Laptop – SSD mit dm-crypt/Luks -Verschlüsselung und Opensuse Leap 15 – V – kryptierte Partitionen und Alignment

Nach den Überlegungen in den letzten Artikeln dieser Serie

Laptop – SSD mit dm-crypt/Luks -Verschlüsselung und Opensuse Leap 15 – I – Vorüberlegungen
Laptop – SSD mit dm-crypt/Luks -Verschlüsselung und Opensuse Leap 15 – II – Vorüberlegungen zur Virtualisierung
Laptop – SSD mit dm-crypt/Luks -Verschlüsselung und Opensuse Leap 15 – III – Zugriffs-Layer
Laptop – SSD mit dm-crypt/Luks -Verschlüsselung und Opensuse Leap 15 – IV – Disk-Layout

sind wir gut gerüstet, um zur Voll-Verschlüsselung eines Laptops passende LVM-Volumes anzulegen und mit "LUKS on LVM" zu kryptieren. Ich sage aus guten Gründen "Tests" - nicht finale Installation. Es gibt Einiges, was man falsch machen kann oder was zu unpraktikablen Konsequenzen führt. Im Besonderen, wenn man sich ein wenig abseits der normalen Installationsprozeduren (hier von Opensuse) bewegt. Ich werde nachfolgend den Umgang mit einer jungfräulichen SSD diskutieren. Arbeitet ihr nicht mit einer leeren SSD/HDD und wollt ihr alte Installationen nicht verlieren, empfehle ich dringend vorherige vollständige Backups - mit zusätzlichem Aufschreiben von UUIDs plus ggf. separatem Backup der Verzeichnisse "/etc/" und "/boot". Der Totalverlust vorhandener Daten auf einer SSD ist bei Fehlern durchaus möglich.

Bevor man eine vorhandene Laptop-SSD mit voll einsetzbaren Installationen komplett durch eine neue SSD ersetzt, liegt es zudem nahe, die Voll-Verschlüsselung auf der neuen SSD zunächst separat zu testen. Dazu nutzt man die (neue) SSD vorübergehend als externes bootbares Laufwerk an einem USB-3-Anschluss. Im besten Fall kann man die Test-Installation nach einem Einbau in den Laptop und Anschluss an den dortigen SATA-III-Bus direkt weiter nutzen. Dachte ich so ...

Dieses Vorgehen führte bei mir aber zu Problemen mit dem Alignment der anzulegenden Partitionen und Volumes. Das war durchaus lehrreich. Ich werde deshalb darauf eingehen, obwohl es unser Kernthema nur am Rande berührt. Ein weiteres wichtiges Thema sind die Einstellungen zur Verschlüsselung. Dabei ist vor allem die Anzahl der "PBKDF2"-Iterationen interessant.

Hinweis: Diejenigen, die sich mit der Funktionsweise von LUKS noch nicht so gut auskennen, mögen spätestens jetzt einen Blick in den Artikel
crypt/Luks – Begriffe, Funktionsweise und die Rolle des Hash-Verfahrens – I
und den Nachfolge-Artikel werfen. Dort sind etliche weiterführende Links angegeben. Auch der nächste kommende Artikel wird die Funktionsweise von LUKS noch einmal mal kurz zusammenfassen. Sinnvoll ist zum besseren Verständnis auch ein Blick in die man-Seiten zum Kommando "cryptsetup". LVM-Grundkenntnisse setze ich voraus.

Weiterlesen

Laptop – SSD mit dm-crypt/Luks -Verschlüsselung und Opensuse Leap 15 – IV – Disk-Layout

In den letzten Beiträgen dieser Serie

Laptop – SSD mit dm-crypt/Luks -Verschlüsselung und Opensuse Leap 15 – I – Vorüberlegungen
Laptop – SSD mit dm-crypt/Luks -Verschlüsselung und Opensuse Leap 15 – II – Vorüberlegungen zur Virtualisierung
Laptop – SSD mit dm-crypt/Luks -Verschlüsselung und Opensuse Leap 15 – III – Zugriffs-Layer

haben wir bereits etliche wichtige Vorüberlegungen zur Voll-Verschlüsselung eines Linux-Laptops mit SSD unter Opensuse Leap 15 angestellt. Nun müssen wir noch planen, welche Partitionen das Layout unserer SSD prägen sollen.

Ich kann hier nur einen Vorschlag vorstellen, der u.a. durch Platz für virtualisierte Gastsysteme geprägt ist und den Test von "LUKS on LVM", "LVM und LUKS" sowie Hibernation ermöglicht. Bei mir persönlich gibt es dabei eine Präferenz für "LUKS on LVM".

Weiterlesen

Laptop – SSD mit dm-crypt/Luks -Verschlüsselung und Opensuse Leap 15 – III – Zugriffs-Layer

In den letzten Beiträgen dieser Serie

Laptop – SSD mit dm-crypt/Luks -Verschlüsselung und Opensuse Leap 15 – I – Vorüberlegungen
Laptop – SSD mit dm-crypt/Luks -Verschlüsselung und Opensuse Leap 15 – II – Vorüberlegungen zur Virtualisierung

hatten wir Vorüberlegungen zur Verschlüsselung eines Laptops angestellt. Wie in den früheren Beiträgen auch bezeichnen wir nachfolgend sowohl Partitionen als auch LVM-Volumes als "Volumes". Wenn eine Unterscheidung notwendig ist, werde ich die explizit treffen.

Das erste Ergebnis unserer Überlegungen war, dass wir das System, unter dem wir mit Kundendaten arbeiten, voll verschlüsseln müssen. Das bedeutet, dass wir sowohl das Volume für das Root-Filesystem als auch alle Volumes für Daten verschlüsseln. Es reicht nicht, mit Datencontainern zu arbeiten. Wir hatten auch eingesehen, dass alle global verfügbare Swap-Volumes verschlüsselt werden müssen.

Unser zweites Ergebnis war: Wir sollten diesen Ansatz auf einem Virtualisierungs-System (LVM/QEMU, LXC) zur Sicherheit sowohl auf die Volumes anwenden, die der Host selbst nutzt, als auch auf alle Volumes, die von den Betriebssystemen der Gäste genutzt oder zusätzlich gemountet werden. Sprich: Auch der Virtualisierungshost muss voll-verschlüsselt werden (Root-Filesystem, Swap (!), Daten-Volumes). Es gibt zu viele Faktoren, durch die Inhalte des Gastsystems auf Host-Filesysteme geraten kann.

Wir hatten ferner diskutiert, dass im Prinzip sowohl das Hostsystem auf dem Laptop als auch die Gastsysteme ihren Teil zur Verschlüsselung beitragen können. Dieses letzte Thema hat auch mit der Schichtung der Zugriffsverfahren auf Storage-Devices und Filesysteme zu tun. Jeder, der mit Linux professionell arbeitet, nutzt früher oder später LVM, um bzgl. der Anpassung der Größe von Filesystemen flexibel zu werden. Wie bringt man LVM mit Verschlüsselung zusammen? Wie stellt sich das im Fall von Virtualisierung dar?

Ein anderer für die Praxis sehr wichtiger Punkt ist die Kompatibilität mit Boot-Managern. Kann der unter Linux wohl hauptsächlich eingesetzte Grub2-Manager mit verschachtelten LVM/LUKS- oder LUKS/LVM-Strukturen auf Block-Devices umgehen?

Weiterlesen