unggnu
(Themenstarter)
Anmeldungsdatum: 5. September 2007
Beiträge: 241
|
RvD schrieb: Darfst Du gerne machen - und auch gerne 256 Bit nehmen. 😉
Naja, die Leute die 256 Bit möchten, die können ja gleich das ganze System verschlüsseln. Ist sowieso die bessere Variante, wenn auch weniger performant. Es sei denn XTS würde durch die 64 Bit wesentlich schwächer, aber ich denke, dann würde man es nicht anbieten, wenn es massive Nachteile hätte (Prinzip Hoffnung 😉 ) Ich hatte auf jeden Fall mal in der Mailingliste nachgefragt und keine Antwort bekommen. Die XTS-Doku kann ich selbst nicht beurteilen. RvD schrieb: Ein verschlüsseltes SWAP erfordert dann eine Passworteingabe zur Boot-Zeit, oder?
Ich dachte an Deaktivierung in erster Linie und Verschlüsselung mit Zufallspasswort als Alternative, wer sie unbedingt braucht. Ansonsten könnte man ja wie gesagt gleich das ganze System verschlüsseln. Zu Not könnte ich ja als dritte Alternative noch mit Startabfrage anbieten. RvD schrieb: Und mlocate kann man doch eigentlich auch so konfigurieren dass es nicht in TMP und HOME arbeitet, oder?
Sicherlich, da müsste ich mich aber erst mal schlau machen ☺ . Ich habe locate noch nie eingesetzt und weiß gar nicht wer das braucht. Für den Desktop gibt es ja Tracker, Beagle usw. und die Daten landen in der Home und vielleicht noch ab und an in tmp. Gruß,
unggnu
|
RvD
Anmeldungsdatum: 26. Mai 2006
Beiträge: 2870
|
unggnu schrieb: Sicherlich, da müsste ich mich aber erst mal schlau machen
Scheint recht trivial: /etc/updatedb.conf
PRUNEPATHS="/tmp /var/spool /media"
zu
PRUNEPATHS="/tmp /var/spool /media /home"
?
|
maniaxx
Anmeldungsdatum: 13. September 2007
Beiträge: 27
|
wollte hier eigentlich 'ne frage zu den abgeleiteten schlüsseln stellen, aber ich glaube, mir ist die antwort grade selber eingefallen. und zwar: warum wird für den abgeleiteten schlüssel extra ein tmpfs gemountet? ich schätze mal, damit soll erreicht werden, dass der schlüssel zu keinem zeitpunkt auf einer unverschlüsselten partition (bzw. überhaupt irgendwo auf 'ner partition?) gespeichert wird. sollte man das im wiki erwähnen oder haltet ihr das für überflüssig? ich selber könnte es übrigens glaub ich auch nicht so verfassen, dass es sinn macht, aber ich glaub ihr wisst, was ich meine *g* (ausser ich liege komplett daneben...)
|
RvD
Anmeldungsdatum: 26. Mai 2006
Beiträge: 2870
|
Genau - deshalb wird auch RAMFS verwendet, das auch nicht geswapt wird.
|
wombalton
Anmeldungsdatum: 20. August 2008
Beiträge: 43
|
Im Artikel heißt es:
Nach der Anmeldung¶ Seit Hardy können LUKS-Geräte auch mit Nautilus eingebunden werden, wenn die oben erwähnte Vorbereitung durchgeführt >wurde.
von welchen "oben erwähnten Vorbereitungen" ist hier genau die rede?
|
unggnu
(Themenstarter)
Anmeldungsdatum: 5. September 2007
Beiträge: 241
|
wombalton schrieb: von welchen "oben erwähnten Vorbereitungen" ist hier genau die rede?
Von denen im Unterpunkt Vorbereitung besprochenen ☺ Gruß,
unggnu
|
wombalton
Anmeldungsdatum: 20. August 2008
Beiträge: 43
|
Ah ok... aber funktioniert das auch bei fest eingebauten festplatten?
bei meinem notebook poped ein fenster auf, das mich nach dem passwort fragt, sobald ich meine verschlüsselte usb festplatte dran hänge. das klappt anstandslos.
aber bei meinem desktop rechner mit eingebauter hdd funktioniert das nicht. zumindestens wird die festplatte nicht unter computer angezeigt. kann sie nur manuell öffnen und einbinden...
|
maniaxx
Anmeldungsdatum: 13. September 2007
Beiträge: 27
|
RvD schrieb: Genau - deshalb wird auch RAMFS verwendet, das auch nicht geswapt wird.
einer meiner fragen war, ob es nicht sinnvoll wäre, dieses detail ins wiki aufzunehmen 😉 damit sich nicht jemand denkt: was soll das? den schritt überspring ich doch glatt mal... bzw. um gleich noch ein stück "hintergrundwissen" mitzuliefern wie bereits gesagt: ich selber fühle mich nicht imstande, das angemessen auszudrücken 😉
|
RvD
Anmeldungsdatum: 26. Mai 2006
Beiträge: 2870
|
wombalton schrieb: Ah ok... aber funktioniert das auch bei fest eingebauten festplatten?
Nein, ist in Debian und Ubuntu IIRC entweder bei udev oder HAL gesperrt.
|
wombalton
Anmeldungsdatum: 20. August 2008
Beiträge: 43
|
nur so aus interesse: warum ist das gesperrt? steckt da irgendein sicherheitsgedanke dahinter? ich geh doch mal davon aus, sonst müssten ja alle anderen festplatten/partitionen auch nicht angezeigt werden... ist vielleicht jemand so schlau und weiß was dahinter steckt?
|
RvD
Anmeldungsdatum: 26. Mai 2006
Beiträge: 2870
|
Da die Sicherheit von der Verschlüsselung kommt, ist das wohl reine Kosmetik...
|
unggnu
(Themenstarter)
Anmeldungsdatum: 5. September 2007
Beiträge: 241
|
Weiß jemand zufällig wie man die "iterations" von Luks-Schlüsseln nachträglich oder beim erstellen anpassen kann? Es scheint sich an die Prozessorsgeschwindigkeit anzupassen, auf jeden Fall dauert es auf einem Quadcore mit 2.4 mehrere Sekunden eine Partition einzuhängen. Wenn man mehrere hat, hält das den Bootprozess ganz schön auf. Ich denke Iterationen von einer Sekunde sollten vollständig ausreichen, gerade bei einem sicheren Passwort.
|
cinhtau
Anmeldungsdatum: 30. Oktober 2009
Beiträge: Zähle...
|
Hallo Forum, der Wiki-Artikel zu LUKS ist schon ausreichend beschrieben. Ich hätte da den Vorschlag ihn zu erweitern bzw. zu verfeinern. Leider beschreibt der Artikel nicht ausführlich die Wartung mit fsck. Dies wäre eine Bereicherung, da viele Personen LUKS einsetzen, aber weder manuell noch automatisch die Dateisystemcheck ausführen (können). Was haltet ihr davon?
|
RvD
Anmeldungsdatum: 26. Mai 2006
Beiträge: 2870
|
Das wäre ein Fall für die Wissensbox und eventuell eine Hinweisbox.
|
cinhtau
Anmeldungsdatum: 30. Oktober 2009
Beiträge: Zähle...
|
RvD schrieb: Das wäre ein Fall für die Wissensbox und eventuell eine Hinweisbox.
Ich würde ja gerne den Artikel erweitern, leider kann ich mit den Begriffen Wissensbox oder Hinweisbox nichts anfangen. Kann mir jemand auf die entsprechende Doku/Wiki-Seite verweisen? Wer schreibt, kontrolliert und veröffenlicht denn die Artikel bzw. gibt es einen redaktionellen Workflow?
|