Open Source im professionellen Einsatz

Newsletter abonnieren
Seite durchsuchen

HEFTARCHIV | NEWS | E-BIBLIOTHEK | VIDEO | BLOGS | WHITEPAPER | EVENTS | ACADEMY | ABO | SHOP

user friendly

  Home  »  Heft & Abo  »  Heftarchiv  »  2006  »  10  »  Mobiler Datentresor  

RSS-Feed der aktuellen News von Linux-Magazin Online Folgen Sie Linux-Magazin Online auf Twitter
Diesen Artikel druckenDiesen Artikel weiterempfehlen Diesen Artikel kommentieren Newsletter abonnieren
Share/Bookmark

Booten vom USB-Stick

Einen USB-Stick erkennt Linux meist als SCSI-Gerät und spricht ihn (falls keine anderen SCSI-Platten angeschlossen sind) als »/dev/sda« an. Richten Sie darauf mit »fdisk« eine Partitionstabelle mit mindestens einer Partition ein und formatieren sie (»mkfs.ext2 /dev/sda1«). Anschließend kopieren Sie mit den beiden Befehlen

mount /dev/sda1 /mnt
cp -ax /boot/* /mnt

das Verzeichnis »/boot« auf den USB-Stick. Falls noch keiner vorhanden, legen Sie im Verzeichnis »/mnt« mit »ln -s . boot« einen symbolischen Link an, damit »grub-install« sich später nicht verschluckt.

Tabelle 1:
Partitionierung

 

Booten vom USB-Stick

Alternativ: Booten von der Festplatte

Inhalt

-

/dev/hda1

Bootpartition »/boot«

-

/dev/hda2

erweiterte Partition

/dev/hda1

/dev/hda5

verschlüsselte Swap-Partition

/dev/hda2

/dev/hda6

verschlüsseltes Dateisystem »/tmp«

/dev/hda3

/dev/hda7

verschlüsseltes Root-Dateisystem

/dev/hda4

/dev/hda8

unverschlüsseltes Root-Dateisystem (wird später
gelöscht)

Passen Sie auf dem USB-Stick die Konfiguration des Bootloaders Grub an: In der Devicemap »/mnt/grub/device.map« notiert Grub, wie es die Bios- und Linux-Gerätenamen einander zuordnet; hier ist der Eintrag »(hd0) /dev/sda« erforderlich. In der Konfigurationsdatei »/mnt/grub/menu.lst« ändern Sie für alle Einträge den Bios-Gerätenamen von »(hd0,3)« auf »(hd0,0)« (das entspricht »/dev/sda1«). Ein typischer Grub-Eintrag mit Angaben zum Kernelimage und der Initial RAM-Disk sieht wie folgt aus:

title Suse Linux 9.3 (USB-Boot)
    kernel (hd0,0)/vmlinuz root=/dev/hda4
    initrd (hd0,0)/initrd

Mit »grub-install --root-directory=/mnt /dev/sda« installieren Sie schließlich Grub im Master Boot Record des Memory Stick. Hat alles geklappt, können Sie das Notebook nun bei eingestecktem USB-Stick booten - dazu stellen Sie im Bios die Boot-Reihenfolge so um, dass der Rechner erst nach externen Bootmedien sucht (Abbildung 1).


F Abbildung 1: Vom USB-Stick booten - hier geht jedes Bios seinen eigenen Weg: Im Beispiel führt er über »Removable Drives« und »Generic Storage Device«. Tipp: Schließen Sie den Stick an, bevor Sie das Bios aufrufen.

Sicheres Löschen von
Daten

Löschen Sie Dateien mit »rm«, entfernt Linux lediglich den zur Datei gehörenden Inode aus dem Verzeichnis. Die eigentlichen Daten bleiben auf der Festplatte erhalten und sind mit wenig Aufwand rekonstruierbar. Auch eine Neuformatierung mit »mkfs« überschreibt nicht die Partition.

Für ein nachhaltigeres Beseitigen der Daten ändern Sie die Magnetisierung der betroffenen Sektoren aktiv (und vor allem geeignet). Die einfachste Variante ist ein Befehl der Form »dd if=/dev/zero of=/dev/hda«. Aber: So wie nach einem gleichmäßigen Schneefall die Umrisse der Landschaft noch zu erkennen sind, ist nach dem Überschreiben einer Datei mit Nullen noch eine Restmagnetisierung vorhanden. Diese kann ein Dieb mit entsprechend sensiblen Geräten auslesen, um die ursprünglichen Daten zu rekonstruieren.

Zeitlich aufwändiger, aber deutlich sicherer ist der Einsatz von »/dev/urandom« statt »/dev/zero«. Je nach Philosophie führen Sie diesen Vorgang zwischen drei- [5] und 35-mal [6] durch, bevor die Daten ziemlich sicher gelöscht sind. Geeignete Werkzeuge sind beispielsweise »shred« und »wipe« [8]. Aber Vorsicht: Diese Tools basieren auf einigen wichtigen Grundannahmen, die zum Beispiel bei Raid-Systemen, Journaling-Dateisystemen (wie Reiser-FS oder Ext 3) oder Festplattentreibern und Firmwares, die Daten puffern und mehrere Durchläufe in einem Rutsch auf die Festplatte schreiben, nicht mehr zutreffen müssen.

Kein vollständiger Schutz

Absoluten Schutz bieten letztlich nur die mechanische Zerstörung der Festplattenscheiben und eine gründliche Entsorgung. Diese Radikalkur können Sie sich aber guten Gewissens ersparen, wenn Sie die hier beschriebenen Mechanismen implementieren und einfach die LUKS-Passwörter vergessen.

Partitionen verschlüsseln

Wechseln Sie aus Sicherheitsgründen in den Single User Mode oder schließen alle nicht benötigten Anwendungen, stoppen Sie die Dienste und schließen eventuelle Benutzersitzungen. Mit dem installierten Linux-System verschlüsseln Sie nun schrittweise die Partitionen der Notebook-Platte; dafür sind »/dev/hda1« bis »/dev/hda3« vorgesehen. Die Partition »/dev/hda4«, die zurzeit noch das Root-Dateisystem enthält, benötigen Sie später nicht mehr. Sie können sie recyceln, zum Beispiel als verschlüsselte Partition für das Verzeichnis »/home«.


Abbildung 2: Bei dieser Plattenaufteilung installieren Sie Linux auf »hda4« und verschlüsseln die übrigen Partitionen (Swap, »/tmp« und neues »/«). »hda4« wird am Schluss gelöscht und zur verschlüsselten »/home«-Partition.

Grundsätzlich ist die Vorgehensweise (siehe Kasten "Device-Mapper, DM-Crypt und Cryptsetup") dabei immer gleich: Mit »cryptsetup-luks« legen Sie ein virtuelles Blockdevice mit integrierter AES-Verschlüsselung an und bilden es auf ein zugehöriges physikalisches Blockdevice (auf der Notebook-Platte) ab. Dabei geben Sie eine Passphrase ein, mit der das Programm einen symmetrischen Schlüssel erzeugt. Dieser ist dann für die eigentliche Verschlüsselung der Daten zuständig. Anschließend formatieren Sie das virtuelle Blockdevice mit einem Dateisystem und mounten es.

Device-Mapper, DM-Crypt und
Cryptsetup

Die Device-Mapper-Infrastruktur [2] entkoppelt (wie auch Loopdevices) physikalische von virtuellen Blockdevices (siehe Abbildung 3). Diese Virtualisierung schafft eine Abstraktionsschicht, von der verschiedene Anwendungen profitieren. DM-Crypt [1] gehört zu denen, die über das virtuelle Blockdevice angelieferte Daten transparent verschlüsseln und auf dem physikalischen Blockdevice speichern - und umgekehrt.

Auf dem physikalischen Blockdevice ist also scheinbar nur Datenmüll - erst die korrekte Passphrase stellt über das virtuelle Blockdevice ein Dateisystem bereit, mit dem ein sinnvolles Arbeiten überhaupt möglich ist. Für die Konfiguration von DM-Crypt nutzen Sie das Userspace-Tool »cryptsetup«, die virtuellen Blockdevices finden Sie danach im Verzeichnis »/dev/mapper/«.

Cryptsetup-LUKS ist eine Weiterentwicklung von Cryptsetup und enthält Verbesserungen, die bereits [3] genauer vorgestellt hat. In Kurzform:

  • Die Verschlüsselung der Daten erfolgt mit einem
    randomisierten Schlüssel; dieser wird im so genannten
    LUKS-Header einer Partition gespeichert, verschlüsselt mit dem
    aus der Passphrase erzeugten Schlüssel. Somit können Sie
    nachträglich seine Passphrase ändern, ohne die gesamte
    Partition umzuschlüsseln.
  • Der Einsatz von Salting und Stretching erschwert typische
    Wörterbuchattacken auf Passphrasen von Benutzern.
  • ESSIV (Encrypted Salt Sector IV) erschwert den
    Watermarking-Angriff im Cipher-Block-Chaining-Modus; dieses Feature
    gibt es erst ab Kernel 2.6.11.

Updates für Debian
Sarge

Um Debian Sarge fit für die Verschlüsselung der Root-Partition zu machen, gehen Sie nach der Standardinstallation folgendermaßen vor: Fügen Sie die Apt-Quelle

deb http://http.us.debian.org/debian unstable contrib main

hinzu und kommentieren Sie alle übrigen in »/etc/apt/sources.list« aus. Mit »apt-get update« und »apt-get install -f« bringen Sie die Paketdatenbank auf den neusten Stand und installieren mit

apt-get install yaird linux-image-2.6.17-2-686
apt-get install cryptsetup

eine aktuelle Kernelversion sowie neben »cryptsetup« auch das Programm »yaird«, das (wie »mkinitrd«) Initial RAM-Disks erzeugt. (Die Versionsnummer des Kernelimage könnte sich bis zum Erscheinen des Artikels allerdings geändert haben, bei den ersten Tests lag noch Version 2.6.17-1 auf den Servern.) Booten Sie den Rechner anschließend mit dem neuen Kernel.

Diesen Artikel druckenDiesen Artikel weiterempfehlen Diesen Artikel kommentieren Newsletter abonnieren
Share/Bookmark
Ähnliche Artikel
Löchriger Käse Sicherheitstest: Verschlüsselte Filesysteme unter Linux
Starterkabel Hotplug unter Debian, SLES 9 und RHAS 4 erweitern
Starthilfe Vier Notebooks der Mittel- und Oberklasse im Test
Was ist schon real? PCI-Devices des Hosts an die Kernel Virtual Machine (KVM) durchreichen
Glückliche Zwerge Linux-Distributionen für Netbooks
Lese-Schutz Verschlüsseltes Home-Filesystem unter Red Hat, Debian und Gentoo
Whitepaper
Usage Landscape Enterprise Open Source Data Integration

Die Nachfrage nach Datenintegrationslösungen für Unternehmen ist zunehmend gestiegen und vor allem das Interesse an Open Source Technologien wird immer größer. Doch wie und von wem werden Open Source Datenintegrationslösungen genutzt und welches Nutzungsverhalten lässt sich daraus ableiten? Das vorliegende White Paper präsentiert die Erfahrungswerte von über 1000 Open Source Nutzern und liefert fundierte Antworten auf diese Fragen.

Download PDF (Registrierung erforderlich)
Daten Migration - Eine Publikation von Bloor Research

Datenmigrationsprojekte überschreiten häufig das Budget, neigen zu Verzögerung und werden unter Umständen komplett abgebrochen. Bloor Research ist eines der weltweit führenden IT-Forschungs-, Analyse- und Beratungsunternehmen und wird in dem vorliegenden White Paper die wichtigsten Aspekte dieser Problematik näher beleuchten. Ferner werden praktische Empfehlungen für erfolgreiche Migrationsprojekte gegeben, die Sie auf Ihr nächstes Projekt übertragen können.

Download PDF (Registrierung erforderlich)
Kommentare (0)