• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

NomadBSD als Test für FreeBSD

Themenstarter #1
Hallo Forum,

ich habe einen USB-Stick (64 Gb) mit dem letzten NomadBSD (v 1.3) erstellt. Der bootet (nach einem Problem mit einem kaputten Stick) auch. Ich möchte NomadBSD dazu nutzen, um zu testen, ob und wie gut meine Hardware (Lenovo ThinkPad T440s) mit FreeBSD funktioniert (sollte alles wichtige tun, wie gewünscht, würde ich gerne von Linux zu FreeBSD wechseln).

Bislang konnte ich feststellen, dass X offensichtlich geht, da ich auf der Nomad-Oberfläche lande. Auch konnte ich mich per WLAN mit meinem Heimatnetz verbinden. Das ist schonmal gut :-)

Aber es bleiben natürlich noch Fragen:
- Bildschirmschoner, Screenlock, Powersaving
- Openbox als Fenstermanager würde ich gerne durch XFCE ersetzen.
- gibt es eine Möglichkeit, die verschlüsselten Partitionen der Linux-Installation zu lesen (LUKS auf LVM)?
- die wichtigsten Anwendungen; kann ich die unter Nomad nach-installieren?

zur Motivation: vor einigen Jahren (FreeBSD 5 bis 7) hatte ich Linux schon einmal durch FreeBSD ersetzt und fand damals, es lief flüssiger. Ich musste dann doch wieder zurück; der Gedanke blieb aber im Kopf. Momentan läuft der Laptop unter Archlinux - und auch recht gut. Aber letztens wollte ich eine einfache Aufgabe regelmäßig erledigt haben - crond bzw. crontab war aber nicht mehr da. Stattdessen musste ich über systemd nachlesen.... (bitte keinen Krieg darüber).

Würde mich über ein paar Tipps freuen. Ich lese aber weiter im Netz und auch hier im Forum.

Ciao,
Photor
 

waldbaer59

Well-Known Member
#2
Zu deiner Anmerkung bzgl cron / crontab: schau mal unter "cronie" nach. ;)

Ansonsten werde ich deinen Umstieg interessiert verfolgen, da ich auf einem ähnlichen Modell (Vorgänger) wie deinem FreeBSD installieren will.

Guten Erfolg!
VLG
Stephan
 

pit234a

Well-Known Member
#3
Ich bin kein regelmäßiger Nutzer von nomad und mag mich daher irren. Aus meinen gelegentlichen Tests glaube ich:
- die wichtigsten Anwendungen; kann ich die unter Nomad nach-installieren?
Ja, das geht ganz einfach udn wie gewöhnlich unter FreeBSD
- Openbox als Fenstermanager würde ich gerne durch XFCE ersetzen.
damit beantwortet sich auch diese Frage. Man kann auch XFCE nachinstallieren, aber...
- Bildschirmschoner, Screenlock, Powersaving
Meint nun was?

und fand damals, es lief flüssiger.
auch hier nur mangelhafte Erfahrung, aber bei mir laufen GNU/Linux-Installation flüssiger, als FreeBSD. Besonders auf Laptops kann FreeBSD doch einige wünschenswerte Dinge nicht oder nicht gut, wozu auch das Powersaving gehört, wenn ich das mal grob so nennen darf, dass sich die Akkus einfach viel schneller verbrauchen. Auch solche Dinge, wie Suspend und Resume oder gar Hybernation gelingen eher zuverlässig mit GNU/Linux.
Womit ich zu XFCE im Vergleich zu OpenBox komme: OpenBox ist halt schon sehr schmal und sparsam und deshalb auch Ressourcen-schonend und ich kann mir gut vorstellen, dass es deshalb die erste Wahl von @marcel gewesen ist, weil ja die Performance bei einem System vom Stick immer so eine Sache ist. Wenn du also von Früher her den Eindruck hattest, FreeBSD sei flüssiger gewesen, als GNU/Linux, dann muss man das auch bedenken. Was man letztlich auf dem Desktop sieht, ist ja nicht FreeBSD oder GNU/Linux. Auf dem Desktop sieht man Fenstermanager und weitere Anwendungen, die nicht direkt etwas mit dem System darunter zu tun haben.
Wenn überhaupt, kann FreeBSD hier kaum Vorteile entfalten. Eher im Gegenteil kann man wohl sagen, dass die allermeisten Anwendungen doch eher mit Blick auf GNU/Linux entwickelt werden und sich manche davon eher schwer tun auf FreeBSD (an der Stelle ausdrücklichen Dank an alle Ports-Maintainer).
 

Rosendoktor

Well-Known Member
#4
- gibt es eine Möglichkeit, die verschlüsselten Partitionen der Linux-Installation zu lesen (LUKS auf LVM)?
Nein. Gemeinsam (Linux+FreeBSD+Windows) genutzte verschlüsselte Partitionen auf einem Multibootsystem kann man mit Veracrypt erzeugen. Darauf dann ein passendes Dateisystem (ich verwende ZFS für Linux+FreeBSD, wenn Windows auch muss dann halt NTFS oder exFAT).
 
Themenstarter #5
Nein. Gemeinsam (Linux+FreeBSD+Windows) genutzte verschlüsselte Partitionen auf einem Multibootsystem kann man mit Veracrypt erzeugen. Darauf dann ein passendes Dateisystem (ich verwende ZFS für Linux+FreeBSD, wenn Windows auch muss dann halt NTFS oder exFAT).
Das hatte ich mir schon gedacht. Dabei geht es mir hauptsächlich darum, mir meine Daten auf die BSD-Seite zu ziehen. Dafür gibt es andere Optionen: z.B. Cloud oder anderes gemeinsames Speichermedium.
 
Themenstarter #6
Hallo pit234a,

mir ist schon klar, dass das System vom Stick deutlich langsamer laufen muss als nachher die „richtige“ Installation auf der SSD. Ich versuche mit Nomad eigentlich ja nur heraus zu bekommen, ob die Hardware ausreichend gut erkannt wird.
Damals hatte ich jedenfalls den Eindruck(!), dass FreeBSD flüssiger lief als Linux - auf der selben Hardware (damals ein Dell Inspiron 8100 glaube ich). Was aber natürlich auch richtig ist, dass bestimmte Dinge halt nicht liefen (suspend-to-xxx, Bluetooth) - damals ärgerlich aber nicht ausschlaggebend. Heut bin ich verwöhnter.

Ich könnte es auch als „Forderungen“ formulieren, Features, die mir wichtig wären:
- XFCE als Arbeitsumgebung sollte gehen; das nutze ich auf mehreren Rechnern (und in der VM läuft es - s.u.)
- WLAN und Bluetooth wird heutzutage an jeder Ecke eingesetzt
- Programme, die ich nutze bzw. nutzen will, sollten laufen
...
Das abzuklären wäre der Job für Nomad (nachher kann es seinen Job als Stick-System gerne weiter ausüben - habe jetzt ja auch Linux-Rettungssystem auf USB hier liegen).

Ergebnis kann natürlich sein: bleibe bei ArchLinux, da tut doch alles, was du brauchst. Bislang habe ich mein FreeBSD-Wissen dadurch trainiert, dass auf dem Laptop einen VM mit einer FreeBSD-Installation betreibe. Damit lässt sich die Hardware natürlich nicht prüfen. Dafür der Versuch mit Nomad.

ciao
 

waldbaer59

Well-Known Member
#7
XFCE geht definitiv. Das habe ich auf einer 'richtigen' Maschine unter FreeBSD (12.1) problemlos am Start (außer dass beim Abmelden die Buttons für 'Neustarten' und 'Herunterfahren' [mal wieder] ausgegraut sind, aber das bekomme ich auch wieder hin).

Welche Anwendungen sind dir denn besonders wichtig, wenn die Frage erlaubt ist?

CU
Stephan
 

pit234a

Well-Known Member
#8
- WLAN und Bluetooth wird heutzutage an jeder Ecke eingesetzt
Das siehst du wirklich einfach mit nomad, aber ich würde mir vielleicht nicht die Arbeit machen, XFCE erst auf nomad zu bringen und zu testen. Wenn du siehst, dass deine HW mit nomad geht und deine wichtigen Anwendungen funktionieren, würde ich das so lassen und mir ein System neu aufsetzen, in dem ich dann XFCE als DE etablieren würde.
Nomad kann ja immer wieder vom Stick gebootet werden, als Rettungssystem oder zum Abgucken, was dort gemacht wird und wie es konfiguriert ist.

Was es in nomad glaube ich nicht gibt, ist ein Netzwerkmanager. @marcel hat wohl noch keinen gebaut. Ich nutze einen aus dem Desktop-BSD Projekt und der braucht das merkwürdige doas. Es gibt hier Artikel dazu, ich glaube von @holgerw.
Mit BT habe ich selbst nichts am Hut, sehe aber, dass die Module dazu geladen werden.
 
Themenstarter #9
Hallo pit234a,

genau so ist es gedacht. Nomad will ich nur nutzen, um meine Hardware (und Ansprüche) zu testen. Dann wird - entweder Nomad oder natives - FreeBSD auf dem Rechner installiert. In der VM habe ich XFCE installiert und es läuft relativ flüssig. Aber die VM lässt halt leider keine Schlüsse auf die reale Hardware zu. Trotzdem wird das eine der ersten Pakete sein, die ich nachinstalliere.

Bluetooth ist tatsächlich noch ganz offen: wie ich das anwerfe (unter Openbox, XFCE oder Konsole) muss ich mir noch anseheh.

Ciao,
Photor
 
Themenstarter #10
XFCE geht definitiv. Das habe ich auf einer 'richtigen' Maschine unter FreeBSD (12.1) problemlos am Start (außer dass beim Abmelden die Buttons für 'Neustarten' und 'Herunterfahren' [mal wieder] ausgegraut sind, aber das bekomme ich auch wieder hin).

Welche Anwendungen sind dir denn besonders wichtig, wenn die Frage erlaubt ist?

CU
Stephan
Das mit den ausgegrauten Buttons sehe ich auch in der VM. Ich denke, es ist ein Rechte- bzw. Gruppenzugehörigkeitsproblem.

Wichtige Applikationen wären:
- Fotoverwaltung (Shotwell), Bildbearbeitung (eventuell schwierig)
- Programmierung/Entwicklung in Pascal und Python
- Open/LibreOffice (schon installiert)
- TeX/LaTeX (sollte gehen, denke ich)
- Mail (bislang Thunderbird; vielleicht auch wieder fetchmail, exim, mutt) und Browser (Firefox, aktuell?)

Ciao,
Photor
 

pit234a

Well-Known Member
#11
Bildbearbeitung (eventuell schwierig)
GIMP geht gut

- TeX/LaTeX (sollte gehen, denke ich)
Geht sicher, es gibt hier Artikel dazu. @ralli hatte was dazu geschrieben und auch sein Setup gepostet, das da scheinbar Sinn macht.

- Mail (bislang Thunderbird; vielleicht auch wieder fetchmail, exim, mutt) und Browser (Firefox, aktuell?)
Thunderbird geht sicher, ich nutze Claws-Mail als Client und GPG damit. fetchmail und mutt habe ich schon gelesen, es hat mich eher abgeschreckt als Client-Lösung, sollte aber unter FreeBSD laufen.
Browser ist sicher Firefox gesetzt. Die letzte Version gibt es ziemlich zeitnah als Port. Ich nutze nur Pakete. Die Pakete aus Latest sind immer recht aktuell (aktueller, als ich Updates mache) und in Quarterly hat man einen entsprechenden Versatz. Außerdem mache ich einigermaßen gute Erfahrungen mit Cliqz, wenn man nicht zuviel davon erwartet ;) und durchwachsene Erfahrungen mit midori. Opera geht gut und lässt sich gut konfigurieren. Ich nutze den für die Steuerungen von Web-Interfaces innerhalb des heimischen Netzes ganz gerne.
Chrome ging bei einem Test vor Monaten auch anständig, mir aber auch anständig auf die Nerven. Es gibt da wohl eine Version, die voreingestellt die vielen hauseigenen Unarten schon eliminiert hat, aber ich habe dann gar nicht mehr weiter gesucht.

Als Nutzer von Arch bist du ja nicht wie ein Nutzer von Ubuntu, der glaubt, FreeBSD müsse nun ein anderes Ubuntu sein weil es ja schließlich auch OpenSource ist. Was ich meine ist, dass du ja weißt, was du möchtest. Du brauchst sicher keinen grafischen SW-Manager und solchen Schnickschnack, wie ihn die "installier dir doch noch ne App"- Generation von heute am liebsten nutzt. Und deshalb denke ich, dass du auch dein eigenes FreeBSD im Handumdrehen selbst aufgebaut und installiert hast und das halte ich immer für besser, als irgendeine fertig-Lösung zu nehmen.
Der nomad-Installer soll gut funktionieren und natürlich kann man so mal anfangen und hat superschnell ein gutes FreeBSD-Desktop-System installiert, aber halt auch mit solchen Anwendungen, die eben @marcel ausgesucht hat und die du vielleicht ganz anders haben möchtest (wie eben XFCE).
Deshalb denke ich, dass der Weg über eine eigene Neuinstallation für dich besser sein wird.

In VirtualBox war ich mit BSD's als Desktop nie zufrieden. Windows oder Ubuntu integriert sich da viel besser und flotter.
Du kannst aber die VM benutzen und einfach nach Paketen suchen. Die Formel: "gibt es ein Paket, dann geht es auch einfach mit FreeBSD" stimmt zwar leider nicht immer, aber doch ziemlich oft. Einfaches pkg search thunder zeigt dann unter anderen auch einen Treffer für thunderbird in der verfügbaren Version. Solch eine Suche zeigt mir auch ein Paket für shotwell, sollte also gehen...

Edit PS: natürlich kann man auch mit nomad Pakete suchen, ohne sie gleich installieren zu müssen.
 

medV2

Well-Known Member
#12
Zur LUKS/LVM Thematik: Linux kann mit cryptsetup-reencrypt die Verschlüsselung und LUKS Header entfernen. Das geht inplace, allerdings nicht aus dem laufenden System.

LVM kann FeeBSD anschließend lesen, wenn du als FS ext3/4 verwendest, auch das.
 

pit234a

Well-Known Member
#13
nur so als Side-Kick: Warum ganze Dateisysteme verkrypten? Besonders im privaten Umfeld?

Ich bin davon nie begeistert gewesen und habe sehr viele unschöne Erfahrungen damit machen müssen.
Viel besser ist es in meinen Augen, Dateien und Verzeichnisse gezielt mit GPG zu verschlüsseln. GPG geht jedenfalls in OS-X und GNU/Linux und FreeBSD und wahrscheinlich auch überall sonst, was ich aber wirklich nicht probiert habe.
Ich fühle mich damit sowohl sicher, als auch portable.

Ein Dateisystem muss zum Gebrauch entschlüsselt werden, logisch. Gelingt das nicht, ist es für alle Systeme verloren und im schlimmsten Fall die Daten futsch, weil ein Mechanismus versagt.
Ist das Dateisystem zum Gebrauch entschlüsselt, liegt es für jeden Angreifer offen im System.
Das gilt natürlich auch für meine gezielt mit GPG verschlüsselten Dateien. Nur, die öffne ich eben auch gezielt genau dann, wenn ich sie brauche und nicht automatisch mit dem Dateisystem. Die Verweildauer der entschlüsselten Dateien mit wichtigen Daten kann so minimiert werden, wenn man das wirklich beachtet.

Ist leicht komplizierter, gefällt mir aber sehr viel besser und ich nutze einen Mechanismus, der auf allen meinen Systemen jedenfalls gut funktioniert. Mit gleicher Syntax aus der Konsole.

Wie das mit Windows geht, weiß ich nicht, soll aber auch GPG können, wie ich gelesen habe.
 

medV2

Well-Known Member
#14
nur so als Side-Kick: Warum ganze Dateisysteme verkrypten? Besonders im privaten Umfeld?

Ich bin davon nie begeistert gewesen und habe sehr viele unschöne Erfahrungen damit machen müssen.
Viel besser ist es in meinen Augen, Dateien und Verzeichnisse gezielt mit GPG zu verschlüsseln. GPG geht jedenfalls in OS-X und GNU/Linux und FreeBSD und wahrscheinlich auch überall sonst, was ich aber wirklich nicht probiert habe.
Ich fühle mich damit sowohl sicher, als auch portable.
Wer garantiert dir, dass Dateifragmente nicht im unverschlüsseltem Swap landen? Kannst du garantieren dass ein Programm nicht irgendwo eine tmp-Datei anlegt? Was ist wenn ein Programm abstürzt und einen Coredump schreibt?

Ein Dateisystem muss zum Gebrauch entschlüsselt werden, logisch. Gelingt das nicht, ist es für alle Systeme verloren und im schlimmsten Fall die Daten futsch, weil ein Mechanismus versagt.
Ist das Dateisystem zum Gebrauch entschlüsselt, liegt es für jeden Angreifer offen im System.
Das gilt natürlich auch für meine gezielt mit GPG verschlüsselten Dateien. Nur, die öffne ich eben auch gezielt genau dann, wenn ich sie brauche und nicht automatisch mit dem Dateisystem. Die Verweildauer der entschlüsselten Dateien mit wichtigen Daten kann so minimiert werden, wenn man das wirklich beachtet.

Ist leicht komplizierter, gefällt mir aber sehr viel besser und ich nutze einen Mechanismus, der auf allen meinen Systemen jedenfalls gut funktioniert. Mit gleicher Syntax aus der Konsole.

Wie das mit Windows geht, weiß ich nicht, soll aber auch GPG können, wie ich gelesen habe.
Gegen Datenverlust hilft im allgemeinen ein Backup. Ein Encryptionlayer auf Blockebene hat nicht mehr komplexität als ein Raid oder ein Volumemanager. Die müsste man dann auch ablehnen.

Auch ist GPG lachhaft langsam im Vergleich zu cryptsetup, geli und Co.

Auch hintert dich der Blocklayer nicht daran nochmal gezielt Daten mit GPG zu verschlüsseln, wenn der Anwendungsfall der Schutz im laufenden Betrieb ist. Dafür ist Blocklayercypt nicht vorgesehen.

Für mich gilt aber: Es ist mir unbegreiflich es NICHT zu verwenden, es gibt keinen Performancenachteil (auf halbwegs aktueller Desktop/Server HW). Man muss eben ein PW mehr eingeben, aber auch nicht, wenn man Suspend verwendet.

Der Feind ist im privaten Bereich nicht der Politisch-Industrielle Komplex oder die NSA mit Coolboot-Attacken und differenzieller Kryptoanalyse. Der Feind ist der Dieb der im Zug mein Notebook klaut, oder auch meine Blödheit wenn ich das NB im Coffeeshop liegen lasse.
Oder auch der Einbrecher der meinen PC mitnimmt.
Theoretisch noch die Polizei, die aufgrund falscher Verdächtigungen meine Sachen beschlagnahmt.

Für all diese Fälle ist der Blocklayer die einfachste und bequemste Schicht um diese Sicherheit zu implementieren.
 

morromett

Well-Known Member
#15
Ich möchte NomadBSD dazu nutzen, um zu testen, ob und wie gut meine Hardware (Lenovo ThinkPad T440s) mit FreeBSD funktioniert ...
Ja, das kann man machen. Aber was nicht geht, ist das testen verschiedener Hardware. D. h. wenn mit NomadBSD (während der Installation) automatische Hardware-Erkennung und danach die Konfiguration gemacht worden ist, kannst Du den USB-Stick (mit NomadBSD als OS) nicht mehr auf anderer unterschiedlicher Hardware benutzen (.. so wie das Du evtl. von der klassischen Knoppix-Live-CD/DVD kennst). NomadBSD ist dann an diese Hardware "gebunden".
 

marcel

Well-Known Member
#16
Ja, das kann man machen. Aber was nicht geht, ist das testen verschiedener Hardware. D. h. wenn mit NomadBSD (während der Installation) automatische Hardware-Erkennung und danach die Konfiguration gemacht worden ist, kannst Du den USB-Stick (mit NomadBSD als OS) nicht mehr auf anderer unterschiedlicher Hardware benutzen (.. so wie das Du evtl. von der klassischen Knoppix-Live-CD/DVD kennst). NomadBSD ist dann an diese Hardware "gebunden".
Das Setup legt lediglich die Home-Partition an, setzt ein Passwort, die Zeitzone, Lokalisation und Standardanwendungen. Die Harware-Erkennung -und Einrichtung findet bei jedem Bootvorgang statt. Treiber werden nachgeladen, wenn z.B. neue USB-Geräte zur Laufzeit eingesteckt werden.
 

pit234a

Well-Known Member
#17
Wer garantiert dir, dass Dateifragmente nicht im unverschlüsseltem Swap landen? Kannst du garantieren dass ein Programm nicht irgendwo eine tmp-Datei anlegt? Was ist wenn ein Programm abstürzt und einen Coredump schreibt?
Ja, das versteh ich jetzt nicht, das macht es alles doch auch bei verschlüsselten Dateisystemen. Verschlüsselung von ganzen Datenträgern oder Partitionen schützt doch nur genau davor:
Der Feind ist im privaten Bereich nicht der Politisch-Industrielle Komplex oder die NSA mit Coolboot-Attacken und differenzieller Kryptoanalyse. Der Feind ist der Dieb der im Zug mein Notebook klaut, oder auch meine Blödheit wenn ich das NB im Coffeeshop liegen lasse.
Oder auch der Einbrecher der meinen PC mitnimmt.
Theoretisch noch die Polizei, die aufgrund falscher Verdächtigungen meine Sachen beschlagnahmt.

Für all diese Fälle ist der Blocklayer die einfachste und bequemste Schicht um diese Sicherheit zu implementieren.
Die Polizei nehme ich mal weg, mit denen würde ich zusammen arbeiten, weil ich ja einer der Guten bin.
Den Rest habe ich wohl ziemlich gut im Griff, auch ohne Verschlüsselung der Dateisysteme. Ich habe so gut wie gar nichts, was irgendwie wichtig ist auf meinen PCs und die ganz wenigen Sachen, die ich anderen nicht ohne Weiteres zeigen will, sind ja GPG verschlüsselt. Das ist für mich eben noch einfacher und wie gesagt, auch Portabel. Ich kann so meinen Stick in allen meinen Systemen verwenden.

Für mich gilt aber: Es ist mir unbegreiflich es NICHT zu verwenden, es gibt keinen Performancenachteil (auf halbwegs aktueller Desktop/Server HW). Man muss eben ein PW mehr eingeben, aber auch nicht, wenn man Suspend verwendet.
Gut, dass man unterschiedliche Meinungen zu solchen Dingen haben kann!
 

medV2

Well-Known Member
#18
Ja, das versteh ich jetzt nicht, das macht es alles doch auch bei verschlüsselten Dateisystemen. Verschlüsselung von ganzen Datenträgern oder Partitionen schützt doch nur genau davor:
Nein, wenn alles verschlüsselt ist eben auch die Swappartition, /tmp (wenn nicht ohnehin auf tmpfs) und sonstige Pfade auf die irgend ein Programm mal was ablegen könnte.

Die Polizei nehme ich mal weg, mit denen würde ich zusammen arbeiten, weil ich ja einer der Guten bin.
Puh sprich mal mit nem Strafverteidiger deines Vertrauens, der wird dir da einiges zu dieser naiven Einstellung erzählen :D

Den Rest habe ich wohl ziemlich gut im Griff, auch ohne Verschlüsselung der Dateisysteme. Ich habe so gut wie gar nichts, was irgendwie wichtig ist auf meinen PCs und die ganz wenigen Sachen, die ich anderen nicht ohne Weiteres zeigen will, sind ja GPG verschlüsselt. Das ist für mich eben noch einfacher und wie gesagt, auch Portabel. Ich kann so meinen Stick in allen meinen Systemen verwenden.

Gut, dass man unterschiedliche Meinungen zu solchen Dingen haben kann!
Pff andere Meinungen?!! Also wirklich! ;)

Aber noch ein paar Beispiele weshalb ich mich mit Komplettverschlüsselung wohler fühle: Cookies. Klar melde ich mich von Seiten wie PayPal oder Amazon ab, aber ich könnte nicht beschwören, dass noch nie vergessen zu haben. Oder auch Zugangsdaten zu E-MailAccounts in Thunderbird z.b.

Und was mich auch noch an der GPG Sache stört: Was geschieht mit den Daten, solange sie unverschlüsselt sind? Arbeitest du nur im RAM mit denen? Kannst du das auch garantieren? Auch mit Wipe-Tools wie SRM bekommst bei aktuellen HDs Sektoren nicht mehr zuverlässig überschrieben, bei SSDs schon garnicht.
 

Yamagi

Possessed With Psi Powers
Mitarbeiter
#19
Auch mit Wipe-Tools wie SRM bekommst bei aktuellen HDs Sektoren nicht mehr zuverlässig überschrieben, bei SSDs schon garnicht.
Wobei ich im letzten Sommer beruflich mit einem professionellen Datenforensikunternehmen zu tun hatte und das aus mit TRIM als leer markierten Blöcken von Samsung-SSDs nichts mehr herausbekam. Die einzige, nach Angaben des Unternehmens geringe Chance wäre noch gewesen die Flashs auszulöten und direkt auszulesen. Danach versuchen aus der Binärsuppe wieder strukturierte Daten zusammenzupuzzeln. Das war dem Auftraggeber dann zu teuer.

Aber von solchen Anekdoten mal abgesehen gibt es keinen Grund nicht alle Speichermedien immer komplett zu verschlüsseln. Eine Hausdurchsuchung ist schnell mal passiert, auch wenn man sich keiner Straftat schuldig gemacht hat. Irgendwann geht jedes Speichermedium mal kaputt und wenn sie verschlüsselt waren, kann man sie guten Gewissens einfach in den Müll werfen. Und all die anderen Argumente, die schon genannt wurden.
 

pit234a

Well-Known Member
#20
wir sind damit ein klein wenig OT und ich schlage mal wenigstens den Bogen zu nomad: so viel ich weiß, verschlüsselt es nicht? Weiß es aber auch nicht mehr genau.

Ihr seid ja Profis und ich kann und will nicht gegen professionelle Beurteilungen an stänkern. Das sollte man richtig sehen, ich bin unbedarfter Endanwender.
In meinem Leben habe ich sicher mehr als 20 Fälle erlebt, wo sich jemand von seinen verschlüsselten Daten ausgesperrt hatte und keine Chance mehr blieb, was wieder zu finden. Ich habe in der Zeit nicht einen einzigen Fall erlebt, wo ein Fremder in den Besitz der HW gelangt ist und die hätte auslesen können. Also der typische Fall, der einzige Fall, vor dem Verschlüsselung überhaupt schützt.
Dass das theoretisch auch anders verlaufen kann, ist vollkommen klar. Ich bin halt von meinen Erfahrungen geprägt (und in meinem Leben gibt es tatsächlich wesentlich wichtigere Dinge, also Sachen, um deren Schutz ich mich deutlich mehr sorge, als mein PC und die Daten die darauf sind).

Ich glaube schon, dass ich eure professionellen Urteile und Einwände richtig verstehe und abwägen kann, wie sich das jeweils bei mir verhält und dass ich dann daraus für mich Konsequenzen ziehe und die sehen eben anders aus, als eure Empfehlungen.
Um nicht weiter OT zu werden, möchte ich das nicht im Detail ausführen.

Nur noch einmal nachgefragt, was ich nicht verstehe:
Und was mich auch noch an der GPG Sache stört: Was geschieht mit den Daten, solange sie unverschlüsselt sind? Arbeitest du nur im RAM mit denen? Kannst du das auch garantieren?
Was meint dieser Einwand?
Ich brauche etwas, sehr selten, was GPG verschlüsselt ist und entschlüssele es, drucke es aus, lese oder kopiere die gewünschte Information und benutze sie. Dann schließe ich das wieder. Natürlich bleibt das irgendwo im RAM erhalten oder im tempfs. Und wie macht das nun eine komplett verschlüsselte Partition besser? So lange der Rechner im Betrieb bleibt, sehe ich da das gleiche Gefährdungspotenzial. Oder durchblicke ich da was nicht?
 

mr44er

moderater Moderator
Mitarbeiter
#21
Und wie macht das nun eine komplett verschlüsselte Partition besser?
Du musst dir dann einfach keinen Kopp mehr um irgendwas machen. Nur Backups und nochmal Backups, wie sonst auch.
Der Browserverlauf/Cookies für alle Schmuddelseiten ist verschlüsselt. Es gab mal Zeiten, da stand 'andersartige' Sexualität unter Strafe.
Auch Coredumps sind verschlüsselt, also alles, wirklich alles. Somit kann dein Gerät 'sicher' geklaut werden, an die Dateien kommt keiner.
Wenn das BKA bei dir stürmt, hastig Stecker ziehen und du bist auf der sicheren Seite.

Bogen zu nomad: so viel ich weiß, verschlüsselt es nicht?
Es kann, der Wizard fragt bei Ersteinrichtung.

Die Polizei nehme ich mal weg, mit denen würde ich zusammen arbeiten, weil ich ja einer der Guten bin.
Gut gemeinter Rat aus Erfahrung: Niemals mit der Polizei kooperieren.
1. Wird gerne ALLES gegen dich gedreht, damit der Einsaz gerechtfertigt war.
2. Du magst ein Guter sein. Wer garantiert dir, dass der Polizist ein Guter ist?
 

Azazyel

Well-Known Member
#22
Das hatte ich mir schon gedacht. Dabei geht es mir hauptsächlich darum, mir meine Daten auf die BSD-Seite zu ziehen. Dafür gibt es andere Optionen: z.B. Cloud oder anderes gemeinsames Speichermedium.
Es gäbe noch bei halbwegs aktueller Hardware OPAL, das aber noch einige Schwachstellen hat(te). Die Implementierung ist leider bei allen mir bekannten Herstellern closed source, d.h. mit entsprechender Vorsicht zu genießen.

Nach der einmaligen Passworteingabe beim Start des Rechners ist die Verschlüsselung für alle Betriebssysteme transparent, d.h. man kann von einer laufenden BSD-Installation nahtlos eine NTFS-Partition mounten und hat trotzdem data at rest encryption für alles, ohne dass man im Betriebssystem eine Verschlüsselung konfigurieren müsste.

In meinem Leben habe ich sicher mehr als 20 Fälle erlebt, wo sich jemand von seinen verschlüsselten Daten ausgesperrt hatte und keine Chance mehr blieb, was wieder zu finden. Ich habe in der Zeit nicht einen einzigen Fall erlebt, wo ein Fremder in den Besitz der HW gelangt ist und die hätte auslesen können. Also der typische Fall, der einzige Fall, vor dem Verschlüsselung überhaupt schützt.
In meinem Bekanntenkreis sind aber auch einige Leute bei Autounfällen ums Leben gekommen, alle ohne Alkoholeinfluss. Dementsprechend sollte ich nur besoffen fahren, ist sicherer. ;)

Mein Bekanntenkreis weist deutlich mehr geklaute Laptops als Datenverluste durch Verschlüsselung auf; man braucht nur den passenden Bekanntenkreis. Im beruflichen Umfeld kann ein geklauter nichtverschlüsselter Laptop aber auch schnell juristische Implikationen haben, die man lieber vermeiden möchte.

Ich brauche etwas, sehr selten, was GPG verschlüsselt ist und entschlüssele es, drucke es aus, lese oder kopiere die gewünschte Information und benutze sie. Dann schließe ich das wieder.
Du musst dein GPG-Archiv gelegentlich auch mal aktualisieren? Manuelle Prozesse sind prinzipiell sehr fehleranfällig.

Natürlich bleibt das irgendwo im RAM erhalten oder im tempfs. Und wie macht das nun eine komplett verschlüsselte Partition besser? So lange der Rechner im Betrieb bleibt, sehe ich da das gleiche Gefährdungspotenzial. Oder durchblicke ich da was nicht?
Du hast keinerlei Kontrolle und Überblick, was welche Anwendung wo wie zwischenspeichert, in ~/.cache vorhält oder anderweitig persistiert. Selbst wenn du heute eine Bestandsaufnahme all deiner verwendeten Software machst - was völlig unrealistisch ist -, kann sich das morgen durch ein Versionsupdate ändern. Damit liegen deine Daten jederzeit potenziell im Klartext auf einem nichtflüchtigen Speicher.

Du magst ein Guter sein. Wer garantiert dir, dass der Polizist ein Guter ist?
Zumal sich Definition von "gut" auch schnell ändern kann. Ich bin mir sicher, wir finden in den Dateien von pit234a (und nicht nur seinen) etwas, was ohne Kontext für einen Shitstorm samt öffentlicher Hinrichtung allemal ausreicht - wenn nicht heute, dann mit dem politischen, gesellschaftlichen und strafrechtlichen Zeitgeist in 10 oder 20 Jahren.

Notfalls kann man auf dem unverschlüsselten Dateisystem auch einfach ein paar kompromitierende Dateien draufkopieren. Schließlich hat sich pit234a mit seiner Kritik in öffentlichen Foren gegen den Angriffskri..., äh, Friedeneinsatz in Syrien bei der Regierung doch recht unbeliebt gemacht. Mit seiner Kritik an der "gesunden Härte" vieler heutiger Polizeieinsätze hatte er sich auch keine Freunde bei den Vollzugsbeamten gemacht - wie schnell findet etwas Kinderpornographie doch ihren Weg auf eine beschlagnahmte Festplatte. Er hatte aber Glück im Unglück und kam mit zwei Jahren Bewährungsstrafe davon.

Nachdem pit234a leider nur einen Teil seiner Daten verschlüsselt hatte und durch den PDF-Render-Cache von $DOCUMENT_VIEWER seit Version 67.9 all seine gescannten PDFs im Dateisystem lagen, hat seine Reputation genausowenig die "versehentliche" Veröffentlichung seiner Daten überlebt wie sein Arbeitsplatz - seine vielen alten Tankrechnungen und schnitzellastigen Restaurantbelege waren im Jahre 2034, dem 15. Jahr der Klimakatastrophe, nicht entschuldbar. Der nachfolgende Shitstorm zwang seinen Arbeitgeber, ihn aufgrund der Auswirkung auf die Außendarstellung des Unternehmens zu entlassen. Leider war er inzwischen zu alt und zu berüchtigt, um noch einen neuen Job zu finden.

Seine Erwiderung, er hätte damals in einem Dorf ohne Öffis gewohnt und im Auftrag seines Arbeitgebers Kunden zu Geschäftsessen eingeladen, war dann auch nur noch eine Fußnote der Geschichte...
 

morromett

Well-Known Member
#23
Die Harware-Erkennung -und Einrichtung findet bei jedem Bootvorgang statt.
Auch dann wenn man zum ausführlichen testen (der vorhandenen Grafikkarte) eine gerätespezifische Konfiguration, wie z. B. lt. Handbuch möglich:
Disabling automatic graphics driver setup
If you want to create your own graphics driver settings, you can disable initgfx by adding
initgfx_enable="NO" to /etc/rc.conf.
gemacht hat?
Ich denke, wer FreeBSD (statt NomadBSD) auf seinem Gerät installieren will, wird nicht die generischen Treiber für die Grafikkarte & Co. benutzen wollen.
 

Zirias

Well-Known Member
#24
Wer garantiert dir, dass Dateifragmente nicht im unverschlüsseltem Swap landen? Kannst du garantieren dass ein Programm nicht irgendwo eine tmp-Datei anlegt? Was ist wenn ein Programm abstürzt und einen Coredump schreibt?
Ja, das versteh ich jetzt nicht, das macht es alles doch auch bei verschlüsselten Dateisystemen.
Klar, wenn wirklich ALLE Dateisysteme verschlüsselt sind. Dann kannst du auch gleich die Platte auf dem Block-Layer verschlüsseln, das ist wie bereits erwähnt effizienter. Programme schreiben z.B. nach /tmp oder irgendwo ins Homeverzeichnis oder zig andere Stellen, wenn man also nur einzelne Dateisysteme oder gar Dateien verschlüsselt ist das Risiko extrem hoch, dass eigentlich verschlüsselt geglaubte Daten irgendwo in einen unverschlüsselten Bereich "leaken" -- sollte nicht so schwer zu verstehen sein ;)
Die Polizei nehme ich mal weg, mit denen würde ich zusammen arbeiten, weil ich ja einer der Guten bin.
Klingt nach "ich habe ja nichts zu verbergen", und das ist wirklich sehr naiv. Da wir hier im Thread schon bei Anekdoten sind: Im Bekanntenkreis meiner Familie kam es schon vor, dass jemand fälschlicherweise in einen Verdacht geraten ist. Das Resultat war eine Polizeiaktion um 5 Uhr morgens, bei der alle Computer mitgenommen wurden. Heraus kam dabei nichts, aber wie fühlt man sich wohl, wenn man weiß, dass irgendein Polizist jetzt alle privaten Daten einsehen kann? Ich habe durchaus großes Vertrauen in unsere Polizei, das heißt aber weder, dass ich davon ausgehe, dort würden nie Fehler passieren, noch dass ich jedem einzelnen Polizisten gerne mein komplettes Privatleben offenlegen möchte.
 
Themenstarter #25
Hallo Forum,

die Diskussion über die Verschlüsselung lasse ich mal bei Seite (ich weiß, warum ich das will).

Ich habe heute mal XFCE mittels „pkg install xfce“ (plus ein paar Zusatztools) auf dem Nomad-Stick installiert. Die Frage ist nun, wie boote ich in diese Oberfläche?

Ich habe gesehen, dass in ~/.xinitrc ein auskommentierter Eintrag für XFCE existiert, den ich aktiviert habe (den letzten Eintrag für Openbox habe ich deaktivier).

Wenn ich mich jetzt aber abmelde und wieder als User nomad einlogge, werden beide DEs gezeigt: ich habe sowohl Panel als auch Plank/Panel von XFCE und Openbox. Das ist irgendwie schwierig zu bedienen.

Wo stelle ich XFCE als alleinige DE ein? wahlweise würde ich auch in slim(?) booten und den User Nomad so lassen, wie es ist und einen User photor anlegen, der dann XFCE nutzt.

Ciao,
Photor