Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: encryptie  (gelezen 434 keer)

Offline peer

  • Lid
encryptie
« Gepost op: 2024/05/26, 10:18:48 »
os: debian 12 kde
In qemu/kvm heb ik debian 12 geïnstalleerd met volledige encryptie. Gewoon om te kijken hoe dit werkt. Natuurlijk ook direct een snapshot gemaakt.

Installeren ging prima en de encryptie werkt. Het encryptie wachtwoord wordt gevraagd en daarna start debian gewoon op. Ik wil proberen om niet een wachtwoord te gebruiken maar een keyfile en ik wil kijken of ik een usbsstick als token kan gebruiken.

Het gebruiken van een keyfile moet mogelijk zijn maar het lukte mij niet direct. Gelukkig kwam ik een programmaatje tegen genaamd: 'keyless-entry' (https://github.com/jikamens/keyless-entry) waarmee dit heel makkelijk gaat.

het gebruiken van een usbstick als token is niet moeilijk in een bios-systeem. Er wordt nl. gebruik gemaakt van drie partities: één voor het systeem, één voor de swap, en één voor de boot. De boot partitie is niet versleuteld. Deze boot partitie kopieer ik naar de usbstick. In de fstab verwijder ik de oorspronkelijke boot partitie en vervanik deze door de partitie op de usbstick.

resultaat: Het systeem start gewoon op zonder het wachtwoord te vragen als de usbstick aangekoppeld is en start niet op als de usbstick niet aangekoppeld is.

Inmiddels ben ik op een testpc aan het installeren. Omdat voor de encryptie eerst de disks voorzien worden van random data  voordat de disk ge-encrypt wordt duurt dit best wel een tijdje. Tijdens de installatie heb ik gekozen voor twee disks (1 ssd 128gb en 1hdd 160gb) die allebei ge-encrypt worden.

Als het lukt ga ik kijken of ik de disks kan openen (rescue maatregel). Ook ben ik benieuwd hoe het systeem reageert als er nieuwere kernels geïnstalleerd worden bij een update. Blijft de keyfile dan werken??

edit: het maneel instellen van de disks op encryption lukt mij niet. Daarom stap ik over op de guided method with encryption.  De tweede disk voeg ik dan later toe.
« Laatst bewerkt op: 2024/05/26, 12:00:16 door peer »

Offline peer

  • Lid
Re: encryptie
« Reactie #1 Gepost op: 2024/05/26, 14:24:27 »
Ik merk dat het best wel ingewikkeld is om bij de installer met de hand encrypted partitions in te stellen.
Eerst heb ik de drives  (1ssd en 1hdd) en usbstick leeg gemaakt met gparted.
In de installer heb ik gekozen voor de manual partioner
stap 1:
Op de usb stick zet ik een primaire partitie wordt  geformateert als ext2 en gekoppeld aan /boot (geen encryption) Boot val=on

Op de ssd en de hdd zet ik een logische partitie en kies ervoor om hier een encrypted partitie van te maken.

Daarna heb ik de LVM manager gestart en een volumegroep gemaakt voor de ssd (Volume1) en voor de hdd(Volume2).

Vervolgens in Volume1 een partitie gemaakt voor het systeem ( gekoppeld aan /) en een swappartitie. In Volume2 heb ik een extra partitie gemaakt (gekoppeld aan /mnt/hdd)
De installatie loopt nu verder. Hopelijk werkt dit.

edit:
En het werkt. Er wordt één wachtwoord gevraagd bij het opstarten. De systemdisk. de swap en de data disk worden daarmee in één keer ontgrendeld. Als ik de usbstick verwijder dan start de pc niet op. Als ik hem weer inplug dan start de pc wel weer op. Zoals het moet dus. Wel merk ik dat de gehele opstartprocedure net iets langzamer gaat (pc is 10 jaar oud)

edit:
rebooten werkt niet meer. Ik oet de pc echt uitzetten en dan opnieuw opstarten anders krijg ik een grub foutmelding.

edit:
de keyless-entry werkt niet. foutmelding: cant open blockdev.  Ik vermoed dat ik een foutje heb gemaakt met het wachtwoord. Jammer, dat wordt weer googlen
edit:
het lukt me niet meer om in de rescuemode in de /boot directory te komen. Ik geloof dat ik helemaal overnieuw moet beginnen. Maar ik weet nog niet precies hoe.
« Laatst bewerkt op: 2024/05/26, 16:07:20 door peer »

Offline peer

  • Lid
Re: encryptie
« Reactie #2 Gepost op: 2024/05/27, 08:06:57 »
ik heb het systeem weer verwijderd en een oude backup zonder encryptie teruggezet. Probleem onstond volgens mij doordat de boot directory op een usbstick stond . En het is gebleken dat het voor het systeem lastig was om de usbstick voor de bootdirectory te gebruiken. De usb-stick gebruiken als token is dus geen betrouwbare oplossing. (Met google kwam ik erachter dat ik niet de enige ben die problemen met de usbstick alstoke heb ervaren).
Voorlopig stopt het hier. Ik heb weer heel wat geleerd.

Offline bart85

  • Lid
Re: encryptie
« Reactie #3 Gepost op: 2024/05/27, 10:28:22 »
/boot kan prima voor encryptie op de ssd. Geeft ook een betere performance.

https://www.ubuntubuzz.com/2012/11/use-usb-flash-drive-to-login-to-ubuntu.html?m=1
Waar deze link naar wijst, is dat waar je naar toe wil?
Authenticatie via een sleutel op een usb stick.
Je leert maar mooi over weg gaan met de commandline. Geen grafische toepassingen voor systeembeheer.
You can never make a system 100% secure unless you unplug the machine from all networks, turn it off, lock it in a safe, smother it in concrete and never use it.

Offline peer

  • Lid
Re: encryptie
« Reactie #4 Gepost op: 2024/05/27, 10:40:53 »
Dit werkt voor inloggen in je systeem, niet voor de encryptie.
Het ging er mij alleen maar om om iets meer te leren over encryptie.