{"id":61,"date":"2007-11-20T17:24:57","date_gmt":"2007-11-20T16:24:57","guid":{"rendered":"http:\/\/www.ccpeine.de\/?p=61"},"modified":"2009-06-30T12:13:13","modified_gmt":"2009-06-30T11:13:13","slug":"dem-schaeuble-ein-schnippchen-schlagen-festplatte-verschluesseln","status":"publish","type":"post","link":"https:\/\/www.ccpeine.de\/?p=61","title":{"rendered":"Schutz vor Datenklau – Festplatte verschl\u00fcsseln"},"content":{"rendered":"

Gut, da haben Sie nun alles gemacht, damit B\u00f6sewichter und andere Schergen Sie weder im Internet verfolgen, noch auf Ihre Rechner zugreifen k\u00f6nnen. Sie nutzen ein sicheres Betriebssystem mit offenem Quellcode z.B. Linux<\/strong> oder Unix<\/strong>, nat\u00fcrlich mit TOR<\/strong> oder JAP<\/strong>, Sie verschl\u00fcsseln s\u00e4mtlichen Datenverkehr und nutzen eine gute Firewall. Periodische Datei-Integrit\u00e4ts-Checks verhindern Manipulation Ihres Systems, Ihr Virenscanner ist immer aktuell usw. Mit Recht f\u00fchlen Sie sich sehr sicher !<\/p>\n

Aber was passiert, wenn das Notebook oder die Festplatte pl\u00f6tzlich gestohlen oder von Staatsorganen eingezogen wird ???<\/strong><\/p>\n

Dann liegen Ihre s\u00e4mtlichen<\/strong><\/span> Daten (alle Passw\u00f6rter, alle E-Mails, Adressen, Textdateien, Briefe, Surfhistorie inklusive Bilder, s\u00e4mtliche Zugangsdaten, Zug\u00e4nge zum Konto (besonders fatal, da auch die Schl\u00fcssel offen liegen), s\u00e4mtliche Crypto-Schl\u00fcssel, (eventuell) PGP-Schl\u00fcssel, Kontaktdaten aus ICQ, IRC, MSN usw. usw.<\/strong>) pl\u00f6tzlich in den H\u00e4nden von Leuten, denen Sie diese Daten auf gar keinen Fall anvertrauen wollen !<\/p>\n

<\/p>\n

Falls Ihr Notebook also eingezogen oder gestohlen wurde, bleiben Sie cool, l\u00e4cheln freundlich, denn Sie wissen: Ihre Daten sind vor fremden Zugriff sicher ! Denn Sie haben ja Ihre Festplatte verschl\u00fcsselt. Wie ? Nicht ??? Na, dann wird es aber Zeit !
\nWie das geht, erz\u00e4hl ich Ihnen heute hier:
\nLos gehts ! Zuerst einmal (ganz wichtig !) alle Daten sichern. Am besten eignet sich daf\u00fcr ein zweiter Linux-Rechner mit einer gen\u00fcgend gro\u00dfen Partitition (und keinesfalls FAT oder so nen Microsoft-Murks, damit werden alle Dateirechte und Berechtigungen ver\u00e4ndert<\/strong>). Es muss Ext2 oder Ext3 sein. Ein Knoppix mit angeschlossener USB-Festplatte mit EXT2- oder EXT3- Partition tut es auch.<\/p>\n

O.k., nun sichern. Das geht am besten mit rsync<\/strong>. Dazu vernetzt man zwei Linux-Rechner und macht eine Komplettsicherung. Ein Besipiel dazu: Ich arbeite dabei auf der Quelle (192.168.1.5) und mein Knoppix ist das Ziel. Dass Ziel hat z.B. die IP 192.168.1.30.<\/p>\n

rsync –avz –numeric-ids –exclude=\/proc –exclude=\/sys \/ 192.168.1.30:\/sicherungsverzeichnis\/<\/strong><\/p>\n

Die beiden Verzeichnisse sys<\/strong> und proc<\/strong> d\u00fcrfen nicht mitgespiegelt werden. \u00dcbrigens funktioniert rsync bidirektional, also von der Knoppixseite aus gesehen hiesse es dann:<\/p>\n

rsync –avz –numeric-ids –exclude=\/proc –exclude=\/sys 192.168.1.5:\/ \/sicherungsverzeichnis\/<\/strong><\/p>\n

Klar ? Klar ! So, nun dauert es ewig bis alle Daten r\u00fcber sind. Wenn nach ca. 2 Stunden alles r\u00fcber gespiegelt wurde, kann es losgehen.<\/p>\n

Wie wollen in diesem Fall die Verzeichnisse \/home<\/strong>, \/usr<\/strong> und \/var<\/strong> verschl\u00fcsseln. Das sind die wichtigsten Verzeichnisse. Warum ? Nun, \/home ist klar, hier befinden sich alle pers\u00f6nlichen Einstellungen, alle pers\u00f6nlichen Passw\u00f6rter, Webcache, Konfigurationen, Web-History etc. All die wichtigen Daten, die Herr Sch\u00e4uble gern lesen m\u00f6chte. Unter \/var befinden sich die Log-Files, wer was wann wo gemacht hat, vielleicht Passwort-Fragmente, Verbindungsdaten und noch eine Menge Systeminformationen, die auch niemanden was angehen. Deswegen: Dicht machen ! Unter \/usr befinden sich viele interessante Programme, Plugins, Applikationen (die auch niemanden was angehen), manche Spiele usw. Also, auch hier gilt: verstecken.<\/p>\n

Der Rest des Systems ist relativ uninteressant, da es sich um \u00fcbliche Konfigurationen handelt, (auch das Root-Passwort ist diesmal nicht von Bedeutung, da man bei physikalischem Zugriff auf die Festplatte es eh nicht ben\u00f6tigt). Also, f\u00fcr ein Staatsorgan oder einen B\u00f6sewicht alles unwichtiger Kram. Deswegen lassen wir das unverschl\u00fcsselt. Das hat au\u00dferdem den Vorteil, dass man bei einer Systemrettung nicht wieder alles umst\u00e4ndlich entschl\u00fcsseln mu\u00df.<\/p>\n

Soweit so gut, wir wissen nun, was wir machen wollen. Nun zur Vorgehensweise. Ich werde hier kein ausf\u00fchrliches Tutorial geben, da es genug gute Anleitungen im Internet gibt. (Kucks Du hier, unbedingt lesen(!) : http:\/\/wiki.ubuntuusers.de\/System_verschl\u00fcsseln<\/a>. Deswegen beschr\u00e4nke ich mich auf das Prinzip und auf die Dinge, die da eben nicht drin stehen.<\/p>\n

1. Partitionen anlegen<\/strong><\/p>\n

Zuerst m\u00fcssen wir f\u00fcr jedes Filesystem jeweils eine Partition anlegen. Daf\u00fcr booten wir von einem Livefilesystem. Ich habe R.I.P. 3.9 benutzt, da gparted nicht bootete und Knoppix kein gparted drauf hatte. Ausserdem hat RIP die letzte Version von Gparted drauf, ist grafisch und schlank.
\nWir booten also RIP, stellen unsere Tastatur ein (de-latin1 nodeadkeys) und loggen uns als „root<\/strong>“ ein. Jetzt starten wir X (startx) und k\u00f6nnen nun gparted starten.
\nMit gparted erstellen wir die neuen Partitionen, derer 3 an der Zahl. Die Gr\u00f6\u00dfe mu\u00df nat\u00fcrlich dem Verzeichnis entsprechen. Ich habe meine Gr\u00f6\u00dfen so gew\u00e4hlt:
\n\/home = 30 GB (warum so gro\u00df ? Nun, ich habe viele Daten, allein ein Spiel braucht 10 GB, manchmal teste ich was, dann erstelle ich eine virtuelle Platte , sind noch mal 10 GB, na ja und Videos und Musik, und DVD-Images , all das lagert hier und braucht Platz. da sind 30 GB o.k.)
\n\/usr = 20 GB (ergibt sich aus den durchschnittlichen 6 GB im Normalfall plus etwas Platz f\u00fcr z.B. Linux-Spiele)
\n\/var = 10 GB (\/var braucht etwa so 2 GB, aber da unter Debian und anderen Systemen hier die RPMs oder Debs gelagert werden, kann das Verzeichnis im Laufe der Zeit schnell anwachsen)<\/p>\n

Wer es f\u00fcr sich herausfinden will: „du -h \/usr<\/strong>“ zeigt den Plattenverbrauch an. (Alternativ: xdiskusage)<\/p>\n

Die meisten Distributionen machen es uns hier \u00fcbrigens leicht, da die Partitionen zumeist logische sind. Dadurch kann ich locker mit gparted hin und herschieben und kreieren. O.k., Partitionen erstellt ?<\/p>\n

2. Anlegen der Verschl\u00fcsselten Systeme<\/strong>
\nWir starten nun unser System neu. Nachdem es hochgefahren ist, aktivieren wir die neuen Partitionen. Bitte installieren Sie dm-crypt und cryptsetup (Wie im Forum beschrieben).
\nNehmen wir an, unsere neuen Partitionen w\u00e4ren \/dev\/hda4 (angedacht f\u00fcr \/home), \/dev\/hda5 (angedacht f\u00fcr \/usr) und \/dev\/hda6 (angedacht f\u00fcr \/var) dann w\u00fcrde das Kommando zur Erzeugung eines Filesystem lauten:<\/p>\n

cryptsetup -c aes-lrw-benbi -y -s 384 luksFormat \/dev\/hda4<\/strong><\/p>\n

Jetzt mit „YES<\/strong>“ best\u00e4tigen und Passwort eingeben.<\/p>\n

Achtung: Unbedingt ein gutes bzw. sicheres Passwort eingeben, welches man nicht leicht erraten kann !!! Das Pa\u00dfwort ist die einzige Schwachstelle unserer Verschl\u00fcsselung !!!
\n<\/strong>
\nMit den anderen beiden Partitionen genauso verfahren. Alle Daten auf diesen Partitionen werden unwiederbringlich gel\u00f6scht !<\/p>\n

3. Partitionen mounten und Dateien verschieben<\/strong><\/p>\n

Wir erzeugen drei neue Verzeichnisse: \/home2 , \/usr2 , \/var2.
\nJede Partition muss nun ge\u00f6ffnet werden (um Zugriff zu erhalten), formatiert und gemounted werden.<\/p>\n

Beispiel f\u00fcr die home-Partition:
\n\u00d6ffnen: cryptsetup luksOpen \/dev\/hda4 home<\/strong>
\nMounten: mount \/dev\/mapper\/home \/home2<\/strong>
\nFormatieren: mkfs.ext3 \/dev\/mapper\/hda4<\/strong><\/p>\n

Mit den anderen Partitionen identisch verfahren.<\/p>\n

Wenn alle Partitionen gemounted sind, dann werden die Daten aus den Verzeichnissen auf die neuen verschl\u00fcsselten Festplatten \u00fcbertragen:
\nHier hilft wieder rsync. Beispiel f\u00fcr die \u00dcbertragung:<\/p>\n

rsync -av –numeric-ids \/usr\/ \/usr2<\/strong><\/p>\n

Achtung, nicht den letzten „\/“ hinter dem ersten \/usr vergessen, da wir rekursiv nur bis zum Verzeichnis kopieren wollen !<\/strong>
\nDies im gleichen Stil bei allen drei Verzeichnissen.<\/p>\n

Puh ! Pause verdient, jetzt erstmal eine rauchen! Das Kopieren dauert etwas, je nach Menge der Daten.<\/strong><\/em><\/p>\n

Ist alles r\u00fcber ? Prima ! Jetzt zur Anpassung.<\/p>\n

4. Konfigurationen editieren und 1. Test<\/strong><\/p>\n

Folgende Konfigurationsdateien sollten nun editiert werden. (Testkonfiguration)<\/p>\n

Beispiel:<\/p>\n

Datei: \/etc\/fstab<\/strong><\/p>\n

Einf\u00fcgen:
\n\/dev\/mapper\/home2 \/home2 ext3 defaults 0 0
\n\/dev\/mapper\/usr2 \/usr2 ext3 defaults 0 0
\n\/dev\/mapper\/var2 \/var2 ext3 defaults 0 0<\/strong><\/p>\n

Damit erzeugen haben wir noch unser altes System unver\u00e4ndert, aber k\u00f6nnen testen, ob das automatische Mounten beim Starten funktioniert.<\/p>\n

Datei: \/etc\/crypttab<\/strong><\/p>\n

Einf\u00fcgen:
\nhome2 \/dev\/hda4 none luks,retry=1,cipher=aes-lrb-benbi:sha256
\nusr2 \/dev\/hda4 none luks,retry=1,cipher=aes-lrb-benbi:sha256
\nvar2 \/dev\/hda4 none luks,retry=1,cipher=aes-lrb-benbi:sha256<\/strong><\/p>\n

Datei: \/etc\/initramfs-modules\/modules
\n<\/strong>
\nEinf\u00fcgen:
\naes
\ndm-crypt
\ndm-mod
\nsha256<\/strong><\/p>\n

Wenn alles erledigt ist, die initramfs noch anpassen:<\/p>\n

update-initramfs -u ALL<\/strong><\/p>\n

Jetzt sind wir fertig, (mit den Nerven) und f\u00fcr den ersten Test. Tief durchatmen und Reboot !<\/strong><\/em><\/p>\n

Nun sollte das Passwort f\u00fcr die drei neuen Partitionen abgefragt werden. Klappt es ? Prima !<\/p>\n

Der erste Test ist also gelungen. Es gibt jetzt jeweils zwei Verzeichnisse mit identischem Inhalt z.B. \/usr und \/usr2. Um die beiden zu unterscheiden, erzeugen wir einfach in \/usr ein neues Verzeichnis z.B. „diskorig<\/strong>„. Mit den anderen verfahren wir ebenso.<\/p>\n

Jetzt \u00e4ndern wir alle unsere gemachten Eintr\u00e4ge in fstab und crypttab auf das scharfe System um, z.B. on \/usr2 auf \/usr.<\/p>\n

Reboot. Jetzt sollte in den entsprechenden Verzeichnissen das Verzeichnis „diskorig“ nicht mehr zu sehen sein. Ein sicheres Zeichen daf\u00fcr, dass alles gut geklappt hat.<\/p>\n

Gratulation !<\/strong><\/p>\n

Mit RIP k\u00f6nnen wir jetzt zu guter Letzt ein letztes Mal starten. Wir mounten unsere Original Partition (die allererste, unverschl\u00fcsselte) und l\u00f6schen die Inhalte unter \/home, \/usr und \/var.<\/p>\n

Ein letzter Neustart des scharfen Systems, jetzt sollte alles gut laufen. Wenn alles o.k. ist, k\u00f6nnen die Sicherungen gel\u00f6scht werden.<\/p>\n

Das Endergebnis<\/strong><\/p>\n

Sie besitzen nun ein extrem sicheres System, welches ohne Kennwort nicht zu knacken ist. Selbst ein Nachweis, dass sich \u00fcberhaupt Daten auf der Festplatte befinden, ist jetzt nicht mehr m\u00f6glich !<\/p>\n

——-<\/p>\n

Dieser kleine Bericht zeigt sehr deutlich, da\u00df es nicht ganz trivial ist, ein <\/strong>bereits bestehendes (Linux)-System ohne Datenverlust zu ver\u00e4ndern<\/strong>.<\/p>\n

Aus diesem Grunde biete ich f\u00fcr Interessierte einen Workshop<\/strong> an, bei dem unter fachlicher Aufsicht<\/strong> Ihre Festplatten verschl\u00fcsselt werden. Dieser Workshop wird aber mit Sicherheit mindestens einen (vermutlich eher zwei Tage) in Anspruch nehmen und kann leider auch nicht kostenlos durchgef\u00fchrt werden. Sollte Ihrerseits Interesse daran bestehen, melden Sie sich bitte per E-Mail an „hans.ullrich@loop.de<\/strong><\/em>„.<\/p>\n

——-<\/p>\n

Ich selbst habe insgesamt ca. 5 Stunden ben\u00f6tigt, da ich gro\u00dfe Datenmengen hin und herschieben mu\u00dfte. So etwas dauert halt seine Zeit. Und ein einziger Fehler, und das System ist hin.<\/p>\n

Hans-J. Ullrich (Ullrich-IT-Consult, admin)<\/p>\n","protected":false},"excerpt":{"rendered":"

Gut, da haben Sie nun alles gemacht, damit B\u00f6sewichter und andere Schergen Sie weder im Internet verfolgen, noch auf Ihre Rechner zugreifen k\u00f6nnen. Sie nutzen ein sicheres Betriebssystem mit offenem Quellcode z.B. Linux oder Unix, nat\u00fcrlich mit TOR oder JAP, Sie verschl\u00fcsseln s\u00e4mtlichen Datenverkehr und nutzen eine gute Firewall. Periodische Datei-Integrit\u00e4ts-Checks verhindern Manipulation Ihres Systems, […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[36],"class_list":["post-61","post","type-post","status-publish","format-standard","hentry","category-allgemein","tag-allgemein"],"_links":{"self":[{"href":"https:\/\/www.ccpeine.de\/index.php?rest_route=\/wp\/v2\/posts\/61","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ccpeine.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ccpeine.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ccpeine.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ccpeine.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=61"}],"version-history":[{"count":0,"href":"https:\/\/www.ccpeine.de\/index.php?rest_route=\/wp\/v2\/posts\/61\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.ccpeine.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=61"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ccpeine.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=61"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ccpeine.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=61"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}