VirtualBox VM verschlüsseln - aber wo?

[porn()pole]

Hola Jungs,

ich würde gerne auf einem Win10 Host eine LinuxVM (Guest) installieren und diese auch verschlüsseln. Stellt sich nur die Frage, an welchem Punkt?

a) die Installation an sich? (LVM, LUKS)
b) per Verschlüsselungsoption innerhalb der VirtualBox-Software?
c) die gesamte *.vdi aus einem (z.B. per VeraCrypt) verschlüsselten Container betreiben?

Which is it?

 

[Trefoil80]

Wäre für "c".

 

[porn()pole]

c) ist aber auch gleichzeitig die aus Performance- und Praktikabilitätsgründen schlechteste Lösung, oder?

 

[Nero1]

c) hat was die Performance betrifft gar keine Einbußen. Um an die VDI zu kommen entschlüsselst du den Container mit deinem Passwort und der ist dann auch solange frei zugänglich bis er wieder gesperrt wird. Ist für VBox so ähnlich als wäre nach dem Ausschalten der VM der USB-Stick entfernt worden, mehr nicht. Schützt deine VM aber solange sie nicht genutzt wird und der Container während dieser Zeit verschlüsselt irgendwo rumliegt.

Die Option per VBox kenn ich nicht, kann ich daher nicht bewerten. In der VM selbst hat es natürlich Einfluss wie jede andere Softwareverschlüsselung auch, evtl. minimal mehr durch die Emulierung der Hardware. Was für deinen angedachten Zweck der beste Weg ist musst du selber entscheiden.

 

[porn()pole]

@Nero1
Okay, also keine Performanceeinbußen. Dennoch brauche ich zwingend eine installierte VeraCrypt auf dem Zielrechner. a) und b) hingegen funktionieren quasi OOTB.

Aus Experimentiergründen tendiere ich zu a) .... und auch aus puren Vertrauensgründen

 

[Nero1]

Du hast bisher den Einsatzzweck nicht genannt daher kann dir da keiner eine Empfehlung geben. Aber klar, wenn du mit VC verschlüsselst brauchst du logischerweise auch VC in irgendeiner Art und Weise auf dem Hostsystem.

 

[porn()pole]

Naja, ich bin momentan eher durch meine Fähigkeiten als durch den geplanten Einsatzzweck (private Spielerei) limitiert:

Ich kriege es schlicht momentan nicht hin, die LVM-LUKS-Umgebung korrekt einzurichten, so dass der Installer (Siduction live btw.) die einzelnen logischen Laufwerke auch erkennt.

 

[Nero1]

Ich kriege es schlicht momentan nicht hin, die LVM-LUKS-Umgebung korrekt einzurichten, so dass der Installer (Siduction live btw.) die einzelnen logischen Laufwerke auch erkennt.

Warum lässt du es dann nicht den Installer machen? Sofern der das unterstützt...hab gerade mal testweise ne Manjaro Installation gestartet, ein Häkchen rein und schwupps, lief wie geschmiert.

Spoiler: Manjaro Beispiel LUKS

Wenn man natürlich darauf besteht das alles im Vorfeld zu konfigurieren und dann den Installer zu bewegen das vorgegebene Schema zu benutzen...da bin ich dann auch raus. Ich geh da lieber den einfacheren Weg und bleib trotz IT-Kenntnissen User statt Bastler, das kann ich später noch zur Genüge Kommt aber sicher auch stark auf die Distri an, die man verwenden möchte.

 

[porn()pole]

In DEM Fall muss ich leider Bastler sein, da ich auf Siduction setze. Der Installer kann es leider (noch) nicht....

 

[Fried.Ice]

Also hast du den Luks-Container schon erstellt und mit cryptsetup open geöffnet?

In dem Fall müsstest du diesen auf deinem Live-System mounten (zB unter /mnt - mount /dev/mapper/$deinMapperName) und diesen mountpoint dem Installer als root (/) übergeben.

Bedenke aber, dass du eine unverschlüsselte /boot Partition brauchst.

Je nach Distribution musst du dann auch dem Bootloader mitteilen, von welchem cryptdevice er booten muss. Ich nehme mal an, dass man das bei siduction über die /etc/crypttab macht, analog zu Debian und Ubuntu.

Edit: Schau dir Mal folgenden Artikel an: https://wiki.ubuntuusers.de/System_verschlüsseln/Schlüsselableitung

 

[DFFVB]

Und warum Siduction?