# Crypto File-System

## Crash1976M

Hallo

ich hab mich grad etwas durchgekämpft (engl. forum), bin aber nicht wirklich auf einen grünen zweig gekommen. Mein Ziel ist es, alle partitionen (ext3) ausgenommen /boot schon bei der installation zu crypten. sowas kann rh 7.2 schon bei der installation. gibts da erfahrungen unter gentoo ????

thx

----------

## derRichard

hallo!

das würde mich auch mal interessieren.

ich kenn nur cfs, das hat kein jornal und is meines wissens noch beta.

mfg

richard

----------

## Crash1976M

 *derRichard wrote:*   

> hallo!
> 
> das würde mich auch mal interessieren.
> 
> ich kenn nur cfs, das hat kein jornal und is meines wissens noch beta.
> ...

 

soweit ich mich erinnere vercryptet rh das ganze filesystem transparent. nur beim "anhängen" und booten der jeweiligen fs fragt er nach einem masterpasswort.

ich hoffe, ich kann das ganze hier ohne hardware lösung erstellen

----------

## vicay

 *Crash1976M wrote:*   

> Hallo
> 
> ich hab mich grad etwas durchgekämpft (engl. forum), bin aber nicht wirklich auf einen grünen zweig gekommen. Mein Ziel ist es, alle partitionen (ext3) ausgenommen /boot schon bei der installation zu crypten. sowas kann rh 7.2 schon bei der installation. gibts da erfahrungen unter gentoo ????
> 
> thx

 

Hallo,

AFAIK gibt es da wohl keine Lösung out of the box.

Aber probier doch mal, nach dem booten des CD-Images

die entsprechenden Kernelmodule + losetup von einem bereits installierten System auf das das Scratch-Basissystem

zu übertragen und die gewünschten Partitionen zu crypten.

Das bedeutet aber auch, dass du danach dem System bei jedem Boot

die entsprechenden Passwörter einhacken müsstest. 

(ändern der entsprechenden init-skripte). Für mich stellen

sich da immer einige Fragen:

- Bringt es etwas, Daten zu verschlüsseln, die sowieso öffentlich

  verfügbar sind ( /usr /opt etc)  oder sollte man die verschlüsselung

  nicht besser ausschliesslich auf die Bereiche anwenden, die persönliche

  oder anderweitig schutzbedürftige Daten enthalten?

- Wenn sich wirklich jemand physischenZugriff auf den Rechner 

  verschafft, sollte  man dem entsprechenden Menschen beim Hochfahren

  des Systems wirklich mitteilen, dass er es mit einem Crypto-FS zu tun   

  hat ? (Grosser Freundlicher Eingabeprompt für das Passwort)

- Im gemounteten Zustand handelt es sich um ein transparant nutzbares

  System - bei Angriffen zb via Netzwerk etc ergibt sich kein zusätzlicher

  Schutz. Handelt es sich bei dir eigentlich um einen Laptop oder

  stationären Rechner?

Mit besten Grüssen

vicay

----------

## Crash1976M

Hallo

Es stimmt mit der Sinnhaftigkeit  FS zu verschlüsseln, die vom System gebraucht werden. Ich habe derzeit einen "Standalone" werde aber bald auf eine Notebook umsteigen. Daher ist es für mich (inkl. Firmendaten) sehr wichtig, dass die auf dem NB gespeicherten Daten nicht einsichtbar sind, sollte das NB gestohlen werden. Was sehr feines wäre es ja, wenn das System von Sich aus (ähnlich wie bei w2k/xp) auf userebene im FS diese verschlüsseln könnte. Sowas hab ich bei Linux leider noch nicht erblickt.

mfg

Mike

----------

## vicay

 *Crash1976M wrote:*   

> Hallo
> 
> Es stimmt mit der Sinnhaftigkeit  FS zu verschlüsseln, die vom System gebraucht werden. Ich habe derzeit einen "Standalone" werde aber bald auf eine Notebook umsteigen. Daher ist es für mich (inkl. Firmendaten) sehr wichtig, dass die auf dem NB gespeicherten Daten nicht einsichtbar sind, sollte das NB gestohlen werden. Was sehr feines wäre es ja, wenn das System von Sich aus (ähnlich wie bei w2k/xp) auf userebene im FS diese verschlüsseln könnte. Sowas hab ich bei Linux leider noch nicht erblickt.
> 
> mfg
> ...

 

Hallo,

also geht es doch am Ende wohl eher darum die 

/home partition oder adäquate Bereiche zu verschluesseln.

Ich habe das bei mir so gelöst:

Es gibt zwei /home partitionen. Die eine wird beim Hochfahren

automatisch gemounted und ist vollständig arbeitsfähig. Sie enthält 

auch einige ( ungeheime ) Daten, Präsentationen und soll den

Eindruck eines normalen Nutzerverzeichnisses erwecken.

Die zweite Partition ist die eigentliche Homepartition und muss manuell

mit entsprechendem Passwort gemounted werden. Dazu gibt es auch ein

skript, welches das wechseln der /home bereiche übernimmt und

selbst gpg-verschluesselt ist.

Diese Methode stösst den Dieb zumindest nicht gleich mit der Nase

darauf, dass ein crypto-fs im Einsatz ist und der Mehraufwand ist meines

Erachtens erträglich.

Schönen Sonntag noch

vicay

----------

