Homeserver

Krik · 3. November 2010

Ich ging davon aus, dass das OS unverschlüsselt bleiben soll.

Wenn alles verschlüsselt werden soll, dann verschlüssle alles außer die /boot-Parition. Dann diese Anleitung abarbeiten, ggf. verändern und den Key, wie angegeben, zwischen MBR und 1. Partition auf einem USB-Stick schreiben.

Vorteil:
- Key muss nur beim Booten eingesteckt sein. Danach kann man ihn abziehen und alles bleibt weiterhin entschlüsselt (Key liegt im RAM).
- Sollte der USB-Stick verloren gehen, kommt man trotzdem noch per manueller Passworteingabe an seine Daten ran.

Nachteil:
- USB-Stick darf nicht formatiert werden.
- USB-Stick verlieren ist auch eher suboptimal, aber nicht wirklich ein Beinbruch. (Alten Key in luks deaktivieren, und auf einem neuen Stick einen neuen Key kopieren.)
- Security through obscurity.

M-X · 3. November 2010

Der Sinn dieses ganzen verschlüsselungs Vorhaben ist nur im falle einer Hausdurchsuchung nicht belangt werden zu können?
Wenn ja handelt es sich ja wohl eindeutig um illegale oder zumindest illegal beschaffte Daten wozu es hier definitiv keinen Support geben sollte!

Krik · 3. November 2010

Er hat nur geschrieben, dass keiner bei einer Hausdurchsuchung die Platte lesen können soll. Das heißt aber nicht, dass da illegale Daten drauf sind. Ich habe auch Kram (legal!), den ich anderen nicht zeigen will. Die Idee "Hier schau, ich habe nichts zu verbergen." ist Blödsinn, denn das heißt nichts anderes, als dass man der gläserne Bürger werden will.

Was sagst du denn zu dem Fall, dass auf dem Server sensible Daten (Steuerunterlagen, Kontonummer, dazu passende PIN etc.) drauf liegen? Falls jemand einbricht und den Server mit nimmt, ist man anschließend auch gleich sein Geld los.

Speedchanger · 4. November 2010

@e-Laurin
Ich bin auch davon ausgegangen, dass nur die Datenplatten verschlüsselt werden.
Bei einer kompletten Verschlüsselung wäre dies sicherlich eine nette Methode, allerdings kann ich mich nicht so recht mit dem Gedanken anfreunden, dass Passwort (im übertragenem Sinne) auf einem Datenträger gespeichert zu haben, aber ich bin da wohl etwas paranoid. Ist es auch möglich jedesmal einen neuen Keyfile auf einem Client-PC zu generieren, sodass der USB-Stick nachdem benutzen gleich wieder formatiert werden kann, ohne auf dem Server einen neuen Schlüssel generieren zu müssen?

@M-X
Hier geht es eher um die theoretische Machbarkeit der Verschlüsselung von Festplatten auf einem Server, als um verstecken von illegalen Dateien.
Vorteil ist halt, dass nur "Eingeweihte" auf die Daten zugreifen können, was ja auch gut ist, wenn man einen Laptop oder Server verlieren sollte ;-)

Krik · 4. November 2010

Keyfile auf einem Client-PC generieren? Wie meinst du das? Einen Key generieren und dann an den Client-PC senden? Unsicher.

Besser ist es, den Server den Key generieren zu lassen (muss ja ohnehin in die Konfiguration eingetragen werden) und gleich wieder auf den automatisch neuformatierten USB-Stick zu kopieren. Mir erschließt sich aber nicht ganz der Sinn, den Stick laufend zu formatieren.

Alternativ könnte man zB ein shutdown-Skript erstellen, dass bei einem Shutdown nach dem richtigen angesteckten USB-Stick sucht, einen neuen Key erstellt und auf den Stick kopiert.
Mit anderen Worten, Stick rein, Rechner booten lassen, Stick raus. Stick rein, per VNC oder ssh den Rechner neustarten/runterfahren, shutdown-Skript wird aktiviert, neuer Key wird auf den Stick geschrieben (optional kann der Stick auch vorher noch formatiert werden), Rechner aus.
Falls du aber mal den USB-Stick vor dem Shutdown vergisst reinzustecken, dann fehlt dir der aktuelle Key und beim nächsten Boot müsstest du Bildschirm und Tastatur zum Server schleppen, um das Passwort manuell einzugeben.

Bei luks kann man mehrere (bis zu 8) Passwörter angeben, mit denen man die Platten entschlüsseln kann. Man kann die Passwörter später auch deaktivieren, neue hinzufügen und alte ersetzen. Es muss aber immer mindestens ein gültiges Passwort in der Konfiguration eingetragen sein.

M-X · 4. November 2010

Ok ich sehe schon hier gehst eher um eine Machbarkeitsstudie ich will nichts gesagt haben. =)
Ich finde das ganze System mit USB stick eher suboptimal. Da der Server eh 24/7 laufen soll muss du das PW sowieso nur 1 mal eingeben.
Solltest du mal rebooten lassen müsste sich das ganze doch auch nur mit Tastatur blind eingeben lassen oder?

Krik · 4. November 2010

Man kann es auch mit Tastatur blind eingeben. Falls man es falsch eingibt, sieht man aber die Fehlermeldung nicht und rennt nach 5 Minuten erneut los, weil der Server nicht im Netzwerk auftaucht. ^^

M-X · 4. November 2010

Ja aber auf der Tatsache basierend das der Server nicht oft gerebooted wird würde ich das Risiko doch eingehen bevor ich mir da ein komplexes gefrikel mit nem USB stick antue.

Krik · 4. November 2010

Nun, man macht es eigentlich nur einmal, wie es bei der Konfiguration von Linux eigentlich allgemein so ist.

sanders · 4. November 2010

hab gerade noch eine andere möglichkeit gefunden. Zumindest glaube ich das das möglich sein sollte.

Man kann seine festplatten verschlüsseln aber nicht fest in den Startprozess einbinden. D.h. nachdem man neu gestartet hat "öffnet" man die container und mountet die in den Greyhole Pool. Der Vorteil ist das man ALLES über VNC und VPN und und und machen kann. Ebefalls neustart und co sollten dann gehen...
Müsst ich mal ausprobieren bei gelegenheit...

P.S.: Ich glaube DAS kann WHS mit seinem Drive Extender nicht

Speedchanger · 4. November 2010

e-Laurin schrieb:
Mir erschließt sich aber nicht ganz der Sinn, den Stick laufend zu formatieren.

Sonst liegt der Stick 3 Monate einfach nur rum und ist damit ein Sicherheitsrisiko

M-X schrieb:
Solltest du mal rebooten lassen müsste sich das ganze doch auch nur mit Tastatur blind eingeben lassen oder?

Wäre wahrscheinlich auch eine sehr gute Methode bei einer Komplettverschlüsselung, man muss halt das richtige Timing haben

sanders schrieb:
Man kann seine festplatten verschlüsseln aber nicht fest in den Startprozess einbinden. D.h. nachdem man neu gestartet hat "öffnet" man die container und mountet die in den Greyhole Pool.

Hab ich, glaub ich zumindest, schon vorher gepostet. Bringts aber auch nur wenns keine Vollverschlüsselung incl. OS ist, Warum aber immer nur Container?

Aber noch mal Back to Topic:
Meine Intelkonfiguration ist besser und stromsparender als die AMD Alternative? Welches Gehäuse könnt ihr mir empfehlen?

sanders · 4. November 2010

Hab nochmal zurück geblättert und ja, ich glaube du meintest das gleiche

Naja, mit Container meine ich im grunde ja auch die ganze Platte. Ich nenn es nur immer so...

Und (ich befürchte fast das du das meintest) eine vollverschlüsselung ist schon möglich. Es darf dann nur nicht die OS Platte sein.

Bezüglich deiner AMD Intel Frage. Naja, mich als AMD Fanboy schmerzt es sehr das sagen zu müssen, aber die wahrscheinlichkeit das dein INTEL System sparsamer ist, ist sehr groß. "Besser" ist immer so ein böses Wort

Stromsparender ja, aber besser kann man ncht sagen. Da kommt es immer auf die Maßstäbe an die man ansetzt...

Speedchanger · 4. November 2010

Zumindest bei Test schneidet der Intel besser ab, aber diese Benchmarks sind ja dann doch immer realitätsfern.
Bleibt nur noch die Frage nach dem Gehäuse.

Suche

Homeserver

Krik

Fleet Admiral Pro

M-X

Vice Admiral Pro

Krik

Fleet Admiral Pro

Speedchanger

Ensign

Krik

Fleet Admiral Pro

M-X

Vice Admiral Pro

Krik

Fleet Admiral Pro

M-X

Vice Admiral Pro

Krik

Fleet Admiral Pro

sanders

Commander

Speedchanger

Ensign

sanders

Commander

Speedchanger

Ensign

Ähnliche Themen

Passend zum Thema

Community Das nächste Update RAM-Preise machen ideale Gaming-PC-Builds teurer

Test GTi15 Ultra + EX Pro Beelinks Docking Station nimmt Grafikkarten Huckepack

Aktuelle Kaufberatung Neue ideale Gaming-PC-Builds von 850 bis 2.800 Euro