GELI / GBDE "nicht interaktiv"

DemonLord

Weeeeee!
Hallo Leute,

Mein Arbeitsrechner in der Universitaet soll verschluesselt werden, dh, idealerweise

/usr/home
/var

Jetzt will ich aber kein Passwort (what you know) sondern ausschliesslich einen Key auf CD oder Floppy (what you got) haben. Ich stelle mir das in etwa so vor: Auf einer Diskette befindet sich der Key, ist stecke die Disk ins Laufwerk, starte BSD. BSD holt sich "automatisch" den Key (ohne user Interaction) von der Disk und bootet. Quasi nur ein digitaler Schluessel.

Ist so etwas moeglich? Google & Board Suche ergaben "nur" Passwort-abfragen, aber nicht wirklich was mit nur "what you got"-systemen.

GELI bevorzugt, sonst auch GBDE.

Viele Dank fuer Tips :)

-Christian.
 
Heh.

Das weiss ich auch.

Ich formuliere anders, "rtfm-approved":

[..] Auch wenn in den Manpages von Geli und gbde alles drinn steht, so ist es fuer mich nicht offensichtlich, wie man ohne Passwort die Root Partition mit Geli verschluesseln kann. Hilfe! [..]
 
Welchen Sinn macht es, die root Partition zu verschluesseln? Zumal /boot sowieso unverschluesselt vorliegen muss. Und im Betrieb ist / ja ebenfalls erreichbar. Also ich sehe da keinen Gewinn, lass mich aber gerne eines besseren belehren.

Ansonsten schreibe doch mal den Maintainer an, wie das gehen koennte. Der Schluessel+/boot muessen dann ja auf einem USB-Stick unverschluesselt rumliegen. Und dann sollte das irgendwie gehen.
 
Ein Verschlüsseln von /var und /usr/home ist ja durchaus verständlich. Auch über /var/tmp und /tmp kann man da noch reden. Nur / und /usr halte ich für ziemlich sinnlos. Erst einmal musst du die Partitionen eh im Betrieb eingehängt haben, es befinden sich normalerweise keine kritischen Daten auf ihnen und eine Verschlüsselung dieser dürfte das ganze System enorm ausbremsen.

Wenn es darum geht, Änderungen zu verhindern, oder du Angst hast, dass deine Binarys manipuliert werden, kann man dort mit der schg-Flag schon eine Menge erreichen.
 
OOZE said:
Wenn es darum geht, Änderungen zu verhindern, oder du Angst hast, dass deine Binarys manipuliert werden, kann man dort mit der schg-Flag schon eine Menge erreichen.
Und man sollte ein höhere Sicherheitsstufe (siehe init(8), security level) verwenden, sonst bringt das schg-Flag keine Punkte.

Björn
 
Ich zitiere mich einfach selber mal:

Mein Arbeitsrechner in der Universitaet soll verschluesselt werden, dh, idealerweise

/usr/home
/var

Jetzt will ich aber kein Passwort (what you know) sondern ausschliesslich einen Key auf CD oder Floppy (what you got) haben. Ich stelle mir das in etwa so vor: Auf einer Diskette befindet sich der Key, ist stecke die Disk ins Laufwerk, starte BSD. BSD holt sich "automatisch" den Key (ohne user Interaction) von der Disk und bootet. Quasi nur ein digitaler Schluessel.

Ist so etwas moeglich? Google & Board Suche ergaben "nur" Passwort-abfragen, aber nicht wirklich was mit nur "what you got"-systemen.

GELI bevorzugt, sonst auch GBDE.

Bisher sind zwar (netterweise) alle auf manpages und Sinn von Verschluesselungen von root partitionen eingegangen, leider aber nicht auf meine Frage, die ich gerne noch einmal wiederhole:

Jetzt will ich aber kein Passwort (what you know) sondern ausschliesslich einen Key auf CD oder Floppy (what you got) haben. Ich stelle mir das in etwa so vor: Auf einer Diskette befindet sich der Key, ist stecke die Disk ins Laufwerk, starte BSD. BSD holt sich "automatisch" den Key (ohne user Interaction) von der Disk und bootet. Quasi nur ein digitaler Schluessel.

DH: Wie kann ich BSD dahin bekommen, das ich nur eine (beispiel) cd einlege, BSD sich beim booten automatisch *ohne rueckfrage* den key von der CD holt?

Danke,
Christian.
 
DemonLord said:
Jetzt will ich aber kein Passwort (what you know) sondern ausschliesslich einen Key auf CD oder Floppy (what you got) haben. Ich stelle mir das in etwa so vor: Auf einer Diskette befindet sich der Key, ist stecke die Disk ins Laufwerk, starte BSD. BSD holt sich "automatisch" den Key (ohne user Interaction) von der Disk und bootet. Quasi nur ein digitaler Schluessel.
Mit Disketten stelle ich mir das schwierig vor, da ich nicht wüsste, wie ich Ereignisse wie "Diskette eingelegt" und "Diskette entfernt" abfangen sollte. Mit USB-Laufwerken macht das eher Spaß; da schreibt man einfach in die /etc/usbd.conf seine Skripte rein, die bei den entsprechenden Aktionen ausgeführt werden sollen. Also z.B. stark vereinfacht soll beim Einstecken "gbde attach -pgeheim -l/mnt/usb/lock /dev/partition" und beim Herausziehen "gbde detach /dev/partition" ausgeführt werden. Fertige Lösungen gibt es nicht, aber das was du möchtest, lässt sich mit USB-Laufwerk so auf jeden Fall bewerkstelligen.
 
Genau, allerdings sollte er gleich devd(8) verwenden, weil usbd(8) nicht mehr lange unterstuetzt wird. Wenn er sich dann noch geli(8) durchliest, kriegt er das ganze mit 5-6 Zeilen in devd.conf(5) hin.
 
Back
Top