Suses Init anpassen
Weitere Änderungen sind im Programm »/sbin/mkinitrd« nötig, von dem Sie vorsichtshalber eine Sicherheitskopie erstellen. In der Funktion »mkinitrd_kernel« suchen Sie nach den Programmzeilen, die die Datei »/sbin/insmod« in die RAM-Disk kopieren. Diese sehen je nach Suse-Version unterschiedlich aus. Bei Suse 10.1 lautet der Block zum Beispiel:
if ! cp_bin $initrd_insmod $tmp_mnt/sbin/insmod 2>/dev/null ; then
error 5 "no static insmod"
fi
Gleich dahinter fügen Sie folgende zwei Zeilen ein:
cp_bin /sbin/cryptsetup-luks $tmp_mnt/sbin/ 2>/dev/null
|| error 5 "no static cryptsetup-luks"
In der Funktion »udev_discover_root« ergänzen Sie als erste Befehlssequenz:
| echo "Setting up LUKS device $rootdev. Provide pass phrase now."
| /sbin/cryptsetup-luks luksOpen /dev/hda3 dm-root
Ändern Sie nun noch in »/etc/fstab« den Eintrag für das Root-Dateisystem auf »/dev/mapper/dm-root« mit Dateisystem »ext3«. Schließlich schreiben Sie mit »/sbin/mkinitrd -o /boot/initrd« eine neue Initial RAM-Disk auf den eingebundenen Memory Stick.
Vor dem Reboot passen Sie noch die Datei »/boot/grub/menu.lst« auf dem Memory Stick an: Beim Menü-Eintrag für den Start des Linux-Systems ändern Sie den Kernelparameter »root« in das virtuelle Blockdevice »/dev/mapper/dm-root«. Auch den »initrd«-Eintrag passen Sie an (»/boot/initrd«). Ein typischer Eintrag sieht so aus:
title Suse Linux 10 (USB-Boot, Crypto-Root)
kernel (hd0,0)/vmlinuz root=/dev/mapper/dm-root
initrd (hd0,0)/initrd
Booten Sie das Notebook neu. Spätestens jetzt muss in der Bios-Bootreihenfolge USB an erster Stelle stehen. »cryptsetup-luks« wird dann sehr bald nach der Passphrase für das Root-Dateisystem fragen und bei korrekter Eingabe bis zum Login-Bildschirm booten. Ein Aufruf von »mount« beseitigt letzte Zweifel (Abbildung 4). Wenn dies fehlschlägt, booten Sie ohne den Memory Stick: Auf der Festplatte liegt ja noch das unverschlüsselte Linux-System, mit dem Sie die Fehlersuche beginnen.</paragraph>
|
Abbildung 4: Nach der erfolgreichen Operation sehen Sie unter »/dev/mapper« und in der Mount-Tabelle drei verschlüsselte Dateisysteme. Wenn Sie jetzt noch auf »hda4« ein verschlüsseltes »/home« erzeugen, ist die Platte frei von Klartextinformationen.
|
Feinschliff
Wenn alles funktioniert, benötigen Sie auch das unverschlüsselte Root-Dateisystem auf »/dev/hda4« nicht mehr. Löschen Sie die Daten auf dieser Partition und richten analog zur Vorgehensweise beim Root-Dateisystem mit »cryptsetup-luks« ein weiteres verschlüsseltes Dateisystem »/dev/mapper/dm-home« ein, formatieren Sie es und mounten es nach »/home«.
Jetzt ist der richtige Zeitpunkt, um weitere Benutzer anzulegen, deren Homeverzeichnisse dann verschlüsselt auf »/dev/hda4« landen.
Um »/home« beim Booten automatisch einzubinden, verwenden Sie die gleichen Mechanismen wie bei »/«. Unter Suse Linux ergänzen Sie im »init.d«-Skript die Array-Definitionen um »/dev/hda4«, »dm-home« und »/home«, bei Debian fügen Sie entsprechende Einträge in »/etc/cryptdisk« und »/etc/fstab« ein.
|
Die Verschlüsselung der Notebook-Platte ist nur ein Teil einer durchgängigen Sicherheitspolitik - und ersetzt sie nicht, denn die Daten sind nur effektiv geschützt, solange der Rechner ausgeschaltet ist. Kommt ein eingeschaltetes Notebook abhanden, nachdem der alte Besitzer alle Passphrasen korrekt eingetippt und sich am Linux-System angemeldet hat, sind die Daten für Unbefugte genauso leicht zugänglich wie bei einem komplett ungeschützten Rechner. Das gilt auch für die üblichen Gefahren aus dem Internet, wenn das Notebook eine Internetverbindung hat: Schädliche Programme können, einmal im System verankert, unbehelligt auf die Daten zugreifen. Absoluten Schutz gibt es also auch hier nicht.
Mit den folgenden Regeln erreichen Sie aber ein hohes Maß an Sicherheit:
- Bewahren Sie Notebook und Memory Stick getrennt auf.
-
Konfigurieren Sie im Bios ein Power-on-Passwort und ein
Supervisor-Passwort; lassen Sie nur USB als Bootmedium zu.
-
Verwenden Sie schwierig zu erratende Passwörter und
ändern Sie diese regelmäßig.
- Arbeiten Sie nicht mit Root-Rechten.
-
Benutzen Sie eine restriktiv konfigurierte (Personal)
Firewall.
-
Verwenden Sie mindestens einen Virenscanner mit aktuellen
Virensignaturen.
-
Konfigurieren Sie einen Bildschirmschoner mit Passwortschutz,
der sich automatisch aktiviert.
-
Untersuchen Sie regelmäßig Logdateien auf
auffällige Einträge.
-
Überprüfen Sie regelmäßig, ob es für
die eingesetzte Software sicherheitsrelevante Patches und Updates
gibt. Wenn ja, installieren Sie diese.
-
Fertigen Sie regelmäßig Backups von Ihren Daten an
und verwahren sie an einem sicheren Ort.
|
|
Ähnliche Artikel
|
|
Löchriger Käse
|
Sicherheitstest: Verschlüsselte Filesysteme unter
Linux
|
|
Starterkabel
|
Hotplug unter Debian, SLES 9 und RHAS 4 erweitern
|
|
Starthilfe
|
Vier Notebooks der Mittel- und Oberklasse im Test
|
|
Was ist schon real?
|
PCI-Devices des Hosts an die Kernel Virtual Machine (KVM) durchreichen
|
|
Glückliche Zwerge
|
Linux-Distributionen für Netbooks
|
|
Lese-Schutz
|
Verschlüsseltes Home-Filesystem unter Red Hat, Debian und
Gentoo
|
| Whitepaper |
|---|
|
The Role of Open Source in Data Integration
Obwohl in den letzten Jahren viele technische Fortschritte erzielt werden konnten, verfügen die meisten Datenintegrationsprozesse nach wie vor nur über eine sehr begrenzte Automatisierung. Das vorliegende White Paper von dem Industry Analyst Mark Madson wird zunächst ein grundlegendes Verständnis von Daten Integration vermitteln, die Vorzüge von Open Source Lösungen für Daten Integration erläutern und Ihnen professionelle Empfehlungen geben, damit Sie Ihre Integrationsjobs noch einfacher und produktiver gestalten können.
Download PDF (Registrierung erforderlich)
|
|
Open Source Datenintegration in der Praxis: Fallstudien und Anwendungsbeispiele (Folge 2)
Der zweite Teil des Open Source Datenintegration in der Praxis: Fallstudien und Anwendungsbeispiele White Papers beleuchtet anhand weiterer ausgewählter Case Studies die Implementierung von Open Source Datenintegration in der Praxis und benennt die daraus resultierenden Vorteile.
Download PDF (Registrierung erforderlich)
|
Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links"
nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedrucken Fassung entsprechen.
|
