Aufwärmübung
Die Swap-Partition und das Verzeichnis »/tmp« sind geeignete Kandidaten für erste Gehversuche mit »cryptsetup-luks«: Diese Dateisysteme enthalten temporäre Daten, die - falls sie verloren gehen - keinen Verlust bedeuten.
Listing 1 zeigt für den Swap und »/tmp« die erforderlichen Befehlssequenzen zum manuellen Aktivieren und Deaktivieren der Verschlüsselung: Für den Swap legen Sie mit »cryptsetup-luks« ein virtuelles Blockdevice »/dev/mapper/swap« an, das Sie mit »mkswap« initialisieren und mit »swapon« aktivieren. Analog erzeugen Sie ein weiteres virtuelles Blockdevice »/dev/mapper/tmp«, das Sie mit »mkfs.ext2« als Ext-2-Dateisystem formatieren und nach »/tmp« mounten. Bei Debian ersetzen Sie in den Programmaufrufen den Eintrag »cryptsetup-luks« durch »cryptsetup« oder legen einen passenden Link an.
01 # swapoff -a
02 # cryptsetup-luks -s 256 -d /dev/urandom create swap /dev/hda1
03 # ls -l /dev/mapper/
04 total 124
05 crw------- 1 root root 10, 63 Apr 3 2006 control
06 brw-r----- 1 root root 253, 0 Apr 2 23:53 swap
07 # mkswap /dev/mapper/swap
08 Setting up swapspace version 1, size = 1019895 kB
09 # swapon /dev/mapper/swap
10 # cat /proc/swaps
11 Filename Type Size Used Priority
12 /dev/mapper/swap partition 995988 0 -3
13 # swapoff /dev/mapper/swap
14 # cryptsetup-luks remove swap
15 # cat /proc/swaps
16 #
17 # cryptsetup-luks -s 256 -d /dev/urandom create tmp /dev/hda2
18 # mkfs.ext2 /dev/mapper/tmp
19 mke2fs 1.36 (05-Feb-2005)
20 [...]
21 # mount /dev/mapper/tmp /tmp
22 # ls -l /tmp/
23 total 17
24 drwx------ 2 root root 12288 Apr 2 23:55 lost+found
25 # umount /tmp
26 # cryptsetup-luks remove tmp
27 # ls -l /dev/mapper/
28 total 124
29 crw------- 1 root root 10, 63 Apr 3 2006 control
|
In beiden Fällen verwendet »cryptsetup-luks« zufällige Passphrasen aus »/dev/urandom«; diese befinden sich im Hauptspeicher des Notebooks und gehen spätestens mit dem Ausschalten verloren. Da sonst niemand die Passphrasen kennt, sind auch die im Swap und in »/tmp« gespeicherten Daten damit unwiederbringlich verloren. Das ist aber erwünscht:
-
Der Swap enthält Auszüge aus dem Hauptspeicher und
wird bei jedem Rechnerstart neu initialisiert. Ihn lesbar erhalten
bringt keinen Vorteil, stellt aber ein Sicherheitsrisiko dar.
-
Temporäre Dateien behandelt jede Distribution anders.
Allgemein dürfen Programme sich nicht darauf verlassen, dass
Daten in »/tmp« Reboots oder längere Lagerung
überleben.
|
Abbildung 3: Ein Dateizugriff läuft über mehrere Schichten. Durch die LUKS-Verschlüsselung kommt noch eine weitere hinzu, die sich zwischen logischem Dateisystem und (Hardware-)Plattenzugriff einordnet.
|
Richtig temporär
Es bietet sich an, diese beiden Dateisysteme bei jedem Neustart automatisch anzulegen. Debian Linux macht es Ihnen besonders leicht: Hier setzen Sie in der Datei »/etc/defaults/cryptdisks« den Parameter »CRYPTDISKS_ENABLE=Yes« (falls das nicht bereits der Fall ist) und tragen in die Datei »/etc/crypttab« die folgenden Zeilen ein (mit Ziel- und Quell-Device, Schlüssel und Optionen):
swap /dev/hda1 /dev/urandom swap
tmp /dev/hda2 /dev/urandom tmp
Auch »/etc/fstab« passen Sie an; einen vorhandenen Eintrag für die Swap-Partition löschen Sie oder ändern ihn ab:
/dev/mapper/swap none swap sw,pri=1 0 0
/dev/mapper/tmp /tmp ext2 defaults 0 0
Bei Suse Linux gibt es zwar auch eine Datei »/etc/cryptotab«, sie arbeitet aber mit Loopdevices. Hier bietet es sich an, »/tmp« und den Swap mit einem »init.d«-Skript zu aktivieren. Ein passendes Shellskript (»cryptfs«), das auf [9] basiert, finden Sie auf der Linux-Magazin-Homepage [10]. Nach dem Herunterladen (nach »/etc/init.d/«) legen Sie symbolische Links in »/etc/rcX.d« an, um es in den gewünschten Runlevels aufzurufen. Dann löschen Sie in »/etc/fstab« die Zeile für die bisher unverschlüsselte Swap-Partition.
Mit einem Neustart testen Sie, ob Linux die Dateisysteme anlegt und korrekt aktiviert. Ist alles in Ordnung, widmen Sie sich der Kernaufgabe: der Verschlüsselung des Root-Dateisystems.
|
Ähnliche Artikel
|
|
Löchriger Käse
|
Sicherheitstest: Verschlüsselte Filesysteme unter
Linux
|
|
Starterkabel
|
Hotplug unter Debian, SLES 9 und RHAS 4 erweitern
|
|
Starthilfe
|
Vier Notebooks der Mittel- und Oberklasse im Test
|
|
Was ist schon real?
|
PCI-Devices des Hosts an die Kernel Virtual Machine (KVM) durchreichen
|
|
Glückliche Zwerge
|
Linux-Distributionen für Netbooks
|
|
Lese-Schutz
|
Verschlüsseltes Home-Filesystem unter Red Hat, Debian und
Gentoo
|
| Whitepaper |
|---|
|
Open Source Datenintegration in der Praxis: Fallstudien und Anwendungsbeispiele (Folge 2)
Der zweite Teil des Open Source Datenintegration in der Praxis: Fallstudien und Anwendungsbeispiele White Papers beleuchtet anhand weiterer ausgewählter Case Studies die Implementierung von Open Source Datenintegration in der Praxis und benennt die daraus resultierenden Vorteile.
Download PDF (Registrierung erforderlich)
|
|
Usage Landscape Enterprise Open Source Data Integration
Die Nachfrage nach Datenintegrationslösungen für Unternehmen ist zunehmend gestiegen und vor allem das Interesse an Open Source Technologien wird immer größer. Doch wie und von wem werden Open Source Datenintegrationslösungen genutzt und welches Nutzungsverhalten lässt sich daraus ableiten? Das vorliegende White Paper präsentiert die Erfahrungswerte von über 1000 Open Source Nutzern und liefert fundierte Antworten auf diese Fragen.
Download PDF (Registrierung erforderlich)
|
Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links"
nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedrucken Fassung entsprechen.
|
