Avo_XO
Anmeldungsdatum: 30. September 2009
Beiträge: Zähle...
|
Hallo zusammen, noxonium schrieb: Sollten wir nicht den LUKS-Artikel dahingehend erweitern, dass man den Leuten IMMER rät, den LUKS-Header mit Hilfe von "cryptsetup luksHeaderBackup" zu sichern? Falls man aus Versehen / aus Dummheit / wegen Plattendefekt die ersten paar Bytes der Festplatte nicht mehr lesen kann, ist die Verschlüsselung nämlich tot und alle Daten weg.
Ich wäre auch sehr dafür, wenn man dies in einen der LUKS-Artikel mitaufnimmt. Am besten noch in einer roten Achtung-Box. Vielen Dank! Gruß
|
Ootmann
Anmeldungsdatum: 31. Oktober 2009
Beiträge: Zähle...
|
Kann man nicht auch mit Palimsest recht einfach Partitionen LUKS-verschlüsseln?
Bin mir da nicht ganz sicher, sonst würde ich's auch in's Wiki einarbeiten.
|
Ootmann
Anmeldungsdatum: 31. Oktober 2009
Beiträge: Zähle...
|
Ootmann schrieb: Kann man nicht auch mit Palimsest recht einfach Partitionen LUKS-verschlüsseln?
Bin mir da nicht ganz sicher, sonst würde ich's auch in's Wiki einarbeiten.
Ich meine damit natürlich die Laufwerksverwaltung
|
Lasall
Ehemalige
Anmeldungsdatum: 30. März 2010
Beiträge: 7723
|
Hi, ich habe das Header-Backup mal in LUKS eingegliedert (evtl. in Kontroverse zur Meinung in Diskussion-zum-Artikel-System-verschluesseln ?). Ein (grosses) Minus an Sicherheit kann ich nicht erkennen wenn das Backup gepflegt wird, sprich nach jeder Aenderung an den Keyslots das Backup erneuert und das Alte vernichtet wird. Ohne Schluessel geht nichts und wer es mag, kann das Backup (so wie ich auch) nochmal verschluesseln. Gerne kann aber der Hinweiskasten in einen Warnkasten umgewandelt und / oder der Text darin noch ausgeschmueckt werden. Gruss
Lasall
|
RvD
Anmeldungsdatum: 26. Mai 2006
Beiträge: 2870
|
Danke, das sieht schon mal prima aus. ☺ Ich habe die Warnung mal etwas deutlicher formuliert.
|
thyriel81
Anmeldungsdatum: 25. Oktober 2011
Beiträge: 23
|
Ich hätt da ne kleine Idee zur Erweiterung des Artikels: Nachdem ich auf nem bereits verschlüsselten System verzweifelt versucht hab eine neue Festplatte (USB) zu verschlüsseln aber GDecrypt (zumindest in 11.10 Xubuntu) nicht funktioniert und das mit der Kommandozeile auch einige Fehlermeldungen verursacht hat, hatte ich dann folgende Idee die hervorragend funktioniert hat:
booten von Alternate Installations CD Setup bis zur Partitionierung fortsetzen manuelles Partitionieren > Verschlüsselten Datenträger erstellen Wenn man damit fertig ist noch auf LVM Konfigurieren gehen damit er die Änderungen anwendet Setup abbrechen
Ging danach schön sauber die USB Festplatte anzustecken. Passwort eingeben und fertig. Ggf. muss man halt noch fstab anpassen für den richtigen Mountpunkt.
Ich denke jedenfalls das würde dem einen oder anderen Anfänger helfen und es geht weit leichter als im nachhinein per Kommandozeile zu arbeiten.
|
wombalton
Anmeldungsdatum: 20. August 2008
Beiträge: 43
|
Ich halte das für keine gute Idee.
Der Weg über die Kommandozeile erscheint mir die bessere und schnellere Wahl um eine neue Festplatte zu verschlüsseln. Ich denke du solltest lieber versuchen die Fehler die du erhalten hast zu analysieren.
|
thyriel81
Anmeldungsdatum: 25. Oktober 2011
Beiträge: 23
|
Die bessere sicher wenns funktioniert. Aber schneller eben nicht wenn man schon tagelang nach den Fehlermeldungen googlet ohne weiterzukommen (und wenigstens die Gewissheit aufgrund der Bugreports zu haben das man nicht als einziger Probleme damit hat)
Was schadet es denn neben der Erwähnung zum (nicht funktionierenden) GUI Programm, kurz zu erwähnen das man bei Problemen auch versuchen kann mit der Alternate Boot CD zu verschlüsseln ? Schließlich soll das Wiki ja Unerfahrenen Usern helfen, die die sich auskennen schauen sich eh die manpages an
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 28316
|
Hallo, was passiert denn, wenn man die Installation aus versehen nicht abbricht, sondern aus lauter Gewohnheit auf weiter klickt und der Installer beginnt zu rennen? Gruß, noisefloor
|
thyriel81
Anmeldungsdatum: 25. Oktober 2011
Beiträge: 23
|
Gar nichts, da man ja keine root Partition zugewiesen hat kommt ein Fehler 😉 Und wenn man irrtümlich der neu erstellen verschlüsselten Partition root zuweist kommt ebenfalls ein Fehler weil dann immer noch /boot fehlt Das schlimmste das passieren kann ist die voreingestellte Formatierung der swap Partition, und die schadet dem System ja nicht (würd maximal mit ner neuen UUID der Swap Partition enden somit würde das System ohne Swap starten was sich im Zweifelsfall schnell beheben lässt aber da bin ich mir auch grad nicht sicher ob reines formatieren eine neue UUID erzeugt)
|
Lasall
Ehemalige
Anmeldungsdatum: 30. März 2010
Beiträge: 7723
|
Hi thyriel81, die Fehlermeldungen (und Befehle) der Kommandozeile waeren schon ganz interessant. Gruss
Lasall
|
thyriel81
Anmeldungsdatum: 25. Oktober 2011
Beiträge: 23
|
Lasall schrieb: die Fehlermeldungen (und Befehle) der Kommandozeile waeren schon ganz interessant.
Bin mir nicht mehr zu 100% sicher welche es genau alle waren, aber es waren gleich mehrere Warnung + Fehler auf einmal (da ich es ja nun verschlüsselt hab + Daten darauf will ich da auch nichts mehr rumexperimentieren) Kommando wie im Wiki beschrieben war:
cryptsetup -c aes-xts-plain -s 512 luksFormat /dev/sdc1
/dev/sdc1 → vorher mit gparted als ext4 vorbereitet um nicht irrtümlich andere Partitionen auf der Festplatte kaputt zu machen Der schwerwiegendste Fehler war dann
Command failed: Failed to setup dm-crypt key mapping.
Check kernel for support for the aes-xts-plain cipher spec
So quasi der Kernel würde aes-xts-plain nicht unterstützen (obwohl das ganze System damit verschlüsselt ist) und davor noch ein gutes halbes dutzend Fehlermeldung wie zb in diesem Bugreport: https://bugs.launchpad.net/ubuntu/+source/cryptsetup/+bug/879274
|
thyriel81
Anmeldungsdatum: 25. Oktober 2011
Beiträge: 23
|
da sich ja scheinbar niemand mehr zu Wort meldet bezüglich meiner Erweiterung des Artikels, würd ich den Absatz mal gern in ner Baustellen Version schreiben
|
Lasall
Ehemalige
Anmeldungsdatum: 30. März 2010
Beiträge: 7723
|
Hi thyriel81, existiert ein entsprechender Bug? Wenn nein, bitte Fehler melden. Die Installation an bestimmten Stellen abzubrechen, ist wohl nicht im Sinne des Erfinders (ich beziehe mich nicht auf "semop failed for cookie" Fehlermeldungen). Da es sich um einen imho unschoenen Workaround handelt, solltest du deine Aenderung entsprechend nur als Hinweis gestalten. (Baustelle erstellt.) Gruss
Lasall
|
thyriel81
Anmeldungsdatum: 25. Oktober 2011
Beiträge: 23
|
Lasall schrieb: existiert ein entsprechender Bug? Wenn nein, bitte Fehler melden.
Habs jetzt nochmal auf nem anderen Rechner (ebenfalls Xubuntu 11.10 verschlüsseltes System) mit nem USB Stick versucht aber da kam derselbe Fehler, habs nun gemeldet: Bug #888782
Danke für den Baustellenartikel ☺
|