/(root) Verschlüsselung für DF! (mit LUKS!)

Athaba

Libellenliebhaber
Hallo!

Nur ein kleines Heads up, damit das Forum nicht so leer steht. Ein neues Feature, das mich sehr freut. Ist zwar nicht das das Einzige woran gearbeitet wurde und wird, aber ich habe schon sehnsüchtigst auf Festplattenverschlüsselung gewartet.

DragonFly hat sich ein paar Dinge von Linux bzw. von NetBSD ausgeborgt und unterstützt jetzt initrd, dm, lvm2 und cryptsetzup/LUKS!

Das heißt man kann jetzt die Rootpartition (/) verschlüsseln. Nach den selben Prinzip, das heißt sogar mit den selben Tools, wie unter GNU/Linux.

Eine Anleitung zur Verwendung gibt es in dieser Mail:
http://leaf.dragonflybsd.org/mailarchive/users/2010-07/msg00036.html
 
Zuletzt bearbeitet:
Fällt das nicht unter die GPL, wenn das Zeug von Linux kommt, oder wurde alles neu implementiert?
 
Beim Userland-Teil ist das ja nicht so schlimm. :) Freut mich natürlich für euch.
 
Wow, das hörts ich ja gut an. Wie sieht es dann aus mit einem gemeinsamen Dateisystem? Ist der Ext2-Support ähnlich wie bei FreeBSD, d.h. nicht so besonders (oder gar noch schlechter?).
Sonst wäre das die erste funktionierende bsd<->linux-crypto…
 
Ext2 sollte wohl funktionieren. Aber FAT (und eventuell NTFS) ist ja fast interessanter, wenn man wirklich plattformunabhängig sein will. Das läuft unter BSD, Linux, Windows (FreeOTFE existiert als LUKS für Windows). Außerdem war ja auch mal HAMMER für Linux in Planung. Weiß nicht, was daraus geworden ist:
http://dlorch.github.com/hammer-linux/

Was ist den mit Ex2 unter FreeBSD? Unter DragonFly hatte ich eigentlich nie Probleme mit Dateisystemen. Ich hatte schon DragonFly und Windows bzw. DF und Linux in Parallelbetrieb, aber derzeit leider nicht.

Ich habe gerade kein System, wo ich das probieren könnte.

Da es ziemlich neu ist, hat es wohl noch niemand probiert. Fahre derzeit nur Releases und alle Rechner sind ohne Linux.

Vielleicht setzt ich später mal eine VM auf und probiere es, aber derzeit habe ich nicht so viel Zeit bzw. Lust dafür. Werkle nebenbei gerade an etwas Anderem.
 
VirtualBox installiert gerade... Ich hoffe mal die Tags werden wahrgenommen.
 
Zuletzt bearbeitet:
Athaba schrieb:
Was ist den mit Ex2 unter FreeBSD?
Ext2 ist in FreeBSD 8.x so lala, funktioniert, könnte aber im Großen und Ganzen besser sein. In 9-CURRENT ist Ext2 größtenteils reimplementiert und steht vollständig unter der BSD-Lizenz. Diese neue Implementation ist wesentlich besser und wäre aufgrund der Lizenz sicher auch für andere BSDs interessant.
 
Sehr schoene Nachrichten. Wenn das jetzt noch nach FreeBSD portiert wuerde stuende der Weltherrschaft nichts mehr im Wege.
 
Bin gestern leider nicht mehr dazugekommen es zu testen. Habe nur schnell ein Slackware in die VM gepackt und lade gerade einen DragonFly-Snapshot und sag dann Bescheid.

EDIT: Der Snapshot ist wohl ein wenig instabil. cryptsetup segfaults. Außerdem macht VB Probleme. Ich werde mich wohl noch etwas gedulden. Witzigerweise spuckt cryptsetup auch unter Linux einen (bekannten) Fehler aus.

Mich würde es aber wundern, wenn es nicht gehen würde. Es sollte ja unter beiden System das Selbe passieren.
 
Zuletzt bearbeitet:
Ext2 sollte wohl funktionieren. Aber FAT (und eventuell NTFS) ist ja fast interessanter, wenn man wirklich plattformunabhängig sein will. Das läuft unter BSD, Linux, Windows (FreeOTFE existiert als LUKS für Windows). Außerdem war ja auch mal HAMMER für Linux in Planung. Weiß nicht, was daraus geworden ist:
http://dlorch.github.com/hammer-linux/
Ist mir eigentlich latte ob ext2 oder ntfs, ich hatte immer das Gefühl, dass ntfs noch schlechter unterstützt wird. fat32 kommt wegen diversen Sachen (besonders der Größenbeschränkung von Dateien) nicht in Frage.

Wenn ext2 sauber funktioniert, wäre vielleicht Linux+DfBSD ne mögliche Kombination für den Laptop. Ohne gemeinsame Crypto können da schlecht zwei Betriebsysteme koexistieren (das Rumgeraffel hab ich Leid).
 
Ich musste mich mit der Frage jetzt schon eine Weile zurückhalten, aber beim nochmaligen Lesen des Threads stellte sie sich schonwieder:
Was ist so toll an LUKS? Was kann das, was ein geli nicht kann? Schließlich zieht man sich damit ja auch einiges an GPL Code.
In der Benutzung kam es mir persönlich verglichen mit geom/geli auch eher wie ein zusammengehacktes Patchwork vor.

Und in bezug auf romans Comment: Was ist an LVM so toll? Ich mag ZFS verwöhnt sein, aber auch LVM kommt mir an einigen stellen eher "zusammengehackt" vor.

/Edit: Es ist nicht! meine Intention einen Flame zu starten. Ich bin einfach in bezug auf diese Linuxismen etwas unwissend.
 
Es ist nichts toller an Luks als an Geli, aber das Rumgehampel beim austausch von Daten (auch und v.a. via verschlüsselten Containern) ist ein Armutszeugnis für die Opensource-Landschaft. Linux könnte ruhig mehr *BSD-Mechanismen implementieren und umgekehrt. Davon würde die Opensource-Welt nur profitieren... :) Dann könnte man auch einfach auf jedem System in der Praxis testen, was besser ist und nicht aufgrund der Architektur. KDE ist dank QT auch in der Architektur besser. Für die Praxis bedeutet das aber nicht einen definitiven Gewinn :)
 
initrd wurde portiert und diese Funktionalität ist eine nette Beispielanwendung.

Man könnte wohl genau so gut fragen, was an geli besser ist. Klar, es steht unter der BSDL, aber auch wenn die DragonFly-Programmierer diese Lizenz wohl wie die Meisten bevorzugen ist die Gewichtung anders, als zum Beispiel beim OpenBSD-Projekt.

Mir persönlich gefällt das auf Grund meiner geplanten Einsatzzwecke ganz gut. Ich bin zwar ziemlich früh auf ZFS aufmerksam geworden, weil ich mich bei dessen Entstehung gerade mit OpenSolaris beschäftigt habe und hatte ein paar Bedenken, als HAMMER angekündigt wurde. Mittlerweile finde ich aber, dass HAMMER irgendwie logischer ist. Nicht auf Grund irgendwelcher technischer Vorteile sondern weil es sich meiner Meinung nach besser ist System einfügt, als ZFS das bei FreeBSD tut. Wie gesagt ist es aber eine persönliche Meinung.

Ich habe geli nur relativ kurz verwendet und kenne deshalb die Stärken und Schwächen nicht, aber ich nehme an, dass auch geli genommen hätte, wenn jemand bereit gewesen wäre es zu portieren.

DragonFly ist Open Source. Da landet das drin, was programmiert und als gut genug erachtet wird. Okay, letzteres ist zwar nicht überall eine Hürde aber zumindest bei den BSDs, die ich so kenne und nutze schon.
 
Ich weiss noch, wie ein Sturm der Entrüstung mir in #bsdforen.de entgegengeschlagen ist, als ich es nicht so toll fand, dass FreeBSD keine Vollverschlüsselung unterstützt. Und wo man mich sinnvollerweise totargumentieren wollte, dass das ja total sinnlos und unnötig sei.

Wo sind diese Leute jetzt? Manchmal kommt es mir so vor, dass da immer nur dann dieser Sturm im Wasserglas aufkommt, weil "$Feature" nicht in *BSD implementiert ist, aber ein Zugeben den Allmachtsanspruch von *BSD gefährden könnte.

Was eine Farce...
 
FreeBSD unterstützt Vollverschlüsselung. Und das nicht erst seit gestern.
 
Es ist meines Wissens nicht möglich, alles ausser einer Boot-Partition zu verschlüsseln und dass direkt von /boot gebootet werden kann.
 
Verschlüsselte home-Verzeichnisse und verschlüsseltes /var/db hätten wohl ihre Berechtigung.
 
Jepp,
/home
/var (auch /var/log!)
/tmp, sofern /tmp nicht tmpfs ist oder auf /var/tmp zeigt

Wenn man noch geheime Programme installiert hat, vielleicht sogar /usr ;)

Der Rest ist m.E. Unsinn. Wobei man vielleicht dann noch ausstellen sollte, dass Programme, die von root gestartet wurden nach / dumpen.
 
Man kann den Pfad für Coredumps ändern: kern.corefile=/tmp/%N.core speichert alles nach /tmp/prozessname.core
 
Man kann aber Rootverschlüsselung auch verwenden um die Installation von Sachen wie Bundestrojanern zu verhindern. Da hieß es doch, der wird offline installiert :D

Aber mal im Ernst. /etc liegt meist auf der selben Partition und wenn man aus welchem Grund auch immer eine große Rootpartition machen will, dann ist es sicherlich ganz brauchbar. Ist zwar bei mir nicht so, aber ich weiß, dass das bei vielen so ist. BSD wird für die verschiedensten Sachen verwendet, also ist es schwer das so pauschal zu sagen. Ich habe meine schützenswerten Sachen auch lieber beisammen, vor allem damit ich Übersicht habe und mir beim Backup leichter tu.

Ich habe mich vor allem deshalb gefreut, weil ich jetzt (bzw. dann beim nächsten Release) nicht mehr auf Software zurückgreifen muss, die nicht schon mit dem System kommt. Swapverschlüsselung ist auch nett und eigentlich elementar.
 
Zurück
Oben