/root verschlüsseln?

[Clownish]

Hallo,

Da seit 4.4 meine Wlan-Karte endlich wpa unterstützt, will ich jetzt auch das Linux auf dem Laptop durch ein OBSD ersetzen. Unter dem Linux war alles außer Boot verschlüsselt, ist so etwas auch unter OBSD möglich? Habe bis jetzt nur Anleitungen zum verschlüsseln von /home gefunden.

Und sollte es möglich sein: ist es denn überhaupt sinnvoll? Mein Gedanke dahinter war immer das ich mir halt keine Sorgen machen muss das irgendwelche temporären Dateien irgendwo unverschlüsselt auf der Platte "rummgeistern".

LG,
Fabian

 

[hades]

Und sollte es möglich sein: ist es denn überhaupt sinnvoll? Mein Gedanke dahinter war immer das ich mir halt keine Sorgen machen muss das irgendwelche temporären Dateien irgendwo unverschlüsselt auf der Platte "rummgeistern".

Prinzipiell sollte es reichen wenn Du /home und gegebenenfalls noch /tmp und /var verschlüsselst, was ja auch kein größeres Problem darstellt.
Alles was auf die swap-Partition geschrieben wird, ist (sofern Du nicht an den sysctl-Einstellungen gespielt hast) sowieso verschlüsselt:

[andreash@persephone: /home/andreash]>sysctl -a | grep swapencrypt 
vm.swapencrypt.enable=1

Auf die Rootpartition werden jedenfalls direkt keine temporären Dateien geschrieben, wenn Du /usr nicht verschlüsselst, kann man höchstens feststellen, welche Programme Du benutzt.

 

[soul_rebel]

Die History des Root-accounts will man aber vielleicht nicht unverschlüsselt lassen...

 

[hades]

Die History des Root-accounts will man aber vielleicht nicht unverschlüsselt lassen...

Gut - das ist einerseits Glaubenssache, andererseits, welche History? Die kannst Du doch einfach gar nicht anlegen.

 

[Clownish]

Kann man denn /usr überhaupt verschlüsseln? Würden mir dann nicht die tools zum entschlüssen fehlen?
Oder, ist es vielleicht möglich /root komplett auf einem usb stick zu installieren, und dann so zu booten?

LG,
Fabian

 

[soul_rebel]

Gut - das ist einerseits Glaubenssache, andererseits, welche History? Die kannst Du doch einfach gar nicht anlegen.

Die Bash/Csh-History meine ich. Wie genau würde ich denn das Anlegen verhindern?

 

[C_A]

In der Bash wird dazu die Shell Variable HISTFILE ausgewertet.

If unset, the command history is not saved when an interactive shell exits.

 

[Amin]

Kann man denn /usr überhaupt verschlüsseln? Würden mir dann nicht die tools zum entschlüssen fehlen?

Soweit mir bekannt, kannst du die gesamtre Platte verschlüsseln und wirst im Bootscreen nach dem Passwort gefragt. Geht ja bei Windows mit Truecrypt ja auch.
Übrigens:

Die Möglichkeit, die root-Partition zu verschlüsseln. Um auf die verschlüsselte root-Partition zugreifen zu können, muss beim Systemstart die Passphrase eingegeben werden.

Quelle: http://www.freebsd.org/doc/de_DE.ISO8859-1/books/handbook/disks-encrypting.html

 

[Columbo0815]

Quelle: http://www.freebsd.org/doc/de_DE.ISO8859-1/books/handbook/disks-encrypting.html

Nur das es hier um OpenBSD geht...

 

[Amin]

Ups! Sorry, sieht man leider so schlecht, wenn man immer über das Portal/Startseite die Beiträge liest.

 

[mapet]

Die Bash/Csh-History meine ich. Wie genau würde ich denn das Anlegen verhindern?

die wird unter OpenBSD (standardmäßig ksh) beim ausloggen gelöscht.

 

[soul_rebel]

die wird unter OpenBSD (standardmäßig ksh) beim ausloggen gelöscht.

Interessant, ist mir noch garnicht aufgefallen. Gute Sache das.

 

[Clownish]

Kann man denn /usr überhaupt verschlüsseln? Würden mir dann nicht die tools zum entschlüssen fehlen?
Oder, ist es vielleicht möglich /root komplett auf einem usb stick zu installieren, und dann so zu booten?

LG,
Fabian

Kann da vielleicht noch mal jemand drauf Bezug nehmen?

Fabian

 

[xbit]

Naja, damit Du /usr verschluesseln kannst, muessen die Tools zum Entschluesseln auf dem root FS (/) liegen. vnconfig liegt zB in /sbin, daher sollte das funktionieren. Ausprobiert habe ich es allerdings noch nicht.

Zur History: Automatisches loeschen oder nicht... Wenn man sudo verwendet, landet der Aufruf doch in der eigenen History, die dann verschluesselt ist, wenn /home verschluesselt wird. Und sudo su - muss man dann natuerlich meiden.