System verschlüsseln - in den eigenen vier Wänden?

[TheChris80]

Mir ist da immer etwas bammel zu verschlüsseln.
Liegt wohl auch an meinen Wissen ,denn so lange bin ich auch nicht in der Linuxwelt tätig.
Denn wie komme ich wieder an das Laufwerk wenn das System zerschossen wurde?
Ich muss aber auch zugeben das ich mich da nicht ganz eingelesen habe.

Habe aber vor es bei der nächsten Linux installation in Angriff nehmen.
Backups von wichtigen Dateien und dann komplett alles runter schmeissen (Ja auch /home) um ein komplett sauberes System zu haben.

 

[Kuristina]

Und mit Backups brauchst du dir auch keine Sorgen um ein zerschossenes System machen. ^^

 

[Donnerkind]

Denn wie komme ich wieder an das Laufwerk wenn das System zerschossen wurde?

Wenn du es per Standard (also LUKS) verschlüsselst, ist die Distribution egal, denn jede kann das öffnen, sofern das cryptsetup-Paket installiert ist. Das gilt auch für Live-Systeme vom USB-Stick. Und wenn du statt systemgebundenem TPM nur Passwort oder Schlüsseldatei verwendest, dann ist es auch egal, an welchem System du die Platte anschließt.

Auch die Desktops helfen heutzutage mit. Bei KDE z.B. wird automatisch ein Passwort-Dialog angezeigt, wenn ich auf den Eintrag einger geLUKSten Partition in der Laufwerksliste klicke.

 

[TheChris80]

Und mit Backups brauchst du dir auch keine Sorgen um ein zerschossenes System machen. ^^

Ehm.... Verschlüsselst du deine Backups nicht ?
Vielleicht verstehe ich auch gerade nicht was du genau meinst.

Auch die Desktops helfen heutzutage mit. Bei KDE z.B. wird automatisch ein Passwort-Dialog angezeigt, wenn ich auf den Eintrag einger geLUKSten Partition in der Laufwerksliste klicke.

Danke für die erklärung. Für jemanden mit meiner erfahrung ist das sehr hilfreich.

 

[Kuristina]

Ehm.... Verschlüsselst du deine Backups nicht ?

Doch na klar. 😊 Aber wird ja nicht beides gleichzeitig zerschossen sein. Also zumindest rein statistisch unwahrscheinlich. ^^

 

[Meta.Morph]

Apropos "zerschossen" welches System nutzt ihr? (Die Königsfrage. Wie Inspirationslos 😁)
Mir ist schon zwei mal eine Garuda Installation abgeraucht. Zum glück wird Standartmäßig mit Btrfs installiert. Das erste mal konnte ich das System wieder Flott bekommen, ich musste den Loginmanager Neuinstallieren. Was nun los ist? Ich weiß es nicht. Hab keine Lust. Will jetzt Arch Manuell installieren.

Nungut, ist jetzt auch ne andere Frage. Aber gerade wenn man sich, mehr oder weniger, die Mühe macht...
Ich Liebäugle noch mit MicroOS oder CoreOS... aber da ist die Installation von Qtile nicht ganz so einfach?!

 

[Kuristina]

Will jetzt Arch Manuell installieren.

Genau das ist mein System. ^^ Alles angepasst, an meine Bedürfnisse. Und auch mit Btrfs. Super stabil, keine Probleme und nur drauf, was ich auch will, brauche und nutze. Dadurch sehr schlank und schnell.

 

[D.S.i.u.S.]

@Meta.Morph
Ich denke, ich werde Arch(KDE Plasma) mit "Archinstaller" installieren und einige Pakete wie "Pamac" usw von Manjaro übernehmen.
Installiert wird dann mit Autologin und unverschlüsselt. Wenn man /Home auf andere Partition auslagert, kann man Arch wieder installieren, falls gar nichts mehr geht und /Home von altem Arch übernehmen.
Ich weiß aber noch nicht ob zen-kernel sein muss und wie es mit Nvidia Treibern für RTX4080 sein soll. Ich glaube, ich habe irgendwo gelesen, dass es Autoupdate dafür gibt.

Ich bin unentschlossen. Vielleicht doch der Anleitung(mit Verschlüsselung) folgen? https://www.computerbase.de/forum/t...elt-gehaertet-spieletauglich-modular.2072682/

Das klingt gut: "Unified kernel image (UKI) – a single executable which will be booted directly from UEFI firmware (no extra boot manager). Using mkinitcpio as the UKI generator with systemd init."

 

[Meta.Morph]

Hab nun Verschlüsselt.
Für die schnelle Nummer ist das nix
Das entschlüsseln dauert fast so lange, als das Hochfahren.

Naja mit Autologin auch verkraftbar. Mal schaun, ob die Bequemlichkeit nicht doch irgendwann wieder siegt.

 

[Meta.Morph]

Ich denke, ich werde Arch(KDE Plasma) mit "Archinstaller" installieren und einige Pakete wie "Pamac" usw von Manjaro übernehmen.

Habs mir auch bequem gemacht. Hab den Installer von Endeavour OS genutzt. Diese Distro installiert auch nur Arch auf das System - soweit mir bekannt, ist das Arch auch unverändert (bis auf das Theming).

Das schöne ist: man kann Calamaris auch mit eigenen Paketen ausführen. Man kann auch die automatische Partitionierung verändern. Ein schönes Video ist hier zu sehen mit der installation eines Btrfs Systems mit Snapper:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

ACHTUNG:
Die Pakete snapper, snap-pac und grub-btrfs kann/muss man erst nach der Instalation von Arch installieren. Der Calamaris beißt sich sonst mit diesen Paketen (ich schätze mal mit grub-btrfs).

Zur (Voll-)Verschlüsselung:
Ich muss echt schauen, ob ich damit warm werde. Im Grunde will ich nur einige Order aus meinem Homeverzeichnis verschlüsseln.

Neben dem Umstand, das die entschlüsselung recht lange braucht (Die Bootzeit wird einfach mal verdoppelt), nervt auch, das ich mit einer Fehleingabe auf "grub rescue" lande. Und ich habe noch nicht raubekommen, was man da machen kann? reboot, poweroff, halt, help, ? sind jedenfalls keine gültigen Befehle...

 

[agon]

(Die Bootzeit wird einfach mal verdoppelt), nervt auch, das ich mit einer Fehleingabe auf "grub rescue" lande. Und ich habe noch nicht raubekommen, was man da machen kann?

Nicht Grub benutzen(?) (dann geht übrigens auch LUKS2). Das hatte mich auch gestört.
Das Einfachste wäre Ctrl+Alt+Del für einen Neustart.

 

[Meta.Morph]

Nicht Grub benutzen(?) (dann geht übrigens auch LUKS2). Das hatte mich auch gestört.

Dann müsste ich wieder überlegen, wie ich das mit snapper/btrfs verknote...
Ich will ja die Booteinträge für die Snapshots!

 

[agon]

Ich will ja die Booteinträge für die Snapshots!

Wenn man es braucht. Ich musste noch kein System Rollback machen.
Man kann auch einfach chrooten.

 

[Meta.Morph]

Diese Funktion hat mir schon zwei mal den Tag gerettet. Wenn etwas quer läuft, kann/will ich mich nicht immer sofort um das System kümmern.
Auch ist es angenehmer, wieder in ein Funktionierendes System (mit Internet) zu kommen, um nachzusehen, welches Update ärger gemacht hat.

Aber ich hoffe schon, das der wechsel von Garuda zu Endeavour OS bzw. Arch für weniger ärger sogt.

 

[Bohnenhans]

Ich nutze auch Verschlüsselung fast überall vor allem auch wegen unwahrscheinlichem - aber doch möglichem Diebstahl - und heute hat man halt zu viele Daten auf dem PC

Ich habe einen zentralen Passwortserver auf ESP32 Basis - ist der an und entschlüsselt (AES256) holen sich die Rechner ihr Passwort von dem und ich muss nichts eingeben - für PreBoot nutze ich dann Keyboard Emulation

Schalte ich den PWD Server aus fahren alle Systeme herunter und werden auch dann nach 5 Minuten vom Strom getrennt

Das für mich der optimale Kompromiss zwischen Sicherheit und Bequemlichkeit

Verschlüsselung nutze ich unter Linux und FreeBSD das Crypt von OpenZFS das ja inzwischen für Linux und FreeBSD der ident Sourcecode ist und unter Windows VeraCrypt

Automatische Backups wegen Kompatibilität mit GPGP auf ZIP

 

[jenzen]

Ja, man sollte immer alles verschlüsseln. Einbrecher gibt es, oder vielleicht sogar Gäste die mal bei einer Party die SSD ausbauen und woanders anschließen und dann Vollzugriff auf alles hätten. Man ist ja nicht immer zu Hause, und hat wenn man Gäste hat auch den PC nicht immer im Blick. Es kann viel passieren (in der Theorie).
Einbrecher haben es in der heutigen Zeit auch etwas leichter als früher, denn viele Leute posten gerne irgendwas auf Social Media wenn sie weg sind, und dadurch liefern sie gleichzeitig die Information mit, dass derjenige gerade nicht zu Hause ist.

Auch wenn das vielleicht bei dir nie passiert in der Praxis, mit Verschlüsselung vermeidet man von vornherein eine ganze Kategorie an potenziellen Problemen. Daher: einfach machen. Ist letztendlich so wie der Sicherheitsgurt im Auto -- braucht man theoretisch auch meistens nicht, aber wenn dann doch mal die Situation kommt, wo man ihn braucht, dann wäre es fatal, wenn er nicht angelegt wäre (fatal für dein Leben oder deine Gesundheit). Letztendlich ist IT-Sicherheit ja nichts anderes, als der Versuch, Probleme von vornherein zu vermeiden, die irgendwann auftreten könnten (oder vielleicht auch nicht). Oder generell Sicherheit. Ist ja alles vorbeugend.

 

[Bohnenhans]

Und bei modernen CPUs mit z.B. HW AES kostet das auch nicht wirklich Leistung.

 

[Gliese]

oder vielleicht sogar Gäste die mal bei einer Party die SSD ausbauen und woanders anschließen und dann Vollzugriff auf alles hätten.

Partygäste, die an den PC gehen und nicht nur im Suff irgendwelche Tasten drücken, sondern ihn direkt gezielt auseinanderschrauben, um an die Daten zu kommen? 😱
Bei Leuten mit so einem resoluten Verhalten würde ich sagen, dass es nahe liegt, dass sie dann auch keine Hemmungen hätten, dich an der Heizung mit Handschellen anzuketten und dir das Passwort rauszuprügeln.
Ich habe schon Storys gehört, wo genau sowas mal jemanden passiert sein soll, der größere Mengen Cryptowährungen auf dem Rechner hatte.

Bei solchen Dingen hilft dir keine Verschlüsselung, sondern es muss ein Gesamtkonzept her.

Gegen Auswertung seiner privatesten Dateien nach einer Hausdurchsuchung oder Reklamation hilft allerdings eine Verschlüsselung ungemein.

Für eine Party mit normalen aber feierwütigen Gästen würde ich ab einer bestimmten Größe (Gästezahl/Umfang) den PC mit allem was teuer ist abkabeln und in ein Schrank sperren, auch weil eine Sauerei zu erwarten ist, erst recht wenn noch Alkohol & Co. im Spiel kommt.

Ich selbst habe alles verschlüsselt.
Schon alleine weil die ältesten Daten noch aus den alten Amiga-Zeiten migriert stammen und halt vieles wirklich privat ist und eine persönliche Geschichte erzählt, was ich früher getan habe, wie ich früher gedacht habe und das auf keinen Fall in Händen anderer Menschen gehören darf.

 

[Beelzebot]

Diese Funktion hat mir schon zwei mal den Tag gerettet. Wenn etwas quer läuft, kann/will ich mich nicht immer sofort um das System kümmern.

Yepp, geht mir auch so. Ist auch der einzige Punkt an dem ich grundlegend von der Anleitung von @agon abweichen würde. Ja, Grub ist alt und zickig, aber es ist halt auch gut anpassbar, eben genau für so Spielereien wie snap-pac-grub. Der Arch-Way ist es, die Kiste zu Chrooten, trotzdem stimme ich dir da voll zu.

Ansonsten zum Thema: Bei mir ist alles voll verschlüsselt. Ist schließlich kein Aufwand mit LUKS.

 

[Bohnenhans]

Und macht ja auch Spass das zu basteln mit Crypt

Wenn man mit Openzfs crypted ist halt schön dass der Platz zwischen crypted und nicht crypted dynamisch verteilt wird. Das auf Desktops evtl praktisch