Das längste Thema

  • Wie ist das eigentlich mit Datenträgerverschlüsselung unter Linux, spezifisch Debian?

    Da muss man doch beim booten immer das Passwort für die Festplatte eingeben, richtig? Was ist wenn der Server mal abraucht, oder warum auch immer neu booten muss - muss man dementsprechend dann immer dabei sein und das Passwort eingeben? :/

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Wie ist das eigentlich mit Datenträgerverschlüsselung unter Linux, spezifisch Debian?

    Da muss man doch beim booten immer das Passwort für die Festplatte eingeben, richtig? Was ist wenn der Server mal abraucht, oder warum auch immer neu booten muss - muss man dementsprechend dann immer dabei sein und das Passwort eingeben? :/

    Entweder das, oder Du verwendest so etwas wie Mandos.


    https://wiki.recompile.se/wiki/Mandos


    Zitat

    Mandos is a system for allowing servers with encrypted root file systems to reboot unattended and/or remotely.


    Auf der Seite gibt es schöne Bilder die erklären, wie Mandos funktioniert, aber im Prinzip ist es ein Client-Server System, wo ein Server das Passwort zum entschlüsseln vorhält. Schau Dir einfach mal die Webseite an.


    Ist in Debian und Ubuntu enthalten.


    Eine Variante des Prinzips wäre es einen verschlüsselten LXC/LXD-Container zu verwenden, und sich das PW von einem eigenen Server (z.B. von einem Raspberry Pi daheim) zusenden zu lassen. Das geht mit ein paar Skripten recht einfach, ist aber wahrscheinlich nicht so sicher wie Mandos

  • Okay, das ist schonmal interessant. Habs grad mal mit Debian Stock Verschlüsselung spaßenshalber probiert, funktioniert so wie ich es mir vorgestellt habe.


    Aber zwei Fragen habe ich noch:

    -> Die /boot Partition muss immer unverschlüsselt sein, ist das richtig?

    -> Was ist jetzt der richtige Weg - Partition komplett verschlüsseln, und Logical Volumes darauf anlegen oder Partition unverschlüsselt lassen, und alle Logical Volumes darauf verschlüsseln?


    Ich habe mich zunächst für ersteren Weg entschieden. Aber ist das auch wirklich der richtige? :/

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Wie ist das eigentlich mit Datenträgerverschlüsselung unter Linux, spezifisch Debian?

    Da muss man doch beim booten immer das Passwort für die Festplatte eingeben, richtig? Was ist wenn der Server mal abraucht, oder warum auch immer neu booten muss - muss man dementsprechend dann immer dabei sein und das Passwort eingeben? :/

    Genau, beim Reboot (oder der nun geplant war oder nicht) muss dann das entsprechende Passwort eingegeben werden. Will ich nunmal tendenziell eher paranoid verlangt bin (ab vier Platten geht nichts unter einem RAID6) hatte ich mein System auch eine ganze Zeit lang vollverschlüsselt, wenn man es ordentlich machen will gehört da aber auch der Swap dazu. Auf Dauer war mir das Ganze aber dann zu nervig und wirklich sensible Daten lagern ohnehin nicht auf meinem Server.

    (...) Die /boot Partition muss immer unverschlüsselt sein, ist das richtig? (...)

    Das ist richtig. Die Größe der Partition würde ich davon abhängig machen, wie oft du dich motivieren kannst alte Kernels rauszuschmeißen - bei mir ist/war sie demnach recht groß :D

    Meine netcup-Produkte: RS 1000 SAS G8 | VPS 10 G7 | WH 8000 SE | WH 2000 SE Plus | WH 1000 SE | WH SLA+

    Zu Hause: HP ProLiant MicroServer N54L (7. Generation)

  • bestehenden Kupferleitungen beim FTTH Ausbau handhabt? Bleiben die dann aktiv, oder werden die abgeschalten

    Da musst du näher erklären, wie du das meinst.

    Im Normalfall bleiben bestehende Kupferanschlüsse bestehen.

    Es kann aber sein, daß du bei einem Leitungsbruch, oder bei einer Neubestellung nurnoch Glas bestellen kannst (es sei denn, von einem anderen Anbieter).

    Je nach Größe des Objektes wird auch eine Art POP in den Keller gebaut, der Glas auf Kuper umsetzt.

  • Wie ist das eigentlich mit Datenträgerverschlüsselung unter Linux, spezifisch Debian?

    Da muss man doch beim booten immer das Passwort für die Festplatte eingeben, richtig? Was ist wenn der Server mal abraucht, oder warum auch immer neu booten muss - muss man dementsprechend dann immer dabei sein und das Passwort eingeben? :/

    Kommt darauf an, wo das Passwort herkommt. Es gibt mit https://github.com/latchset/tang und https://github.com/latchset/clevis durchaus Hilfswerkzeuge, mit welchen vollautomatisch Passwörter zwischen gesicherten Endpunkten ausgetauscht werden können. Bislang muss man bei den meisten Linux-Distributionen hierzu jedoch noch selbst Hand anlegen/"Klimmzüge" machen, um damit zu arbeiten (sofern ein Passwort für den Bootprozess erforderlich ist). Dennoch kann dieser Ansatz gerade bei externen Servern Sinn machen (der Einsatz von tang/clevis für Netcup-VServer steht auch noch auf der eigenen TODO-Liste), und es gibt natürlich ein paar ganz gute Artikel/Dokumente/Präsentationen hierzu – das Ganze läuft unter dem Begriff "Network-Bound Disk Encryption".

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • Da macht man mal kein Hording und fix hätte ich nun Verwendung für einen Root-Server Spring

    Geht mir gerade genauso. Wobei ich ja sogar kurz davor war ihn zu bestellen, dann war aber schon 18:04 Uhr :D

    Meine netcup-Produkte: RS 1000 SAS G8 | VPS 10 G7 | WH 8000 SE | WH 2000 SE Plus | WH 1000 SE | WH SLA+

    Zu Hause: HP ProLiant MicroServer N54L (7. Generation)


  • Erde an Denic. Bitte nicht einfach DNS Server durchwechseln. Und erst recht nicht, wenn die eigentlichen DNS Server die Zone ordentlich bedienen und schon Traffic darüber lief!

  • > Die /boot Partition muss immer unverschlüsselt sein, ist das richtig?

    Nein. Damit kann ich dir dann einen modifizierten Kernel unterjubeln. Ich habe mit Gentoo immer alles verschlüsselt, was möglich ist. Vergleiche hierzu z.B. https://wiki.archlinux.org/ind…pted_boot_partition_(GRUB)


    Bei Laptops gehen Bekannte von mir so weit, dass der Biotopader auf einem externen USB-Stick liegt und die Festplatte komplett verschlüsselt ist.

    "Security is like an onion - the more you dig in the more you want to cry"