ComputerBase Menü
Aktuelles

Notebook: Linux verschlüsseln (Fedora + KDE)

M

Mickey Cohen

Commander
Registriert
Mai 2015
Beiträge
2.825
Hallo,

Edit:

ich habe nun fedora+kde installiert, die SSD ist folgendermaßen formattiert:

  • EFI-Partition (unverschlüsselt, FAT32), Mountpoint: /boot/efi
  • Boot-Partition (unverschlüsselt, EXT4), Mountpoint: /boot
  • Fedora-Root-Partition, LUKS2-verschlüsselt*, EXT4, Mountpoint: /
  • Daten-Partition, LUKS2-verschlüsselt*, EXT4, Mountpoint: /DATA
  • (200 GB unformattiert)

Die beiden verschlüsselten LUKS2-Partitionen sind mit dem selben Passwort verschlüsselt.

Preisfrage:

Wie bekomme ich es hin, dass ich beim booten das Passwort nur einemal eingeben muss und beide Partitionen dann automatisch entschlüsselt und gemountet werden?
Ich möchte kein Keyfile verwenden, sondern ein Passwort!

Danke!

/Edit.




ich möchte ein Notebook verschlüsseln, damit ein Dieb im Falle eines Diebstahls nicht an meine Daten rankommt.

das Notebook hat eine 1 TB nvme SSD.

es soll Fedora mit kde installiert werden. Windows wird nicht parallel installiert.

das gerät hat keinen Fingerabdruck-Scanner.

ich bin auf der Suche nach einem Kompromiss aus Sicherheit und Komfort.

bei Linux und verschlüsselung denkt man natürlich zuerst an LUKS. dazu habe ich einige Fragen:

wenn ich die root-Partition (und natürlich die Home partition) mit luks verschlüssle, dann wird der Key beim Booten eingegeben.

bleibt der Key dann im RAM, solange das gerät läuft?
wenn ja: stellt das ein Problem dar, wenn das gerät gesperrt (i.s.v. Lockscreen wird angezeigt) ist? dh. kann der Dieb den Key auslesen, wenn er den lock-screen (d.h. das user-pw != luks-key) umgeht?

Das selbe problem stellt sich dann natürlich bei suspend-to-ram.

oder muss ich gar, um den LUKS-schutz beim lockscreen oder suspend-to-ram zu erhalten, das user-pw gleich dem luks-key wählen und es per PAM übergeben?

außerdem: ist suspend-to-disk so möglich, dass zwar die "hibernate"-datei (ka. wie die in Linux heißt) verschlüsselt auf der ssd gespeichert wird, ich das gerät aber mit dem user-pw (!= luks-key) entsperren kann?


mein Problem ist halt folgendes: ein user-pw, das ich verwende, wenn ich das Notebook öffne/aufwecke/per Lockscreen entsperre soll nicht unendlich lang sein. ich will auch nicht jedesmal das notebook neu booten, wenn ich es nur kurz aus den augen lasse/in die tasche stecke etc.

das Luks Passwort darf andererseits nicht zu kurz sein.

danke!
 
Zuletzt bearbeitet:
Mickey Cohen schrieb:
wenn ja: stellt das ein Problem dar, wenn das gerät gesperrt (i.s.v. Lockscreen wird angezeigt) ist? dh. kann der Dieb den Key auslesen, wenn er den lock-screen umgeht?
Zum Vergrößern anklicken....
Also das müsste schon ein Dieb sein der es explizit auf dich abgesehen hat, damit das auch nur irgendwie relevant wäre.

Vermutlich kann das schon irgendwie gemacht werden aber das ist dann kein 0815 Dieb sondern einer der für einen Geheimdienst arbeitet und die haben meist andere Methoden. Daher würde ich mal vermuten, dass ein BIOS Passwort + Verschlüsselung genug sind für 99,9% aller Fälle.
 
sry für die blöde nachfrage, aber für was brauche ich bei meinem "anwendungszweck" ein BIOS (also UEFI)-PW?
 
Mickey Cohen schrieb:
bleibt der Key dann im RAM, solange das gerät läuft?
Zum Vergrößern anklicken....
der user-key nicht, der master-key zwangsweise ja.
Mickey Cohen schrieb:
wenn ja: stellt das ein Problem dar, wenn das gerät gesperrt (i.s.v. Lockscreen wird angezeigt) ist? dh. kann der Dieb den Key auslesen, wenn er den lock-screen umgeht?
Zum Vergrößern anklicken....
wenn der angreifer den lockscreen umgehen kann, hat er sowieso zugriff auf die daten. um den key auslesen zu können bräuchte er aber root-rechte.
Mickey Cohen schrieb:
außerdem: ist suspend-to-disk so möglich, dass zwar die "hibernate"-datei (ka. wie die in Linux heißt) verschlüsselt auf der ssd gespeichert wird, ich das gerät aber mit dem user-pw (!= luks-key) entsperren kann?
Zum Vergrößern anklicken....
nein, bei suspend-to-disk ist der ram stromlos, es wird also beim resume zwangsweise der luks-key gebraucht.
Mickey Cohen schrieb:
mein Problem ist halt folgendes: ein user-pw, das ich verwende, wenn ich das Notebook öffne/aufwecke/per Lockscreen entsperre soll nicht unendlich lang sein. ich will auch nicht jedesmal das notebook neu booten, wenn ich es nur kurz aus den augen lasse/in die tasche stecke etc.
Zum Vergrößern anklicken....
so habe ich das auf dem laptop+desktop auch: entsprechend langer luks-key, hinreichend langes user-passwort. suspend-to-disk nutze ich nicht, nur to-ram.
 
  • Gefällt mir
Reaktionen: Iapetos und Mickey Cohen
ich habe nun fedora+kde installiert, die SSD ist folgendermaßen formattiert:

  • nvme0n1p1: EFI-Partition (unverschlüsselt, FAT32), Mountpoint: /boot/efi
  • nvme0n1p2: Boot-Partition (unverschlüsselt, EXT4), Mountpoint: /boot
  • nvme0n1p3: Fedora-Root-Partition, LUKS2-verschlüsselt*, EXT4, Mountpoint: /
  • nvme0n1p4: Daten-Partition, LUKS2-verschlüsselt*, EXT4, Mountpoint: /DATA
  • (200 GB unformattiert)

Die beiden verschlüsselten LUKS2-Partitionen sind mit dem selben Passwort verschlüsselt.

Preisfrage:

Wie bekomme ich es hin, dass ich beim booten das Passwort nur einmal eingeben muss und beide Partitionen dann automatisch entschlüsselt und gemountet werden?
Ich möchte kein Keyfile verwenden, sondern ein Passwort!

Danke!
 
Mickey Cohen schrieb:
Wie bekomme ich es hin, dass ich beim booten das Passwort nur einmal eingeben muss und beide Partitionen dann automatisch entschlüsselt und gemountet werden?
Zum Vergrößern anklicken....
https://wiki.archlinux.org/title/Dm-crypt/System_configuration#Using_systemd-cryptsetup-generator
"Passwords entered during boot are cached in the kernel keyring by systemd-cryptsetup(8), so if multiple devices can be unlocked with the same password (this includes devices in crypttab that are unlocked after boot), then you will only need to input each password once."
 
  • Gefällt mir
Reaktionen: Mickey Cohen
ha, cool, dachte nicht, dass das mehr oder weniger automatisch geht, super, danke! :)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

S
Backup einer mit LUKS/LVM verschlüsselten Festplatte
Antworten
17
Aufrufe
977
foofoobar
foofoobar
Donnerkind
Arch: LUKS erst mit Login entschlüsseln, systemd mountet trotzdem beim Booten
Antworten
4
Aufrufe
671
Donnerkind
Donnerkind
agon
Leserartikel [How-To] Arch Linux installieren (verschlüsselt, gehärtet, spieletauglich, modular)
12 13 14
Antworten
274
Aufrufe
54.074
agon
agon
mschrak
Dualboot Win11 und MX Linux
2
Antworten
35
Aufrufe
1.590
7vor10
7
B
keine Installation per UEFI mehr möglich
2
Antworten
25
Aufrufe
3.068
Benutzer_nr1958
B

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz