freebsd installation mit separater bootpartion auf usbstick

[Yamagi]

Unter FreeBSD ist es sonst recht einfach - viel einfacher als unter Linux - das System bis eben auf den Bootloader komplett zu verschlüsseln. Ohne das Passwort geht dann gar nichts. Wenn einem das Passwort nicht ausreicht, kann man für sein Root-Dateisystem noch Keyfiles mit `gshsec' auf Sticks verteilen. Wenn man Angst vor Angriffen auf den Bootloader hat, unterstützt FreeBSD auch Secure Boot. Allerdings nur mit eigenem Schlüsselmanagement, wenn man keinen externen Boot-Shim nutzen möchte. Da man dem UEFI vertrauen muss, kann man auch Secure Boot vertrauen. Ob es wirklich sinnvoll ist, ist eine andere Frage...

 

[SolarCatcher]

Ich hatte vor 10(?) Jahren auf dem Laptop so ein Setup mit Boot vom USB-Stick laufen. Damals konnte der Bootloader noch keine GELI-Verschlüsselung. Man musste eine unverschlüsselte Boot-Partition haben, bevor man GELI und eine verschlüsselte Partition laden konnte. Wenn man ganz sicher gehen wollte, hat man diese unverschlüsselte Boot-Partition auf einem USB-Stick ausgelagert. Die Festplatte im Laptop konnte dann komplett verschlüsselt sein.

Ich bin sicher, dass man dazu noch Anleitungen im Web findet, bei denen man lediglich den GELI-Teil weglassen bräuchte, um das vom OP gewünschte Setup zu erreichen.

 

[Andy_m4]

Wenn tatsächlich ein Szenario besteht, wo ein unbequemer Angreifer den eignen PC erreichen kann,...

Das es als Sicherheitskonzept nicht taugt, dürfte unstrittig sein. Also weder ist es wirklich sicher noch ist es praktikabel (sprich: es gibt Alternativen die genauso sicher (oder sicherer) sind aber besser handhabbar).

Ich nutze immer noch unverschlüsselte Festplatten, weil ich das für mich so entschieden habe.

Gibt auch ein paar Argumente dafür immer zu verschlüsseln.
Denn dank AES-NI und gestiegene Rechenleistung hat es kaum noch Performance-Impact wenn man verschlüsselt.
Wenn man eine Festplatte nicht mehr braucht, sie veraltet ist oder sonstwas muss man sich keine Gedanken machen, wie man die sicher entsorgt bzw. sicher löscht. Es gibt zwar sowas wie Secure Erase, aber das unterstützen nicht unbedingt alle Laufwerke und es funktioniert ja auch nur dann, wenn die Platte noch voll funktionstüchtig ist.

Gibt natürlich auch ein paar Gegenargumente. Wenn der Schlüssel weg ist, sind die Daten weg.
Und etwaiges Recovery im Fehlerfall wird jetzt auch nicht unbedingt einfacher, wenn die Platte verschlüsselt ist.

 

[pit234a]

Das es als Sicherheitskonzept nicht taugt, dürfte unstrittig sein. Also weder ist es wirklich sicher noch ist es praktikabel (sprich: es gibt Alternativen die genauso sicher (oder sicherer) sind aber besser handhabbar).


Gibt auch ein paar Argumente dafür immer zu verschlüsseln.
Denn dank AES-NI und gestiegene Rechenleistung hat es kaum noch Performance-Impact wenn man verschlüsselt.
Wenn man eine Festplatte nicht mehr braucht, sie veraltet ist oder sonstwas muss man sich keine Gedanken machen, wie man die sicher entsorgt bzw. sicher löscht. Es gibt zwar sowas wie Secure Erase, aber das unterstützen nicht unbedingt alle Laufwerke und es funktioniert ja auch nur dann, wenn die Platte noch voll funktionstüchtig ist.

Gibt natürlich auch ein paar Gegenargumente. Wenn der Schlüssel weg ist, sind die Daten weg.
Und etwaiges Recovery im Fehlerfall wird jetzt auch nicht unbedingt einfacher, wenn die Platte verschlüsselt ist.

kommt mir nun schon ein wenig OT vor. Nein, eigentlich ist das sehr nahe am Thema, nur eben nicht so ganz nahe an der Frage des TE.

Es gibt da immer den persönlichen Faktor. Ich wurde so IT-sozialisiert, dass ich immer gerne DATEN von SYSTEM trennen möchte und VERSCHLÜSSELTE DATEN sind nur eine Untermenge von DATEN.

Das bedeutet nicht, dass ich die modernen Möglichkeiten und die einfache Umsetzung einer kompletten Verschlüsselung nicht sehen kann. In der Vergangenheit habe ich mich allerdings häufiger ungewollt ausgesperrt gesehen, als eine Verschlüsselung mir genutzt hätte.
Klar, Verschlüsselung ist eine Vorsichtsmaßnahme und deshalb so etwas wie Backup: am liebsten braucht man es gar nicht. Aber wehe, wenn man es im Ernstfall nicht hat!
Nur SYSTEM braucht man ja wirklich nicht zu verschlüsseln und viele meiner DATEN sind den Aufwand auch nicht Wert. Das muss wohl jeder für sich selbst entscheiden. Einen Laptop (oder Stick), den ich vielleicht mit auf Reisen nehmen möchte, würde ich immer verschlüsseln. Bei meinem PC, der 24/7 läuft und deshalb quasi immer unverschlüsselt ist, sehe ich das halt ein wenig anders. Und ich bin ja kein Geschäftsmann oder Geheimnisträger eines Unternehmens und sogar meine Porno-Sammlung ist voll legal. Ihr versteht? Wenn der böse Onkel kommt, kann ich ihm meine Daten zeigen und muss mich vielleicht maximal für meinen niedrigen Kontostand schämen.
Das sehen sicher nicht alle Nutzer so.

 

[Andy_m4]

nur eben nicht so ganz nahe an der Frage des TE.

Der hat sich ja anscheinend eh aus der Diskussion verabschiedet. Von daher muss man da keine übertriebene Rücksicht nehmen. :-)

Nur SYSTEM braucht man ja wirklich nicht zu verschlüsseln

Die Unterscheidung zwischen System/Programme und Nutzerdaten bezüglich Verschlüsselung scheint auf dem ersten Blick logisch. Auf dem zweiten Blick merkt man aber schnell, das eine Differenzierung da nicht wirklich Sinn macht.
Das fängt schon damit an, das man das ja nicht unbedingt richtig unterscheiden kann. Gehören Konfigurationsdaten zum System? Da können ja auch WLAN-Passwörter drin stecken oder wer weiß was. Dinge unter /var oder auch der Swapspace enthalten ja durchaus auch Nutzerdaten?
Im Zweifel muss man überlegen, ob man nicht doch an irgendeiner Stelle etwas wegleakt. Alles-verschlüsseln hat den Charme, das man nicht versehentlich etwas übersehen kann.

Außerdem erfüllt Verschlüsselung zwei Zwecke. Erstens - klar - das niemand in den Daten reingucken kann. Zweitens: Das die Integrität der Daten gewährleistet ist. Ist Dein System nicht verschlüsselt braucht der Angreifer ja nur mal Dein System bei einer unbeaufsichtigten Gelegenheit in die Finger zu bekommen und er tauscht dann Systemdateien gegen Malware-Gespickte aus, um so auf Dein Key zugreifen zu können.

und viele meiner DATEN sind den Aufwand auch nicht Wert.

Wenn man sich mal eingehend mit Datenschutz beschäftigt, dann wird einem klar, das solche Einschätzung zwischen wichtig und unwichtig schwierig ist. Gibt genügend Fälle wo scheinbar völlig harmlose Daten dann doch nicht so harmlos waren, wie man dachte.
Es hat sich daher bewährt als Default-Rule einfach alle Daten als wichtig anzusehen. Weil man im Zweifel eben nicht sicher entscheiden kann, ob etwas wirklich wichtig ist oder nicht. Einfach anzuerkennen das man es nicht sicher wissen kann.

Nicht umsonst schlägt sich das auch in vielen Regelungen/Gesetzen wieder. Sowas wie Datenvermeidung oder auch Zweckbindung. Da wird ja auch nicht inhaltlich auf Daten geguckt (und denen eine Brisanz oder Nicht-Brisanz zugeordnet), sondern dem Rechnung getragen das man eben im Zweifel nicht sicher entscheiden kann, welche Daten wichtig sind und welche nicht.

In der Vergangenheit habe ich mich allerdings häufiger ungewollt ausgesperrt gesehen

Ja. Es gibt so ein paar Kontraindikationen.
Schlüssel versehentlich verlieren ist ein Problem (worum man sich dann eben auch kümmern muss). Außerdem genügt bei einem verschlüsselten Block ein gekipptes Bit um den ganzen Block zu schrotten. Tendenziell werden Daten also empfindlicher gegen Störungen.

Im Grunde genommen kann man diese Dinge auch als Argument dafür nehmen, das System zu verschlüsseln. Das zwar nicht so schützenswert, aber Datenverlust durch Verschlüsselung ist zum Ausgleich nicht so dramatisch. :-)

 

[medV2]

Daten zu verschlüsseln wärend das System unverschlüsselt ist, ist gar nicht so trivial. Ich muss das leider bei einem meiner anvertrauten Server so handhaben, daher mal ein paar Punkte auf die man achten muss:

• SWAP muss auch verschlüsselt werden, da kann ja beliebiges abgelegt werden.
• Programme die mit verschlüsselten Daten arbeiten, dürfen diese nicht nach /var/.. oder /tmp oder sonst wo leaken.
• Programme die mit verschlüsselten Daten arbeiten dürfen keine Coredumps schreiben.
• Der Kernel darf keine Coredumps schreiben.
• Schlüssel und Co dürfen nicht in die History der Shell kommen
• Automatisierte Tools die das komplette FS durchforsten (Indexes, Caches,..) dürfen an unverschlüsselten stellen keine Datenbank ablegen.

Das ist schon bisschen arbeit, vorallem da man nicht alles immer zu 100% Kontrollieren kann. Daher gehe ich dazu über, wenn möglich immer alles zu verschlüsseln.

Die Zeiten der defekten SSDs sind zwar zum Glück vorbei (als die aufkamen konnte man von 10 Stück 5 in den ersten 2 Jahren (Garantiezeit) reklamieren) aber es ist schon praktisch, wenn man die defekte Platte einfach auf Garantie einschicken kann. Unverschlüsselt kann das zu Problemen führen, wenn man die nicht mehr löschen kann weil so defekt, man aber gerne die 500-1000 Euro vom Händler zurück hätte (oder Ersatz).