HowTo: Festplattenverschlüsselung pefs

[nakal]

Ich habe im Wiki ein HowTo für die "stapelbare Dateisystemverschlüsselung" mit pefs und pam_pefs erstellt.

http://wiki.bsdforen.de/howto/festplattenverschluesselung_mit_pefs

Ich hoffe, dass Ihr mir helft, es einmal auszutesten, ob ich nichts vergessen habe.

 

[Frank]

Dein letzter post ist schon was her, kann das sein?

 

[nakal]

Ja. Sorry, falls ich irgendetwas falsch gepostet habe.

 

[Yamagi]

Ist doch alles okay? Das Tutorial liest sich auch gut. Werde ich demnächst man ausprobieren.

 

[SolarCatcher]

Wow, das klingt ja super. Bisher habe ich mein $HOME mit GELI verschlüsselt aber das erfordert natürlich die Eingabe des Passwords beim Booten, selbst wenn man ein anderes Benutzerkonto nutzen will.

An einer Stelle scheint mir allerdings ein Fehler drin zu sein in Deinem Code:

pefs addchain -Z /home/myuser
mv /home/myuser/.pefs.db /tmp
umount /home/myuser
mv /tmp/.pefs.db /tmp

Die letzte Zeile macht keinen Sinn. Sie müsste wohl heißen:

mv /tmp/.pefs.db /home/myuser

Jedenfalls ganz herzlichen Dank für das Howto. Werde ich bei der nächsten Neu-Installation vermutlich ausprobieren (wobei ich hoffe, dass die noch in einiger Ferne ist).

 

[Frank]

Ja. Sorry, falls ich irgendetwas falsch gepostet habe.

Sorry, so war das überhaupt nicht gemeint.

Habe mich nur gewundert, wo Du (schreibtechnsich hier im Forum) abgeblieben bist.

 

[nakal]

Im Geiste war ich immer bei Euch.

 

[nakal]

An einer Stelle scheint mir allerdings ein Fehler drin zu sein in Deinem Code:

mv /tmp/.pefs.db /tmp

Die letzte Zeile macht keinen Sinn. Sie müsste wohl heißen:

mv /tmp/.pefs.db /home/myuser

Das ist richtig. Danke für den Hinweis.

 

[Tsubasa]

Ich habe das HowTo einmal durchprobiert, allerdings hat bei mir das Erstellen der Keychain nicht funktioniert

pefs addchain -Z /home/myuser
pefs: key chain /home/myuser/.pefs.db: Read-only file system

Bei mir hat es dann auf folgende Weise funktioniert

mkdir /home/myuser
pefs addchain -f -Z /home/myuser
pefs mount /home/myuser /home/myuser
pefs addkey -c /home/myuser

Dann weiter wie im HowTo beschrieben. Der Login klappte zuerst auch nicht, da ich den Besitzer der .pefs.db nicht auf "myuser" geändert hatte. Auch muss in passwd der komplette Pfad von $HOME angegeben sein wenn man einen Symlink von /home auf /usr/home hat.

 

[lockdoc]

Hat jemand evtl nen paar Benchmarks zum Vergleich gegenueber Geli?

 

[nakal]

mkdir /home/myuser
pefs addchain -f -Z /home/myuser
pefs mount /home/myuser /home/myuser
pefs addkey -c /home/myuser

Ok. Ich müsste das noch einmal ausprobieren. Hast Du hiernach den Key auf /tmp verschoben, unmount gemacht und zurück auf das Dateisystem ohne Key geschoben?

Dann weiter wie im HowTo beschrieben. Der Login klappte zuerst auch nicht, da ich den Besitzer der .pefs.db nicht auf "myuser" geändert hatte. Auch muss in passwd der komplette Pfad von $HOME angegeben sein wenn man einen Symlink von /home auf /usr/home hat.

Login sollte auch ohne "myuser" gehen. Das zweitere steht bei Punkt 3 ganz oben, dass es wichtig ist.

 

[Tsubasa]

Nein, ich habe den Key nicht verschieben müssen, da ich ja zuvor kein pefs mount durchgeführt hatte und der Key somit auf dem normalen Dateisystem erstellt wurde. Zuerst pefs mount und dann den Key erstellen hat bei mir ja zu dem oben genannten Fehler geführt.

 

[nakal]

So...

ich habe das HowTo mal aktualisiert und sicher gestellt, dass es nun funktioniert. Es hat sich herausgestellt, dass es

1. etwas einfacher ist mit der Datei .pefs.db (einfach Permissions ändern)
2. ein Fehler drin war, wie schon oben von einigen angemerkt

Ich habe jetzt alles ausprobiert und hoffe, dass es nun für alle korrekt funktioniert. Entschuldigung, falls Ihr mit den letzten Varianten vor die Wand gefahren seid.

Anscheinend hat sich auch der Link verändert. Also hier der neue:
http://wiki.bsdforen.de/howto:festplattenverschluesselung_mit_pefs