N
nocie
Gast
Hallo
Zuletzt bearbeitet von einem Moderator:
AlphaKaninchen
Commander Pro
- Registriert
- Mai 2018
- Beiträge
- 2.980
Bei Fedora setze ich einfach den haken bei der installation, für externe hdds einfach den hacken beim formatieren in gnome disks setzen.
Zuletzt bearbeitet:
N
nocie
Gast
Habe gerade noch hinzugefügt, dass ich das ohne GUI hinbekommen muss. Denn mit GUI würde ich es natürlich auch hinbekommen.AlphaKaninchen schrieb:
Aber danke Dir.AlphaKaninchen
Commander Pro
- Registriert
- Mai 2018
- Beiträge
- 2.980
geht mit dm-crypt und cryptsetup, das ergebnis ist das gleiche...
https://wiki.archlinux.org/title/Dm-crypt/Encrypting_an_entire_system
PS: Bei Ferora Server hast die GUI nur wärend dem install,das ergebnis ist wie gesagt immer gleich da das eh abgewickelt wird bevor das system startet.
https://wiki.archlinux.org/title/Dm-crypt/Encrypting_an_entire_system
PS: Bei Ferora Server hast die GUI nur wärend dem install,das ergebnis ist wie gesagt immer gleich da das eh abgewickelt wird bevor das system startet.
ElecEng
Ensign
- Registriert
- März 2021
- Beiträge
- 147
Wie meinst du das? Wenn du Ubuntu-Server installierst, hast du ja trotzdem einen Installationsassistenten, der auch Verschlüsselung ermöglicht (oder sollte, ich habs noch nicht ausprobiert für eine Serverinstallation). Manjaro bietet auch einen textbasierten Installer, der Verschlüsselung bietet.nocie schrieb:
Ansonst ist das manuell nicht weiter schwierig: Partition erstellen, mit LUKS ein Volume erstellen, optional LVM, Dateisystem(e) formatieren. Anschließend als root-Volume für die Linux-Installation benutzen. Zusätzlich zur fstab muss man noch eine /etc/crypttab anlegen (siehe dortige man-page) und den Verschlüsselungskram mit ins initram packen.
KurzGedacht
Lt. Commander
- Registriert
- Mai 2013
- Beiträge
- 1.795
Ich glaube die eigentlich relevante Frage ist:
Willst du ein System neu aufsetzen und verschlüsseln oder ein existierendes System nachträglich verschlüsseln?
edit: Falls nachträglich: Mach ein Backup, setz das System verschlüsselt neu auf und importiere das Backup. Alle anderen Wege erfordern dass man sehr genau weiß was man da macht.
Willst du ein System neu aufsetzen und verschlüsseln oder ein existierendes System nachträglich verschlüsseln?
edit: Falls nachträglich: Mach ein Backup, setz das System verschlüsselt neu auf und importiere das Backup. Alle anderen Wege erfordern dass man sehr genau weiß was man da macht.
whats4
Fleet Admiral
- Registriert
- Aug. 2005
- Beiträge
- 18.411
immer ein backup.
lieber fünf zuviel als eines zuwenig.
denn alles verschlüsselte, das du aus irgendeinem grund ned entschlüsseln kannst, ist nur datenmüll.
im klartext: im falle eines problems ist die verschlüsselung schlicht dein feind.
lieber fünf zuviel als eines zuwenig.
denn alles verschlüsselte, das du aus irgendeinem grund ned entschlüsseln kannst, ist nur datenmüll.
im klartext: im falle eines problems ist die verschlüsselung schlicht dein feind.
AlphaKaninchen
Commander Pro
- Registriert
- Mai 2018
- Beiträge
- 2.980
Bei Software Problemen geht es (vorrausgesetzt man hat das PW), bei Hardware Problemen kann ich das nur unterstreichen... Aber da Hilft einem eigentlich immer nur ein Backup.whats4 schrieb:
LorD-AcE
Lt. Junior Grade
- Registriert
- Okt. 2010
- Beiträge
- 445
Ich schlage vor openSuse zu benutzen und alles bei der Installation einzustellen, mit Yast hat man ein gutes Tool mit dem man auch ohne GUI alles hinbekommen kann, selbst als Anfänger. Bei der Konkurrenz habe ich auch gerade einen netten Artikel gelesen, wie man das ganze bei Servern dann sicher per SSH wieder booten kann. https://www.heise.de/select/ct/2021/17/2117312050356064254
N
nocie
Gast
Vielen Dank an alle und auch den User mit seinen zwei erneuten Backup Ratschlägen. Backup steht hier natürlich nicht zur Debatte und sollte selbstverständlich sein.
Also ich nutze halt netcup und wenn ich dort mein System der Wahl draufspiele, dann ist alles bereits eingerichtet. Ich kann dort leider nicht selber durch das Setup gehen...
Und bei bestehenden System bin ich gerade noch etwas überfordert bei den vielen Befehlen. Ich dachte es wäre möglich, dass ich einfach ein Befehl für die Verschlüsselung der Systempartition eingebe, dann aufgefordert werde mein Passwort einzugeben und dann macht der alles automatisch. Sprich verschlüsseln und sich immer vor dem Systemstart mit der Passwortabfrage melden.
Also ich nutze halt netcup und wenn ich dort mein System der Wahl draufspiele, dann ist alles bereits eingerichtet. Ich kann dort leider nicht selber durch das Setup gehen...
Und bei bestehenden System bin ich gerade noch etwas überfordert bei den vielen Befehlen. Ich dachte es wäre möglich, dass ich einfach ein Befehl für die Verschlüsselung der Systempartition eingebe, dann aufgefordert werde mein Passwort einzugeben und dann macht der alles automatisch. Sprich verschlüsseln und sich immer vor dem Systemstart mit der Passwortabfrage melden.
Ergänzung ()
Dort scheint es sehr gut erklärt zu sein. Aber allerdings deutlich komplizierter, als ich es mir eigtl. vorgestellt hatte. Danke dennoch.cloudman schrieb:
N
nocie
Gast
Tatsächlich war ich gerade schon dabei, aber dachte, dass das sowieso nicht geht.LorD-AcE schrieb:
Aber gut, dann wird das Problem dadurch wohl gelöst!Für die ersten Versuche reicht das wohl aus. Aber ich muss mich noch etwas mehr in Linux und Verschlüsselung einlesen. Denn wirklich sicher ist es nur, wenn man es auch versteht. Bei Windows habe ich kein Problem, bei Linux muss ich mich noch an die andere Umgebung gewöhnen.
LorD-AcE
Lt. Junior Grade
- Registriert
- Okt. 2010
- Beiträge
- 445
openSuse ist auf jeden Fall ausgiebig dokumentiert, einer der Gründe warum es mein Main-System ist.
Sicherheit: https://doc.opensuse.org/documentation/leap/security/html/book-security/index.html
Sicherheit: https://doc.opensuse.org/documentation/leap/security/html/book-security/index.html
Sommersocke
Cadet 4th Year
- Registriert
- Juli 2021
- Beiträge
- 119
Hallo!
Die Verschlüsselung selbst ist relativ einfach mit LUKS zu realisieren, aber nur wenn du VOR der Systeminstallation die Platte bearbeiten kannst oder nachträglich über ein Live-System rankommst und über genug freien Speicherplatz zum Verschieben verfügst.
An der Stelle möchte ich dich aber mal fragen, welchen Sinn eine Vollverschlüsselung haben soll? Der Server läuft doch immer, ist also auch immer entschlüsselt.
Um Daten da zu schützen wäre es sinnvoller bspw. eine Containerdatei anzulegen, diese mit LUKS zu verschlüsseln und den Inhalt nur bei Bedarf zu entschlüsseln. Aber alles was permanent zugreifbar sein muss, muss das unverschlüsselt sein, sonst würde das ja nicht funktionieren.
Ich erspare mir an der Stelle mal die „Server sind kein Spielzeug“-Predigt. Du hast den ja eh schon und weißt, dass du voll haftbar bist.nocie schrieb:
Die Verschlüsselung selbst ist relativ einfach mit LUKS zu realisieren, aber nur wenn du VOR der Systeminstallation die Platte bearbeiten kannst oder nachträglich über ein Live-System rankommst und über genug freien Speicherplatz zum Verschieben verfügst.
An der Stelle möchte ich dich aber mal fragen, welchen Sinn eine Vollverschlüsselung haben soll? Der Server läuft doch immer, ist also auch immer entschlüsselt.
Um Daten da zu schützen wäre es sinnvoller bspw. eine Containerdatei anzulegen, diese mit LUKS zu verschlüsseln und den Inhalt nur bei Bedarf zu entschlüsseln. Aber alles was permanent zugreifbar sein muss, muss das unverschlüsselt sein, sonst würde das ja nicht funktionieren.
Zieht ein potentieller Angreifer eine Kopie der Disk der laufenden VM kommt er trotzdem nicht an die Daten. Hierzu müsste noch der RAM entsprechend abgegriffen werden. Ist technisch aber kein Problem wenn man Kontrolle über den Hypervisor/Host hat.Sommersocke schrieb:
Dagegen hilft z.B. ein mit TRESOR angepasster Kernel. Der hält den Key in den CPU Registern und nicht im RAM. Theoretisch kommt man mit viel Aufwand auch da ran aber das ist deutlich komplexer und aufwendiger.
Wenn dir das immer noch nicht reicht dann solltest du zum einen dein Bedrohungsszenario bedenken, sprich vor wem und was willst du dich schützen und ob dann eine VM irgendwo das Richtige ist...
Sommersocke
Cadet 4th Year
- Registriert
- Juli 2021
- Beiträge
- 119
Naja, ich gehe auch eher davon aus, dass der potentielle Angreifer ins laufende System(VM) kommt und nicht gleich den ganzen Provider infiltriert. Was da aus Sicht des Nutzers lesbar ist, ist auch für den Angreifer lesbar.snaxilian schrieb:
Ähnliche Themen
