Das längste Thema
- fLoo
- Unerledigt
-
-
bei uns sind bereits die Erdbeeren reif - und das noch vor dem Muttertag
(irgendwie glaubt ma, da hat Fukushima nachgeholfen)
Wow, welche Sorte ist das?
-
Wow, welche Sorte ist das?
keine Ahnung, ich hab sie beim Marktstand direkt vom Bauern gekauft;
wobei in der Apotheke wären sie evtl. billiger gewesen
-
Hab da mal ne Frage hab mal wieder etwas entdeckt was für sehr böse zwecke missbraucht werden könnte...
[...]
Würdet Ihr sowas an Heise schicken und der Seite?
Ich würde es dem Seitenbetreiber melden… und zwar so schnell wie möglich.
-
Wie ist das eigentlich mit Datenträgerverschlüsselung unter Linux, spezifisch Debian?
Da muss man doch beim booten immer das Passwort für die Festplatte eingeben, richtig? Was ist wenn der Server mal abraucht, oder warum auch immer neu booten muss - muss man dementsprechend dann immer dabei sein und das Passwort eingeben?
-
Für CentOS und RedHat gibt es https://www.redhat.com/en/blog…prise-linux-75-using-nbde .
Was meinst du mit Debian spezifisch?
-
Was meinst du mit Debian spezifisch?
Naja Datenträgerverschlüsselung unter Debian halt.
-
Wie ist das eigentlich mit Datenträgerverschlüsselung unter Linux, spezifisch Debian?
Da muss man doch beim booten immer das Passwort für die Festplatte eingeben, richtig? Was ist wenn der Server mal abraucht, oder warum auch immer neu booten muss - muss man dementsprechend dann immer dabei sein und das Passwort eingeben?
Entweder das, oder Du verwendest so etwas wie Mandos.
https://wiki.recompile.se/wiki/Mandos
ZitatMandos is a system for allowing servers with encrypted root file systems to reboot unattended and/or remotely.
Auf der Seite gibt es schöne Bilder die erklären, wie Mandos funktioniert, aber im Prinzip ist es ein Client-Server System, wo ein Server das Passwort zum entschlüsseln vorhält. Schau Dir einfach mal die Webseite an.
Ist in Debian und Ubuntu enthalten.
Eine Variante des Prinzips wäre es einen verschlüsselten LXC/LXD-Container zu verwenden, und sich das PW von einem eigenen Server (z.B. von einem Raspberry Pi daheim) zusenden zu lassen. Das geht mit ein paar Skripten recht einfach, ist aber wahrscheinlich nicht so sicher wie Mandos
-
Okay, das ist schonmal interessant. Habs grad mal mit Debian Stock Verschlüsselung spaßenshalber probiert, funktioniert so wie ich es mir vorgestellt habe.
Aber zwei Fragen habe ich noch:
-> Die /boot Partition muss immer unverschlüsselt sein, ist das richtig?
-> Was ist jetzt der richtige Weg - Partition komplett verschlüsseln, und Logical Volumes darauf anlegen oder Partition unverschlüsselt lassen, und alle Logical Volumes darauf verschlüsseln?
Ich habe mich zunächst für ersteren Weg entschieden. Aber ist das auch wirklich der richtige?
-
Wie ist das eigentlich mit Datenträgerverschlüsselung unter Linux, spezifisch Debian?
Da muss man doch beim booten immer das Passwort für die Festplatte eingeben, richtig? Was ist wenn der Server mal abraucht, oder warum auch immer neu booten muss - muss man dementsprechend dann immer dabei sein und das Passwort eingeben?
Genau, beim Reboot (oder der nun geplant war oder nicht) muss dann das entsprechende Passwort eingegeben werden. Will ich nunmal tendenziell eher paranoid verlangt bin (ab vier Platten geht nichts unter einem RAID6) hatte ich mein System auch eine ganze Zeit lang vollverschlüsselt, wenn man es ordentlich machen will gehört da aber auch der Swap dazu. Auf Dauer war mir das Ganze aber dann zu nervig und wirklich sensible Daten lagern ohnehin nicht auf meinem Server.
(...) Die /boot Partition muss immer unverschlüsselt sein, ist das richtig? (...)
Das ist richtig. Die Größe der Partition würde ich davon abhängig machen, wie oft du dich motivieren kannst alte Kernels rauszuschmeißen - bei mir ist/war sie demnach recht groß
-
bestehenden Kupferleitungen beim FTTH Ausbau handhabt? Bleiben die dann aktiv, oder werden die abgeschalten
Da musst du näher erklären, wie du das meinst.
Im Normalfall bleiben bestehende Kupferanschlüsse bestehen.
Es kann aber sein, daß du bei einem Leitungsbruch, oder bei einer Neubestellung nurnoch Glas bestellen kannst (es sei denn, von einem anderen Anbieter).
Je nach Größe des Objektes wird auch eine Art POP in den Keller gebaut, der Glas auf Kuper umsetzt.
-
Wie ist das eigentlich mit Datenträgerverschlüsselung unter Linux, spezifisch Debian?
Da muss man doch beim booten immer das Passwort für die Festplatte eingeben, richtig? Was ist wenn der Server mal abraucht, oder warum auch immer neu booten muss - muss man dementsprechend dann immer dabei sein und das Passwort eingeben?
Kommt darauf an, wo das Passwort herkommt. Es gibt mit https://github.com/latchset/tang und https://github.com/latchset/clevis durchaus Hilfswerkzeuge, mit welchen vollautomatisch Passwörter zwischen gesicherten Endpunkten ausgetauscht werden können. Bislang muss man bei den meisten Linux-Distributionen hierzu jedoch noch selbst Hand anlegen/"Klimmzüge" machen, um damit zu arbeiten (sofern ein Passwort für den Bootprozess erforderlich ist). Dennoch kann dieser Ansatz gerade bei externen Servern Sinn machen (der Einsatz von tang/clevis für Netcup-VServer steht auch noch auf der eigenen TODO-Liste), und es gibt natürlich ein paar ganz gute Artikel/Dokumente/Präsentationen hierzu – das Ganze läuft unter dem Begriff "Network-Bound Disk Encryption".
-
Da macht man mal kein Hording und fix hätte ich nun Verwendung für einen Root-Server Spring
-
Da macht man mal kein Hording und fix hätte ich nun Verwendung für einen Root-Server Spring
Geht mir gerade genauso. Wobei ich ja sogar kurz davor war ihn zu bestellen, dann war aber schon 18:04 Uhr
-
Code
Alles anzeigendig @root-dns.netcup.net ********.de SOA ; <<>> DiG 9.14.1 <<>> @root-dns.netcup.net ********.de SOA ; (2 servers found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 5958 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; WARNING: recursion requested but not available ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;********.de. IN SOA ;; Query time: 24 msec ;; SERVER: 46.38.225.225#53(46.38.225.225) ;; WHEN: So Mai 12 13:10:29 CEST 2019 ;; MSG SIZE rcvd: 44 dig @f.nic.de ********.de NS ; <<>> DiG 9.14.1 <<>> @f.nic.de ********.de NS ; (2 servers found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 14943 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 3, ADDITIONAL: 1 ;; WARNING: recursion requested but not available ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ; COOKIE: 5a3ce3107e782c5928d5ab895cd7ff8d8cec339e5f0e35ed (good) ;; QUESTION SECTION: ;********.de. IN NS ;; AUTHORITY SECTION: ********.de. 86400 IN NS second-dns.netcup.net. ********.de. 86400 IN NS third-dns.netcup.net. ********.de. 86400 IN NS root-dns.netcup.net. ;; Query time: 24 msec ;; SERVER: 81.91.164.5#53(81.91.164.5) ;; WHEN: So Mai 12 13:12:36 CEST 2019 ;; MSG SIZE rcvd: 154
Erde an Denic. Bitte nicht einfach DNS Server durchwechseln. Und erst recht nicht, wenn die eigentlichen DNS Server die Zone ordentlich bedienen und schon Traffic darüber lief!
-
Sind Tablets eigentlich kein Ding mehr?
Ich versuch gerade ein 7 Zoll Tablet mit >= Android 8 zu finden.
-
-
> Die /boot Partition muss immer unverschlüsselt sein, ist das richtig?
Nein. Damit kann ich dir dann einen modifizierten Kernel unterjubeln. Ich habe mit Gentoo immer alles verschlüsselt, was möglich ist. Vergleiche hierzu z.B. https://wiki.archlinux.org/ind…pted_boot_partition_(GRUB)
Bei Laptops gehen Bekannte von mir so weit, dass der Biotopader auf einem externen USB-Stick liegt und die Festplatte komplett verschlüsselt ist.
-
Sind Tablets eigentlich kein Ding mehr?
Ich versuch gerade ein 7 Zoll Tablet mit >= Android 8 zu finden.
Ich bin ganz zufrieden mit einem Lenovo Tab 4 mit LTE: https://www.heise.de/preisverg…loc=de&v=e&asuch=TB8704-X . 7 Zoll sind doch inzwischen Telefonen vorbehalten
-
7 Zoll sind doch inzwischen Telefonen vorbehalten
nur die User passen halt (noch) nicht dazu ...
ab Hosengröße 4XL hast dann hinreichende Hosentaschen f. die Teile