1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

OpenBSD full disk encryption

Dieses Thema im Forum "OpenBSD - Allgemein" wurde erstellt von mogbo, 6 April 2018.

  1. mogbo

    mogbo Does it run under Windows? Who cares?

    Registriert seit:
    12 September 2016
    Beiträge:
    722
    Guten Morgen,
    hat jemand von euch gute/schlechte Erfahrungen mit full disk encryption unter OpenBSD?
    https://www.openbsd.org/faq/faq14.html#softraidFDE

    Vollverschlüsselung ist bei mir ein Thema, welches ich gerne händchenhaltend direkt im Installer mit 2 OK klicks erledigt haben will, damit ich auch wirklich nichts falsch machen kann, leider ists bei OpenBSD nicht so :)

    Darum:
    1. Ists ein stabiler problemfreier No-Brainer, sobalts einmal läuft oder gibts gewisse Grundregeln an die ich mich anschließend halten muss?
    2. Macht zB ein Poweroff Probleme weil fsck mit encryption nicht klarkommt?
    3. Upgrades über bsd.rd, läuft das problemfrei?
    4. Ist OpenBSD-stable dann evtl die "bessere" Wahl oder egal?
    5. Problemfreies erstellen oder entfernen von Partitionen möglich?

    Würde gerne meine persönliche Paranoia befriedigen, aber nicht zum Preis eines Datenverlusts
     
  2. CommanderZed

    CommanderZed OpenBSD User

    Registriert seit:
    1 Juni 2005
    Beiträge:
    1.244
    Ort:
    Weyhe
    Hi,

    ich nutze das seit ca. einem Jahr.

    1. Ists ein stabiler problemfreier No-Brainer, sobalts einmal läuft oder gibts gewisse Grundregeln an die ich mich anschließend halten muss
    Bei mir läuft das nach der ersteinrichtung extrem gut. Einmal hab ich leider am nächsten Tag das Kennwort nicht mehr gewusst ... äh ja ...
    2. Macht zB ein Poweroff Probleme weil fsck mit encryption nicht klarkommt?
    Mir ist da noch nichts aufgefallen
    3. Upgrades über bsd.rd, läuft das problemfrei?
    Fast. Man muss beim Upgrade das "richtige" Device angeben - sd1 idr. da der installer automatisch die "erste" platte nimmt - das ist aber idr. das "echte" device. Er meckert dann aber
    4. Ist OpenBSD-stable dann evtl die "bessere" Wahl oder egal?
    Ich nutze nur Stable, glaube aber nicht das da current oder so probleme macht
    5. Problemfreies erstellen oder entfernen von Partitionen möglich?
    Hab ich noch nicht gemacht
     
    mogbo gefällt das.
  3. mogbo

    mogbo Does it run under Windows? Who cares?

    Registriert seit:
    12 September 2016
    Beiträge:
    722
    Werd später wohl mal /dev/urandom auf meine 2 SSDs loslassen und dann hoffentlich heute abend gegen 8 Uhr einen Versuch starten, vielen Dank!
     
  4. midnight

    midnight OpenBSD

    Registriert seit:
    1 Januar 2007
    Beiträge:
    376
    Ich nutze Vollverschluesselung schon seit Jahren ohne Probleme. Ich hatte niemals Datenverlust oder aehnliches. Upgrade oder aehnliches sind auch keine Probleme, da direkt schon im bootloader das Passwort abgefragt wird. Das System ist danach entschluesselt und genauso haendelbar, wie ein unverschluesseltes System.

    Kleiner Tipp:
    Code:
    # echo vm.swapencrypt.enable=0 >> /etc/sysctl.conf
    
    Da das ganze System verschluesselt ist, ist es nicht notwendig, swap zusaetzlich noch einmal zu verschluesseln.
     
  5. mapet

    mapet Active OpenBSD User

    Registriert seit:
    5 Januar 2007
    Beiträge:
    1.511
    Ort:
    /Germany/Neuss
    Ich habe es auf meinem Laptop auch seit Jahren problemlos laufen. Es wird ein weiteres Device angelegt, welches genau als solches verwendet werden kann. Damit sollte auch deine Partitionierungsfrage beantwortet sein.
     
  6. hades

    hades the unseen one Mitarbeiter

    Registriert seit:
    22 Dezember 2006
    Beiträge:
    516
    Ort:
    Biberach an der Riß
    Bei mir läuft OpenBSD mit Vollverschlüsselung als Server-Betriebssystem seit langer Zeit problemlos und stabil. Bezüglich fsck-Problemen wäre mir bisher nichts aufgefallen, allerdings hatte die Hardware aufgrund der USV (bisher) auch keinen ungeplanten Poweroff...
     
  7. midnight

    midnight OpenBSD

    Registriert seit:
    1 Januar 2007
    Beiträge:
    376
    Die Frage ist, wozu Verschluesselung der Festplatte. Bei einem Notebook kann ich das noch nachvollziehen, denn diese werde gerne irgendwo vergessen oder leider auch gestohlen.

    Auf der Workstation kann ich mir das auch vorstellen, wenn der / die Mitbewohner nicht zu 100% vertrauenswuerdig sind (WG oder aehnliches).

    Auf einem Server sehe ich persoenlich mehr Probleme als Nutzen:

    - Bei jedem reboot muss ueber eine remote console das Passwort eingegeben werden.
    - Mehrere Festplatten im (soft)raid und softraid Verschluesselung funktioniert einfach nicht zusammen (softraid in softraid). Mit raidcontroller habe ich es noch nicht probiert. Also kann hier zumindest im ersten Fall nur mit Einzelfestplatten gearbeitet werden.
    - Da der Server 24/7 laeuft, es es dem Provider moeglich, im laufenden System auf die Daten der Festplatte zuzugreifen. Ausnahme ist natuerlich, wenn der Server zuhause steht.

    + Der einzige Vorteil waere, wenn der Server konfisziert wird, koennen die Behoerden nicht auf die Daten zugreifen. Ein Diebstahl ist aber sonst eher unwahrscheinlich.

    Fazit: Ein Backup ist in allen Faellen sehr empfehlenswert. Auch wenn alles seit Jahren problemlos funktioniert, kann irgendwann der Tag kommen, an dem das filesystem aus irgendeinem Grund unbrauchbar wird. Dann ein ein recover so ziemlich schwer bis unmoeglich. Also Verschluesselung ja, aber nur, wenn auch ein backup der wichtigen Daten vorhanden ist.
     
  8. CommanderZed

    CommanderZed OpenBSD User

    Registriert seit:
    1 Juni 2005
    Beiträge:
    1.244
    Ort:
    Weyhe
    Kommt drauf an ... ein Server kann auch zuhause im kabuff stehen .. und mitgeklaut werden. Oder im Büro in irgend nem besenschrank ... kann auch geklaut werden ...
     
  9. Rakor

    Rakor Administrator Mitarbeiter

    Registriert seit:
    17 September 2009
    Beiträge:
    2.176
    Ort:
    Mannheim
    Beim Server ist das Hauptproblem, wenn die Festplatten kaputt geht und getauscht wird. Dein Support tauscht die gegen eine neue und schmeisst die alte zum Alteisen. Da liegt sie bis einer sagt: "Die is sicher noch gut". Alternativ geht sie postalisch zum Hersteller, der sie untersuchen soll.

    In beiden Fällen kannst du Vertrauen durch Verschlüsselung ersetzen.
     
  10. TCM

    TCM Well-Known Member

    Registriert seit:
    14 März 2005
    Beiträge:
    1.320
    Wie denn?
     
  11. midnight

    midnight OpenBSD

    Registriert seit:
    1 Januar 2007
    Beiträge:
    376
    Über das Rettungssystem soll man ins laufende System eingreifen koennen. Das habe ich mal irgendwo gelesen und auch nicht weiter hinterfragt. Mag aber sein, dass das ein hoax war.
     
  12. Rakor

    Rakor Administrator Mitarbeiter

    Registriert seit:
    17 September 2009
    Beiträge:
    2.176
    Ort:
    Mannheim
    Naja klar kann man über ein Rettungssystem aufs System zugreifen. Aber eben nur wenn die Festplatte nicht verschlüsselt ist, bzw nachdem man sie entschlüsselt/entsperrt hat. Das Rettungssystem ist ja ein eigenes System was hochgefahren wird und den Schlüssel nicht kennt. Gibst du deine Passphrase über eine Remotekonsole des Providers ein musst du spätestens an der Stelle deinem Anbieter vertrauen, dass er das nicht mitliest.

    Aber ich glaube das war gar nicht das Interesse des OP, oder?
     
  13. mogbo

    mogbo Does it run under Windows? Who cares?

    Registriert seit:
    12 September 2016
    Beiträge:
    722
    Werde dann mein Ergebnis nachreichen, bis auf random > Festplatte bin ich bisher leider zu nichts gekommen :)