Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Minimalistisches Linux zur Festplattenverschlüsselung

Frage Linux

Mitglied: datasearch

datasearch (Level 2) - Jetzt verbinden

17.08.2008, aktualisiert 18.08.2008, 4240 Aufrufe, 2 Kommentare

Hallo Leute,

ich habe da so eine Idee. Ich würde gerne ein Linux bauen (gentoo-Basierend), das nur die nötigsten Systemdateien (zb. Busybox) und alle Komponenten für den Zugriff auf verschlüsselte Datenträger enthält. Dies könnte man ja zb. mit cryptsetup lösen. Im Prinzip könnte man ja alles in eine initrd packen, booten, platte mit einem Schlüssel vom USB-Stick oder SmartCard entschlüsseln, neu als root einbinden und das eigentliche System starten. Quasi eine Art Startschlüssel für das vorhandene System. Ich experimentiere damit schon eine ganze Weile. Scheitere jedoch an einem zuverlässigem Schutz für den Schlüssel auf dem USB-Stick oder an der initrd.

Ich suche eigentlich nur Ideen, Vorschläge oder ähnliches die ich ausprobieren könnte. Ziel ist ein Server für den mobilen Einsatz, der quasi nur mit einem Medium (am liebsten SmartCard) überhaupt gestartet werden kann. Wird das Gerät gestolen, kommt man weder an Betriebssystem (das ja VPN-Schlüssel usw. enthalten könnte), noch an Daten (falls es sich um einen Fileserver handelt).

Also, egal wie weit hergeholt, ich bin offen für alle Vorschläge (außer proparitärer-/komerzieller- / nicht-OSS- / Lösungen).

Derzeit habe habe ich eine optimierte gentoo-stage1 Installation soweit abgespeckt das es auf 30MB passt und boote es von einer unverschlüsselten Partition. Ziel ist es aber, alles per initrd zu booten.

Zur Verschlüsselung würde ich Via C7 Hardware (wegen PadLock AES Engine), PCIe Raid-controller und 2.5" SATA-Platten im Raid5 verwenden. Natürlich erst wenn das OS soweit steht. Zum testen habe ich einen Via C3 (Padlock). Nach einigen Optimierungen schaffe ich so an die 40MB/s. Der C7 sollte so an die 60 schaffen, was für einen On-The-Road-Server völlig ausreicht.

Falls ich OT bin, bitte verschieben
Mitglied: filippg
18.08.2008 um 00:09 Uhr
Hallo datasearch,

leider kein Vorschlag, aber eine Frage: Wie schaffst du es denn, ein zweites OS zu booten, ohne das erste zu beenden? Oder willst du erst die ganze Platte entschlüsselt speicher und dann komplett neu booten? Dann funktioniert der Spass aber doch nur einmal, oder?

Ach so, und zu den Vorschlägen: Du willst sicherstellen, dass der Schlüssel nicht von seinem Datenträger ausgelesen werden kann? Das lässt sich m.E. mit herkömmlichen Datenträger schlicht und einfach nicht realisieren. Dein Entschlüsselungs-Linux ist ja darauf angewiesen, den Schlüssel in den Arbeitsspeicher laden zu können. Und was das kann, können andere auch. Aber genau dafür wurden ja Smartcards entwickelt. Die können Daten entschlüsseln (idealerweise nur den Schlüssel für die eigentlichen Nutzdaten), ohne dabei den Schlüssel preiszugeben.

Gruß

Filipp
Bitte warten ..
Mitglied: datasearch
18.08.2008 um 09:10 Uhr
Wie schaffst du es denn, ein zweites OS zu booten, ohne das erste zu beenden?

Indem ich diese Vorgänge entweder in einer initrd oder einem sehr frühem rc-script ausführe. ZB. append=init=/bin/preinit.sh.
Mit der initrd hatte ich noch kein Glück. Muss aber auch funktionieren.

Anschließend übergebe ich das neue root und boote das System fertig. In der letzten version habe ich mit kexec einen neuen Kernel aus der Cryptdisk gebootet.


Naja, RAM ist unkritisch. Es geht primär um diebstal, wenn jemand die Kiste im offenem zustand hackt, bringt eine Verschlüsselung freilig nichts. Ich möchte aber auch nicht wie bei LUKS, truecrypt usw... den Schlüssel in der Partition liegen haben. Eine Smartcard oder Stick sind schnell vernichtet.


Dummerweise brauche ich hotplug und mehrere regeln um bei anstecken des Sticks den Schlüssel zu laden. geht das mit SC vieleicht besser?

Im Moment boote ich das System mit der init=??? methode. In dem Script wird am ende udev getsartet. Sobald nun der Stick mit der richtigen Seriennummer angesteckt word, startet ein Script das Mountet, den Schlüssel lädt, entschlüsselt und bootet. Dummerweise kommt udev da völlig durcheinander. Also suche ich neue Möglichkeiten .
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Viren und Trojaner
gelöst WHM cPanel Anti Virensoftware für Linux ? (2)

Frage von xpstress zum Thema Viren und Trojaner ...

Windows Netzwerk
Konfiguration Linux VM in IIS-Manager (10)

Frage von HansWerner1 zum Thema Windows Netzwerk ...

RedHat, CentOS, Fedora
Linux-Distribution: Fedora 25 erscheint mit Wayland als Standard (1)

Link von runasservice zum Thema RedHat, CentOS, Fedora ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...