Booten vom USB-Stick
Einen USB-Stick erkennt Linux meist als SCSI-Gerät und spricht ihn (falls keine anderen SCSI-Platten angeschlossen sind) als »/dev/sda« an. Richten Sie darauf mit »fdisk« eine Partitionstabelle mit mindestens einer Partition ein und formatieren sie (»mkfs.ext2 /dev/sda1«). Anschließend kopieren Sie mit den beiden Befehlen
mount /dev/sda1 /mnt
cp -ax /boot/* /mnt
das Verzeichnis »/boot« auf den USB-Stick. Falls noch keiner vorhanden, legen Sie im Verzeichnis »/mnt« mit »ln -s . boot« einen symbolischen Link an, damit »grub-install« sich später nicht verschluckt.
|
|
|
Booten vom USB-Stick
|
Alternativ: Booten von der Festplatte
|
Inhalt
|
|
-
|
/dev/hda1
|
Bootpartition »/boot«
|
|
-
|
/dev/hda2
|
erweiterte Partition
|
|
/dev/hda1
|
/dev/hda5
|
verschlüsselte Swap-Partition
|
|
/dev/hda2
|
/dev/hda6
|
verschlüsseltes Dateisystem »/tmp«
|
|
/dev/hda3
|
/dev/hda7
|
verschlüsseltes Root-Dateisystem
|
|
/dev/hda4
|
/dev/hda8
|
unverschlüsseltes Root-Dateisystem (wird später
gelöscht)
|
Passen Sie auf dem USB-Stick die Konfiguration des Bootloaders Grub an: In der Devicemap »/mnt/grub/device.map« notiert Grub, wie es die Bios- und Linux-Gerätenamen einander zuordnet; hier ist der Eintrag »(hd0) /dev/sda« erforderlich. In der Konfigurationsdatei »/mnt/grub/menu.lst« ändern Sie für alle Einträge den Bios-Gerätenamen von »(hd0,3)« auf »(hd0,0)« (das entspricht »/dev/sda1«). Ein typischer Grub-Eintrag mit Angaben zum Kernelimage und der Initial RAM-Disk sieht wie folgt aus:
title Suse Linux 9.3 (USB-Boot)
kernel (hd0,0)/vmlinuz root=/dev/hda4
initrd (hd0,0)/initrd
Mit »grub-install --root-directory=/mnt /dev/sda« installieren Sie schließlich Grub im Master Boot Record des Memory Stick. Hat alles geklappt, können Sie das Notebook nun bei eingestecktem USB-Stick booten - dazu stellen Sie im Bios die Boot-Reihenfolge so um, dass der Rechner erst nach externen Bootmedien sucht (Abbildung 1).
|
F Abbildung 1: Vom USB-Stick booten - hier geht jedes Bios seinen eigenen Weg: Im Beispiel führt er über »Removable Drives« und »Generic Storage Device«. Tipp: Schließen Sie den Stick an, bevor Sie das Bios aufrufen.
|
|
Löschen Sie Dateien mit »rm«, entfernt Linux lediglich den zur Datei gehörenden Inode aus dem Verzeichnis. Die eigentlichen Daten bleiben auf der Festplatte erhalten und sind mit wenig Aufwand rekonstruierbar. Auch eine Neuformatierung mit »mkfs« überschreibt nicht die Partition.
Für ein nachhaltigeres Beseitigen der Daten ändern Sie die Magnetisierung der betroffenen Sektoren aktiv (und vor allem geeignet). Die einfachste Variante ist ein Befehl der Form »dd if=/dev/zero of=/dev/hda«. Aber: So wie nach einem gleichmäßigen Schneefall die Umrisse der Landschaft noch zu erkennen sind, ist nach dem Überschreiben einer Datei mit Nullen noch eine Restmagnetisierung vorhanden. Diese kann ein Dieb mit entsprechend sensiblen Geräten auslesen, um die ursprünglichen Daten zu rekonstruieren.
Zeitlich aufwändiger, aber deutlich sicherer ist der Einsatz von »/dev/urandom« statt »/dev/zero«. Je nach Philosophie führen Sie diesen Vorgang zwischen drei- [5] und 35-mal [6] durch, bevor die Daten ziemlich sicher gelöscht sind. Geeignete Werkzeuge sind beispielsweise »shred« und »wipe« [8]. Aber Vorsicht: Diese Tools basieren auf einigen wichtigen Grundannahmen, die zum Beispiel bei Raid-Systemen, Journaling-Dateisystemen (wie Reiser-FS oder Ext 3) oder Festplattentreibern und Firmwares, die Daten puffern und mehrere Durchläufe in einem Rutsch auf die Festplatte schreiben, nicht mehr zutreffen müssen.
Kein vollständiger Schutz
Absoluten Schutz bieten letztlich nur die mechanische Zerstörung der Festplattenscheiben und eine gründliche Entsorgung. Diese Radikalkur können Sie sich aber guten Gewissens ersparen, wenn Sie die hier beschriebenen Mechanismen implementieren und einfach die LUKS-Passwörter vergessen.
|
Partitionen verschlüsseln
Wechseln Sie aus Sicherheitsgründen in den Single User Mode oder schließen alle nicht benötigten Anwendungen, stoppen Sie die Dienste und schließen eventuelle Benutzersitzungen. Mit dem installierten Linux-System verschlüsseln Sie nun schrittweise die Partitionen der Notebook-Platte; dafür sind »/dev/hda1« bis »/dev/hda3« vorgesehen. Die Partition »/dev/hda4«, die zurzeit noch das Root-Dateisystem enthält, benötigen Sie später nicht mehr. Sie können sie recyceln, zum Beispiel als verschlüsselte Partition für das Verzeichnis »/home«.
|
Abbildung 2: Bei dieser Plattenaufteilung installieren Sie Linux auf »hda4« und verschlüsseln die übrigen Partitionen (Swap, »/tmp« und neues »/«). »hda4« wird am Schluss gelöscht und zur verschlüsselten »/home«-Partition.
|
Grundsätzlich ist die Vorgehensweise (siehe Kasten "Device-Mapper, DM-Crypt und Cryptsetup") dabei immer gleich: Mit »cryptsetup-luks« legen Sie ein virtuelles Blockdevice mit integrierter AES-Verschlüsselung an und bilden es auf ein zugehöriges physikalisches Blockdevice (auf der Notebook-Platte) ab. Dabei geben Sie eine Passphrase ein, mit der das Programm einen symmetrischen Schlüssel erzeugt. Dieser ist dann für die eigentliche Verschlüsselung der Daten zuständig. Anschließend formatieren Sie das virtuelle Blockdevice mit einem Dateisystem und mounten es.
|
Die Device-Mapper-Infrastruktur [2] entkoppelt (wie auch Loopdevices) physikalische von virtuellen Blockdevices (siehe Abbildung 3). Diese Virtualisierung schafft eine Abstraktionsschicht, von der verschiedene Anwendungen profitieren. DM-Crypt [1] gehört zu denen, die über das virtuelle Blockdevice angelieferte Daten transparent verschlüsseln und auf dem physikalischen Blockdevice speichern - und umgekehrt.
Auf dem physikalischen Blockdevice ist also scheinbar nur Datenmüll - erst die korrekte Passphrase stellt über das virtuelle Blockdevice ein Dateisystem bereit, mit dem ein sinnvolles Arbeiten überhaupt möglich ist. Für die Konfiguration von DM-Crypt nutzen Sie das Userspace-Tool »cryptsetup«, die virtuellen Blockdevices finden Sie danach im Verzeichnis »/dev/mapper/«.
Cryptsetup-LUKS ist eine Weiterentwicklung von Cryptsetup und enthält Verbesserungen, die bereits [3] genauer vorgestellt hat. In Kurzform:
-
Die Verschlüsselung der Daten erfolgt mit einem
randomisierten Schlüssel; dieser wird im so genannten
LUKS-Header einer Partition gespeichert, verschlüsselt mit dem
aus der Passphrase erzeugten Schlüssel. Somit können Sie
nachträglich seine Passphrase ändern, ohne die gesamte
Partition umzuschlüsseln.
-
Der Einsatz von Salting und Stretching erschwert typische
Wörterbuchattacken auf Passphrasen von Benutzern.
-
ESSIV (Encrypted Salt Sector IV) erschwert den
Watermarking-Angriff im Cipher-Block-Chaining-Modus; dieses Feature
gibt es erst ab Kernel 2.6.11.
|
|
Um Debian Sarge fit für die Verschlüsselung der Root-Partition zu machen, gehen Sie nach der Standardinstallation folgendermaßen vor: Fügen Sie die Apt-Quelle
deb http://http.us.debian.org/debian unstable contrib main
hinzu und kommentieren Sie alle übrigen in »/etc/apt/sources.list« aus. Mit »apt-get update« und »apt-get install -f« bringen Sie die Paketdatenbank auf den neusten Stand und installieren mit
apt-get install yaird linux-image-2.6.17-2-686
apt-get install cryptsetup
eine aktuelle Kernelversion sowie neben »cryptsetup« auch das Programm »yaird«, das (wie »mkinitrd«) Initial RAM-Disks erzeugt. (Die Versionsnummer des Kernelimage könnte sich bis zum Erscheinen des Artikels allerdings geändert haben, bei den ersten Tests lag noch Version 2.6.17-1 auf den Servern.) Booten Sie den Rechner anschließend mit dem neuen Kernel.
|
|
Ähnliche Artikel
|
|
Löchriger Käse
|
Sicherheitstest: Verschlüsselte Filesysteme unter
Linux
|
|
Starterkabel
|
Hotplug unter Debian, SLES 9 und RHAS 4 erweitern
|
|
Starthilfe
|
Vier Notebooks der Mittel- und Oberklasse im Test
|
|
Was ist schon real?
|
PCI-Devices des Hosts an die Kernel Virtual Machine (KVM) durchreichen
|
|
Glückliche Zwerge
|
Linux-Distributionen für Netbooks
|
|
Lese-Schutz
|
Verschlüsseltes Home-Filesystem unter Red Hat, Debian und
Gentoo
|
| Whitepaper |
|---|
|
Usage Landscape Enterprise Open Source Data Integration
Die Nachfrage nach Datenintegrationslösungen für Unternehmen ist zunehmend gestiegen und vor allem das Interesse an Open Source Technologien wird immer größer. Doch wie und von wem werden Open Source Datenintegrationslösungen genutzt und welches Nutzungsverhalten lässt sich daraus ableiten? Das vorliegende White Paper präsentiert die Erfahrungswerte von über 1000 Open Source Nutzern und liefert fundierte Antworten auf diese Fragen.
Download PDF (Registrierung erforderlich)
|
|
Daten Migration - Eine Publikation von Bloor Research
Datenmigrationsprojekte überschreiten häufig das Budget, neigen zu Verzögerung und werden unter Umständen komplett abgebrochen. Bloor Research ist eines der weltweit führenden IT-Forschungs-, Analyse- und Beratungsunternehmen und wird in dem vorliegenden White Paper die wichtigsten Aspekte dieser Problematik näher beleuchten. Ferner werden praktische Empfehlungen für erfolgreiche Migrationsprojekte gegeben, die Sie auf Ihr nächstes Projekt übertragen können.
Download PDF (Registrierung erforderlich)
|
Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links"
nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedrucken Fassung entsprechen.
|
