, femon 1.7.19, targavfd 0.3.0, span 0.0.7, dvd 0.3.6-cvs, graphtftng 0.4.10-git, extrecmenu 1.2.4-git, epgsearch 1.0.1-git, block 0.1.2-git, cpumon 0.0.6a, ac3mode 0.1, HD-- 1.0.0-hg, u. v. a. ...

  • WoW. Ich glaube, das ist das was ich gesucht habe.
    Führe ich mir mal jetzt zu Gemüte.


    Danke, ROW DY 1!



    cu
    tivi2

    c't VDR v4.5 unfree / Kernel: 2.6.16-ct-1 / 1.4.7-2ctvdr3 (Tobi/TomG)
    Asus K8V-X / Athlon64 3000+ / FU-Si DVB-C FF + 3x Terratec Cinergy 1200 DVB-C


    Neuinstallation in Arbeit:
    c't VDR v7.0 unfree / Kernel: 2.6.28-etobi.3-486 / 1.7.8-1devel1 (Tobi/TomG)


    Ubuntu Server in Arbeit:
    GA-MA785GMT-UD2H / Athlon II X4 605e / 3x HD154UI 1,5TB Raid5
    Linux Server 2.6.31-14-server x86_64

    The post was edited 1 time, last by tivi2 ().

  • ich plane es für meinen server anderst zu machen: das os (ubuntu server) kommt auf 2x 4gb cf karte im raid1-daten auf 6x1,5gb raid5. das ganze soll a) verschlüsselt werden b) nach einem stromausfall oder ähnlichem selbsttätig wieder hochfahren ohne dass ein passwort eingegeben werden muss. ausserdem sollen logs erhalten bleiben.


    meine lösung (noch nicht getestet):
    -os auf ext2 mit noatime gemountet (wenig schreibzugriffe)
    -datenplatte mit lvm und bestimme logical volumes mit luks verschlüsselt (vdr aufnahmen nicht weil das volume soll auch nach einem reboot automatisch gemountet werden. ausserdem sind die nicht wirklich verschlüsselungswürdig)
    -keine swap partition (bei ner cf auch nicht wirklich sinnvoll) damit gibt es schon mal kein zu verschlüsselndes swap file
    -var/log in einer ramdisk um die schreibzugriffe zu minimieren-ausserdem muss nicht verschlüsselt werden
    -damit die logs nach einem reboot erhalten bleiben sollen sie sobald eine verschlüsselte partition gemountet wurde (dazu muss ich das passwort zwar eingeben aber das kann auch tage nach dem start sein-das system läuft trotzdem hoch) alle stunden aus der ramdisk auf die verschlüsselte partition geschrieben werden.


    hoffe dass mein ide<->2xcf adapter bald kommt dann kann ich den versuch endlich starten....


    mfg

  • Hi,


    hört sich interessant an. Ich hatte auch kurz den Gedanken, das OS auf
    einen Stick zu packen, aber es dann gelassen und Ubuntu Server auf eine
    2,5 Zoll Platte installiert. Zwei CF für OS im Raid1 Verbund ist 'ne gute Idee.


    Mittlerweile ist das System installiert und mit dem Howto aus ROW DY 1s Link
    startet mein verschlüsseltes OS mit einem Keyfile auf einem USB-Stick.


    Als nächstes soll ein Raid5 mit 3* 1,5TB HDDs aufgebaut verden. Ich werde
    auch diese komplett verschlüsseln. Ob eine Datei verschlüsselungswürdig ist
    oder nicht, möchte ich nicht ständig bewerten. Also wird einfach alles verschlüsselt.


    Ich werde hierzu noch dieses Howto von tjworld.net zu Rate ziehen.
    Die LVMs sollen dann auch automatisch gebootet werden.


    Mittlerweile Frage ich mich auch, wie man am besten künftige 3TB Daten sichert.
    Vermutlich werde ich mir noch irgendwann eine 2TB Platte kaufen und manuell
    die wichtigsten Dateien sichern. Mal sehen...


    Viel Erfolg!


    tivi2

    c't VDR v4.5 unfree / Kernel: 2.6.16-ct-1 / 1.4.7-2ctvdr3 (Tobi/TomG)
    Asus K8V-X / Athlon64 3000+ / FU-Si DVB-C FF + 3x Terratec Cinergy 1200 DVB-C


    Neuinstallation in Arbeit:
    c't VDR v7.0 unfree / Kernel: 2.6.28-etobi.3-486 / 1.7.8-1devel1 (Tobi/TomG)


    Ubuntu Server in Arbeit:
    GA-MA785GMT-UD2H / Athlon II X4 605e / 3x HD154UI 1,5TB Raid5
    Linux Server 2.6.31-14-server x86_64

  • hi


    ja alles zu verschlüsseln ist wohl die eleganteste lösung-nur hat man dann entweder das problem dass beim booten immer ein passwort eingegeben werden muss-bei einem headless server nicht so einfach-will man dass der rechner nach einem eventuellen stromausfall wieder hochfährt und benutzbar ist dann wird es wirklich schwierig.
    lässt man einen stick mit keyfile stecken führt das meiner meinung nach die ganze verschlüsselung ad absurdum. mit stick nur während einem reboot anzustecken kann man sich über das passwort eingeben bei headless servern teilweise retten-aber bei einem ungeplanten reboot ist auch hier ende.....


    daher habe ich die variante gewählt das aufnahmevolume nicht zu verschlüsseln so dass es auf jeden fall nach dem boot zur verfügung steht. /var/log, /var/spool und /tmp liegen alle in einer ramdisk und stehen somit auch sofort zur verfügung-erst um die sicherungskopie der logs auf eine verschlüsselte partition/datei zu starten muss das passwort eingegeben werden. sollte /tmp zu groß werden überlege ich mir dafür noch eine extra platte einzubauen damit nicht immer der ganze raid verbund hochfahren muss.


    ich überlege nur noch wie ich den usern eine komfortable möglichkeit geben kann "ihre" logical volumes zu mounten wenn der server neu gestartet hat..... irgendwas mit nem webif währe nett oder noch besser im zuge der netatalk anmeldung.... (clients sind macs).


    mfg