etwas Kummer mit dm-crypt

30/08/2009 - 02:36 von Christian Baer | Report spam
Hallo liebe Leute!

Wie man anhand der Zeit erkennen kann, schlage ich mir gerade eine Nacht
um die Ohren. Wofür sind Computer sonst auch gut als einen Menschen
nàchtelang zu beschàftigen. :-P

Mit Verschlüsselungssoftware habe ich schon so einige Erfahrungen
gemacht. Unter Windows mit Truecrypt, unter Unix mit geli (FreeBSD) und
cgd (NetBSD). Von den beiden gefàllt mir geli deutlich besser von der
Handhabung. Von der Sicherheit her werden beide gleichauf liegen (AES
oder Blowfish mit cbc - 3DES nutzt wohl keiner mehr ernsthaft).

Um jetzt mal erste Erfahrungen zu sammeln, habe ich mal versucht, /tmp
zu verschlüsseln. Damit es da keine Probleme gibt und ich mich nicht mit
einem lvm rumschlagen muß, habe ich dafür einfach eine eigene Partition
vorgesehen: sda8.

Was mir zunàchst aufgefallen ist (sofern ich die HowTos nicht alle
falsch deute): Der Devicename àndert sich scheinbar nicht. Das ist bei
BSD anders. Verschlüssel ich die ganze Festplatte, z.B. /dev/ad1, dann
wird nach dem "attach" (entspricht etwa luksOpen) ein neues Geràt
erstellt (/dev/ad1.eli). Ab dann ist /dev/ad1 für Zugriffe gesperrt und
es würde auch das neue Geràt gemountet werden. Ist das bei dm-crypt
anders oder habe ich das nur falsch verstanden? Sollte ich das falsch
verstanden haben, würde das mein Problem erklàren.

Damit /tmp bei jedem Systemstart neu gemacht wird (mkfs) habe ich
folgende Zeile in /etc/crypttab eingetragen:

cryptotmp /dev/sda8 /dev/urandom \
cipher=aes-xts-plain,size%6,hash=sha512,tmp=ext3

in der fstab steht das:

/dev/mapper/cryptotmp /tmp ext3 defaults 0 0

Mein größtest Problem ist, es passiert ... nix. /tmp wird nicht
gemountet, aber es taucht auch keine Fehlermeldung auf.
/var/log/messages und dmesg schweigen sich über den Vorgang komplett
aus. Da ich mir gedacht habe, es fehlen vielleicht die entsprechenden
Kernel-Module, habe ich die Zeilen

aes
dm-crypt

in /etc/modules eingetragen. Das hat aber nicht den gewünschten Erfolg
gebracht.

Hat vielleicht noch jemand eine Idee für mich, wo ich suchen sollte?
Oder ist es nur schon so spàt, daß ich vor lauter Wald die Bàume nicht sehe?

Gruß
Christian

Geeks don't need to get laid - they get off
on benchmark results.
 

Lesen sie die antworten

#1 Hauke Laging
30/08/2009 - 03:16 | Warnen spam
Christian Baer schrieb am Sonntag 30 August 2009 02:36:

Wie man anhand der Zeit erkennen kann, schlage ich mir gerade eine
Nacht um die Ohren.



Aus reiner Solidaritàt antworte ich jetzt mal...


Was mir zunàchst aufgefallen ist (sofern ich die HowTos nicht alle
falsch deute): Der Devicename àndert sich scheinbar nicht.



Scheinbar nicht, anscheinend aber schon. :-)

Das alte (verschlüsselte) device ist weiterhin vorhanden. Man kann
auch weiterhin darauf zugreifen, genauso wie man mit dd eine
gemountete Partition kaputtprügeln kann. Der Kernel blockt das
nicht.

Um das device aber unverschlüsselt zu sehen, muss man den neuen Namen
verwenden, also /dev/mapper/hierbinich


Ist das bei dm-crypt anders



Nein, bei Linux anders, würde ich sagen.


Damit /tmp bei jedem Systemstart neu gemacht wird (mkfs) habe ich
folgende Zeile in /etc/crypttab eingetragen:

cryptotmp /dev/sda8 /dev/urandom \
cipher=aes-xts-plain,size%6,hash=sha512,tmp=ext3



Mein Verstàndnis der man page sagt, dass tmp=ext3 falsch ist. Da
müsste "tmp" stehen.


in der fstab steht das:

/dev/mapper/cryptotmp /tmp ext3 defaults 0 0



Von hier wird die FS-Information genommen.


Mein größtest Problem ist, es passiert ... nix. /tmp wird nicht
gemountet,



Vermutlich einfach deshalb, weil cryptotmp gar nicht erstellt
wird. :-)


Hauke
http://www.hauke-laging.de/ideen/

Ähnliche fragen