Bleibt die Frage nach dem Sinn etwas per USB-Stick zu verschlüsseln wenn der Stick eh im Rechner bleibt damit es mit wol klappt.
gon
Hi,
mich würde das auch interessieren.
Ich habe folgendes Szenario: der Server ist zu 100% verschlüsselt und läuft 24/7. Allerdings befindet sich kein Bildschirm dran. Wenn die Kiste also mal gebootet werden muss, kommt der Stick rein (zum Glück einer mit LED 
), dann kommt GRUB und Kernel und dann die Passwortabfrage, die ich blind über die Tastatur eingebe (nämlich dann, wenn das Lämpchen ausgeht 
). Wenn das Passwort korrekt war, blinkt's am Stick noch mal kurz auf und ich kann mich auf den Weg zu meinem Client machen...
Da der Stick nach dem Hochfahren entfernt und ansonsten sicher verwahrt wird, wäre mir auch am Liebsten, das Passwort oder in diesem Fall eine Key-Datei mit auf dem Stick abzulegen. Es scheint da auch noch andere Möglichkeiten zu geben den Key z. B. zwischen die Partitionen auf dem Stick zu legen bzw. zu verstecken. Leider wird der Key bei allen Methoden die ich probiert habe einfach nicht akzeptiert, obwohl das Key-File an sich korrekt ist.
Das System läuft unter Debian Etch 4.0r3 mit Vanilla-Kernel 2.6.27-6.
Grüße joker
ich plane es für meinen server anderst zu machen: das os (ubuntu server) kommt auf 2x 4gb cf karte im raid1-daten auf 6x1,5gb raid5. das ganze soll a) verschlüsselt werden b) nach einem stromausfall oder ähnlichem selbsttätig wieder hochfahren ohne dass ein passwort eingegeben werden muss. ausserdem sollen logs erhalten bleiben.
meine lösung (noch nicht getestet):
-os auf ext2 mit noatime gemountet (wenig schreibzugriffe)
-datenplatte mit lvm und bestimme logical volumes mit luks verschlüsselt (vdr aufnahmen nicht weil das volume soll auch nach einem reboot automatisch gemountet werden. ausserdem sind die nicht wirklich verschlüsselungswürdig)
-keine swap partition (bei ner cf auch nicht wirklich sinnvoll) damit gibt es schon mal kein zu verschlüsselndes swap file
-var/log in einer ramdisk um die schreibzugriffe zu minimieren-ausserdem muss nicht verschlüsselt werden
-damit die logs nach einem reboot erhalten bleiben sollen sie sobald eine verschlüsselte partition gemountet wurde (dazu muss ich das passwort zwar eingeben aber das kann auch tage nach dem start sein-das system läuft trotzdem hoch) alle stunden aus der ramdisk auf die verschlüsselte partition geschrieben werden.
hoffe dass mein ide<->2xcf adapter bald kommt dann kann ich den versuch endlich starten....
mfg
hi
ja alles zu verschlüsseln ist wohl die eleganteste lösung-nur hat man dann entweder das problem dass beim booten immer ein passwort eingegeben werden muss-bei einem headless server nicht so einfach-will man dass der rechner nach einem eventuellen stromausfall wieder hochfährt und benutzbar ist dann wird es wirklich schwierig.
lässt man einen stick mit keyfile stecken führt das meiner meinung nach die ganze verschlüsselung ad absurdum. mit stick nur während einem reboot anzustecken kann man sich über das passwort eingeben bei headless servern teilweise retten-aber bei einem ungeplanten reboot ist auch hier ende.....
daher habe ich die variante gewählt das aufnahmevolume nicht zu verschlüsseln so dass es auf jeden fall nach dem boot zur verfügung steht. /var/log, /var/spool und /tmp liegen alle in einer ramdisk und stehen somit auch sofort zur verfügung-erst um die sicherungskopie der logs auf eine verschlüsselte partition/datei zu starten muss das passwort eingegeben werden. sollte /tmp zu groß werden überlege ich mir dafür noch eine extra platte einzubauen damit nicht immer der ganze raid verbund hochfahren muss.
ich überlege nur noch wie ich den usern eine komfortable möglichkeit geben kann "ihre" logical volumes zu mounten wenn der server neu gestartet hat..... irgendwas mit nem webif währe nett oder noch besser im zuge der netatalk anmeldung.... (clients sind macs).
mfg
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!
