Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Versleutelde swap, /var, /tmp en home bij installatie Ubuntu  (gelezen 3471 keer)

Versleutelde swap, /var, /tmp en home bij installatie Ubuntu
« Gepost op: 2010/06/06, 15:21:48 »
Ik heb een eerste aanzet gegeven tot een handleiding voor het installeren van Ubuntu met een versleutelde swap, /var, /tmp en home.

http://wiki.ubuntu-nl.org/community/EncryptedInstallatieVarTmpSwap

Wie deze af wil maken, graag. :)

edit: volgens mij gaat het niet helemaal zoals het zou moeten. Het lijkt erop dat met Lucid er al een geëncrypte swap automatisch wordt gemaakt zodat deze methode een dubbel geëncrypte swap oplevert...
« Laatst bewerkt op: 2010/06/06, 18:56:08 door Thomas de Graaff »

Offline koos4401

  • Lid
Re: Versleutelde swap, /var, /tmp en home bij installatie Ubuntu
« Reactie #1 Gepost op: 2010/06/06, 19:23:50 »
Toelichting gevraagd:
swap wordt toch alleen maar gebruikt als de RAM dreigt over te lopen en is (dus) verder leeg? Dan zou het voldoende zijn bij het uitloggen alleen de swap écht schoon te vegen / te vullen met random 1-en en 0-en.
Is deze redenering fout?  zo ja, waar?
Dank voor de moeite.
Op 27-okt-2009 om 08.20 GMT geregistreerd als gebruiker nr.: 498523

Re: Versleutelde swap, /var, /tmp en home bij installatie Ubuntu
« Reactie #2 Gepost op: 2010/06/06, 19:41:25 »
Geen idee of die redenering fout is. :)

Re: Versleutelde swap, /var, /tmp en home bij installatie Ubuntu
« Reactie #3 Gepost op: 2010/06/06, 19:59:26 »
Men kan dit ook doen met de alternate CD dit is handiger voor mensen met een slechte internetverbinding

Re: Versleutelde swap, /var, /tmp en home bij installatie Ubuntu
« Reactie #4 Gepost op: 2010/06/06, 23:33:03 »
Even wat tegengas mbt. versleuteling. Wie dagelijks met een laptop vol atoomgeheimen over straat loopt, kan zeker gebaat zijn bij versleutelde partities of mappen. Maar wie dagelijks werkt met een ordinaire laptop of pc zonder atoomgeheimen, komt in het geval van schijfproblemen - kapotte sectoren bijvoorbeeld - voor enorme uitdagingen te staan om de data op die schijf nog te redden -- als dat überhaupt nog mogelijk is. Men moet zich dus, voorafgaande aan de beslissing om te gaan versleutelen, eerst de vraag stellen of de eventuele problemen die kunnen optreden wel opwegen tegen de eventuele voordelen van versleuteling.

Ik heb ooit eens een een muziekmap op een gecrashte lvm-partitie proberen te redden (lvm is net als raid ook versleuteld). Lukte me niet (en ik ben daar behoorlijk lang mee bezig geweest). Sindsdien gebruik ik uitsluitend onversleutelde, recht-toe-recht-aan hardeschijfindelingen als ext3 en ext4. Veel veiliger gevoel! :)

Re: Versleutelde swap, /var, /tmp en home bij installatie Ubuntu
« Reactie #5 Gepost op: 2010/06/06, 23:38:27 »
+1

Volledig mee eens, als "gewone" gebruiker heeft men meestal geen staatsgeheimen op zijn pc staan, dus zie ik het nut van versleuteling niet in, temeer daar dat bij problemen, zoals Paul Matthijsse al aangeeft, meer na- dan voordeel heeft.
Laptop MSI U123 (160 GB) 1 GB ramMint Cinnamon 18 LTS
Laptop Toshiba Tecra  (80GB) 2 GB ram Fedora 24
Dell Latitude D600 Pentium M 1400MHz 512MB ram
Bouwjaar 2003 met Debian 8 (Jessie)

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
Re: Versleutelde swap, /var, /tmp en home bij installatie Ubuntu
« Reactie #6 Gepost op: 2010/06/07, 00:32:15 »
Hoezo tegengas? Dit is geen discussie topic maar om een artikel op de Documentatie wiki te bespreken: http://wiki.ubuntu-nl.org/community/EncryptedInstallatieVarTmpSwap

Wellicht maakt het voor jou niets uit maar het is heel normaal dat mensen zich zorgen maken als hun persoonlijke gegeven in verkeerde handen vallen (bijvoorbeeld bij diefstal). Niet dat iemand iets "kan" met jou belastingaangifte, contactpersonen, documenten, foto's, e-mail en chat history, automatische inlog (?). Een woninginbraak zonder dat er iets wordt meegenomen ervaren veel mensen ook als vervelend. Onzin om het over atoomgeheimen te hebben.

Waarom zou je gegevens niet beveiligen? Ieder zijn eigen keus. Versleuteling of niet, een back-up op een ander medium (externe harddisk, usb-stick, cd/dvd-(r)w, 2e computer, Ubuntu One, floppy (?)) is altijd nodig. Ook zonder versleuteling kan een schijf defect gaan. 8)

Een alternatief is de versleuteling van alleen de /home partitie zoals de installatie procedure voorstelt, zie ook http://wiki.ubuntu-nl.org/community/VersleuteldePrivateMap

Maar het valt niet te ontkennen dat swap, /var en /tmp ook persoonlijke gegevens bevatten, dus is het artikel welkom voor wie maximale zekerheid wenst. Overigens bevat swap, /var en /tmp allemaal "tijdelijke" gegevens die gemist kunnen worden bij schijfproblemen dus daar gaat je argument niet voor op.

lvm is net als raid ook versleuteld
Niet de versleuteling zoals hier wordt bedoelt.  8)

Klik links bovenin op Documentatie

Offline Rachid

  • Lid
    • rachidbm
    • Mijn blog
Re: Versleutelde swap, /var, /tmp en home bij installatie Ubuntu
« Reactie #7 Gepost op: 2010/06/07, 12:18:59 »
Hoezo tegengas? Dit is geen discussie topic maar om een artikel op de Documentatie wiki te bespreken: http://wiki.ubuntu-nl.org/community/EncryptedInstallatieVarTmpSwap

Wellicht maakt het voor jou niets uit maar het is heel normaal dat mensen zich zorgen maken als hun persoonlijke gegeven in verkeerde handen vallen (bijvoorbeeld bij diefstal). Niet dat iemand iets "kan" met jou belastingaangifte, contactpersonen, documenten, foto's, e-mail en chat history, automatische inlog (?). Een woninginbraak zonder dat er iets wordt meegenomen ervaren veel mensen ook als vervelend. Onzin om het over atoomgeheimen te hebben.
Ten eerste wil ik cees gelijk geven dat we in dit topic niet moeten ingaan op het nut van het artikel.
Daarnaast moet ik wel zeggen Paul een heel goed punt aanstipt. Hij vertelt welke eventuele gevolgen het kan hebben wanneer je je harde schijf versleuteld. Dit is voor mij ook iets wat ik mee zou nemen in mijn overweging om al dan niet te gaan versleutelen ;).

Persoonlijk zou ik alleen mn home map versleutelen omdat dat de broedplaats is van mijn persoonlijke gegevens. /tmp en en swap moeten wel schoon gehouden worden. Maar daar staan voor mij amper "Personally identifiable information" zoals dat met een mooi woord genoemd wordt :P. Als je hier wat over wilt zeggen open dan aub een nieuw topic, dan zal ik daar weer antwoord geven ;)

Ben je ook blij dat Ubuntu zo toegankelijk en gratis is, en wil je graag net als ik iets terugdoen, kijk dan eens rond bij mwanzo, dé poort naar het bijdragen aan Ubuntu en haar gemeenschap!

Re: Versleutelde swap, /var, /tmp en home bij installatie Ubuntu
« Reactie #8 Gepost op: 2010/06/07, 12:23:16 »
@ P.M. Ik zal erbij vermelden dat het niet geschikt is voor beginners, en dat het altijd verstandig is om backups van data te maken, en dat iedereen zelf een afweging moet maken een dergelijk sterke beveiliging van gegevens wel zinvol is. Voor mij persoonlijk is het niet zo heel zinvol (hoewel ik het wel een prettige gedachte vind dat ik me geen zorgen hoef te maken als mijn laptop gestolen wordt), maar ik vind het vooral leuk dat het kan. Maar voor ministers, officiers van justitie, bouwfraudeurs met een dubbele boekhouding etc. die wel met erg gevoelige data rondlopen is Ubuntu met deze ingreep zeker aan te raden. :D Zeker gezien de schandalen van afgelopen jaren met verloren bedrijfslaptops, afgeschreven computers e.d. vol met vertrouwelijke data die in verkeerde handen zijn gevallen.

(Zie ook http://sync.nl/identiteitsdiefstal-bescherm-jezelf/ )

De Ubuntu installer maakt onnodig dubbele encryptie aan. De beschreven methode maakt een lvm bovenop een versleuteld volume aan, en in de volumegroep een swap partitie. De Ubuntu installer gaat er van uit dat een swap partitie op een lvm nog onversleuteld is, en versleuteld deze dus automatisch nog een keer. Vandaar de dubbele encryptie.

De oplossing is vrij eenvoudig, een aanpassing van /etc/fstab, /etc/crypttab en het al versleutelde logische swap volume initieren voor swap:

test@ubuntu:~$ cat /etc/crypttab
sda1_crypt UUID=15da3f11-015a-4ca4-aa9c-64abf6e3be7a none luks
cryptswap1 /dev/mapper/volumegroup-swap /dev/urandom swap,cipher=aes-cbc-essiv:sha256
(waar volumegroup de naam is die bij de installatie aan de volumegroup is gegeven, en swap de naam is die aan het swap logische volume is gegeven tijdens de installatie)

verander dit in:
sda1_crypt UUID=15da3f11-015a-4ca4-aa9c-64abf6e3be7a none luks
#cryptswap1 /dev/mapper/volumegroup-swap /dev/urandom swap,cipher=aes-cbc-essiv:sha256
(Dus alleen het basale encrypted volume mappen, en niet ook nog eens een encrypted swap volume mappen bovenop het logische volume dat weer bovenop het eerste encrypted volume staat. Dit laatste geeft trouwens ook een foutmelding bij het inloggen.)

test@ubuntu:~$ cat /etc/fstab
# /etc/fstab: static file system information.
#
# Use 'blkid -o value -s UUID' to print the universally unique identifier
# for a device; this may be used with UUID= as a more robust way to name
# devices that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
proc            /proc           proc    nodev,noexec,nosuid 0       0
# / was on /dev/sda2 during installation
UUID=5409bde7-1eb6-439f-a3b1-4f9b031ae603 /               ext4    errors=remount-ro 0       1
/dev/mapper/volumegroup-tmp /tmp            ext4    defaults        0       2
/dev/mapper/volumegroup-var /var            ext4    defaults        0       2
#/dev/mapper/volumegroup-swap none            swap    sw              0       0
/dev/mapper/cryptswap1 none swap sw 0 0

verander dit in:
# /etc/fstab: static file system information.
#
# Use 'blkid -o value -s UUID' to print the universally unique identifier
# for a device; this may be used with UUID= as a more robust way to name
# devices that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
proc            /proc           proc    nodev,noexec,nosuid 0       0
# / was on /dev/sda2 during installation
UUID=5409bde7-1eb6-439f-a3b1-4f9b031ae603 /               ext4    errors=remount-ro 0       1
/dev/mapper/volumegroup-tmp /tmp            ext4    defaults        0       2
/dev/mapper/volumegroup-var /var            ext4    defaults        0       2
/dev/mapper/volumegroup-swap none            swap    sw              0       0
#/dev/mapper/cryptswap1 none swap sw 0 0
(Zorg ervoor dat de volumegroup-swap als swap gemount wordt, en niet een versleuteld volume dat weer bovenop deze volumegroep is gezet.)

vervolgens in een terminal:
sudo swapoff -a
sudo mkswap /dev/mapper/volumegroup-swap
sudo mount -a

Er is dan geen dubbele encryptie meer, en ook de foutmelding na het ingeven van de sleutel bij het inloggen verdwijnt.
« Laatst bewerkt op: 2010/06/07, 12:42:12 door Thomas de Graaff »