M
Mickey Cohen
Gast
Hallo,
Edit:
ich habe nun fedora+kde installiert, die SSD ist folgendermaßen formattiert:
Die beiden verschlüsselten LUKS2-Partitionen sind mit dem selben Passwort verschlüsselt.
Preisfrage:
Wie bekomme ich es hin, dass ich beim booten das Passwort nur einemal eingeben muss und beide Partitionen dann automatisch entschlüsselt und gemountet werden?
Ich möchte kein Keyfile verwenden, sondern ein Passwort!
Danke!
/Edit.
ich möchte ein Notebook verschlüsseln, damit ein Dieb im Falle eines Diebstahls nicht an meine Daten rankommt.
das Notebook hat eine 1 TB nvme SSD.
es soll Fedora mit kde installiert werden. Windows wird nicht parallel installiert.
das gerät hat keinen Fingerabdruck-Scanner.
ich bin auf der Suche nach einem Kompromiss aus Sicherheit und Komfort.
bei Linux und verschlüsselung denkt man natürlich zuerst an LUKS. dazu habe ich einige Fragen:
wenn ich die root-Partition (und natürlich die Home partition) mit luks verschlüssle, dann wird der Key beim Booten eingegeben.
bleibt der Key dann im RAM, solange das gerät läuft?
wenn ja: stellt das ein Problem dar, wenn das gerät gesperrt (i.s.v. Lockscreen wird angezeigt) ist? dh. kann der Dieb den Key auslesen, wenn er den lock-screen (d.h. das user-pw != luks-key) umgeht?
Das selbe problem stellt sich dann natürlich bei suspend-to-ram.
oder muss ich gar, um den LUKS-schutz beim lockscreen oder suspend-to-ram zu erhalten, das user-pw gleich dem luks-key wählen und es per PAM übergeben?
außerdem: ist suspend-to-disk so möglich, dass zwar die "hibernate"-datei (ka. wie die in Linux heißt) verschlüsselt auf der ssd gespeichert wird, ich das gerät aber mit dem user-pw (!= luks-key) entsperren kann?
mein Problem ist halt folgendes: ein user-pw, das ich verwende, wenn ich das Notebook öffne/aufwecke/per Lockscreen entsperre soll nicht unendlich lang sein. ich will auch nicht jedesmal das notebook neu booten, wenn ich es nur kurz aus den augen lasse/in die tasche stecke etc.
das Luks Passwort darf andererseits nicht zu kurz sein.
danke!
Edit:
ich habe nun fedora+kde installiert, die SSD ist folgendermaßen formattiert:
- EFI-Partition (unverschlüsselt, FAT32), Mountpoint: /boot/efi
- Boot-Partition (unverschlüsselt, EXT4), Mountpoint: /boot
- Fedora-Root-Partition, LUKS2-verschlüsselt*, EXT4, Mountpoint: /
- Daten-Partition, LUKS2-verschlüsselt*, EXT4, Mountpoint: /DATA
- (200 GB unformattiert)
Die beiden verschlüsselten LUKS2-Partitionen sind mit dem selben Passwort verschlüsselt.
Preisfrage:
Wie bekomme ich es hin, dass ich beim booten das Passwort nur einemal eingeben muss und beide Partitionen dann automatisch entschlüsselt und gemountet werden?
Ich möchte kein Keyfile verwenden, sondern ein Passwort!
Danke!
/Edit.
ich möchte ein Notebook verschlüsseln, damit ein Dieb im Falle eines Diebstahls nicht an meine Daten rankommt.
das Notebook hat eine 1 TB nvme SSD.
es soll Fedora mit kde installiert werden. Windows wird nicht parallel installiert.
das gerät hat keinen Fingerabdruck-Scanner.
ich bin auf der Suche nach einem Kompromiss aus Sicherheit und Komfort.
bei Linux und verschlüsselung denkt man natürlich zuerst an LUKS. dazu habe ich einige Fragen:
wenn ich die root-Partition (und natürlich die Home partition) mit luks verschlüssle, dann wird der Key beim Booten eingegeben.
bleibt der Key dann im RAM, solange das gerät läuft?
wenn ja: stellt das ein Problem dar, wenn das gerät gesperrt (i.s.v. Lockscreen wird angezeigt) ist? dh. kann der Dieb den Key auslesen, wenn er den lock-screen (d.h. das user-pw != luks-key) umgeht?
Das selbe problem stellt sich dann natürlich bei suspend-to-ram.
oder muss ich gar, um den LUKS-schutz beim lockscreen oder suspend-to-ram zu erhalten, das user-pw gleich dem luks-key wählen und es per PAM übergeben?
außerdem: ist suspend-to-disk so möglich, dass zwar die "hibernate"-datei (ka. wie die in Linux heißt) verschlüsselt auf der ssd gespeichert wird, ich das gerät aber mit dem user-pw (!= luks-key) entsperren kann?
mein Problem ist halt folgendes: ein user-pw, das ich verwende, wenn ich das Notebook öffne/aufwecke/per Lockscreen entsperre soll nicht unendlich lang sein. ich will auch nicht jedesmal das notebook neu booten, wenn ich es nur kurz aus den augen lasse/in die tasche stecke etc.
das Luks Passwort darf andererseits nicht zu kurz sein.
danke!
Zuletzt bearbeitet von einem Moderator:
