System (teils) verschlüsseln unter Linux ja oder nein?

[nightpad]

Hallo.

Nachdem ich das zickige Windows auf dem T410 nun mit Linux endgültig ersetzen werde, frage ich mich eines im Bezug auf die Installation:
Verschlüsseln von Home ja oder nein?
Ich weiß nat., daß dies auch seine Vorteile hat. Die Frage aber ist - was überwiegt? Vor- oder Nachteile.
Wie komme ich im Fall eines Falles (unabhängig vom Backup) an meine Daten?

Ist das überhaupt sinnvoll oder nur pro Forma?

Wie haltet Ihr Linux-User das und was sind Eure Gründe?

LG
nightpad

 

[yatpu]

ich würde die platte insgesamt verschlüsseln. das muss dann während der isntallation erfolgen. dank aes-ni (das sollte die cpu deines t410 sicherlich haben) ist der leistungsverlust sehr niedrig, falls es überhaupt einen gibt.

was ist für dich der "fall eines falls"? laptop geklaut, defekte sektoren auf der platte, vergessene passphrase?
vor vergessenen passphrasen schützt die verwendung einer 2. passphrase, die du sicher verwahrst. bei verschlüsselung mit luks (der standard unter linux) kannst du 8 unterschiedliche passphrasen festlegen und mit jeder zugriff auf alle gespeicherten daten erlangen.

 

[nightpad]

Hey.
Die Platte insgesamt? Also auch / (root)? Mit welchem Zweck?
Nehme ich mir da nicht die Möglichkeit, den Ruhezustand zu nutzen?

 

[nachtpult]

Verschlüsselte Backup HDD und fertig.
Ich verwende auch eine Vollverschlüsselung des Systems.

 

[linrunner]

Selbstverständlich geht bei Vollverschüsselung (verwende ich auch) der Ruhezustand. /boot mit Kerneln und Initramfs wird nämlich nicht verschüsselt, sodaß es sich streng genommen um eine Fastvollverschüsselung handelt. Gegen die verbleibende (kleine) Lücke hilft recht gut: ftp://ftp.heise.de/pub/ct/listings/1203-146.zip

Wie komme ich im Fall eines Falles (unabhängig vom Backup) an meine Daten?

Hak's ab. Daten für die keine verschüsselte(!) Sicherung existiert sind und waren nie wichtig.

 

[nightpad]

Entschuldigung, bitte mal für nen Anfänger (mich )
Wie kann ich das System vollverschlüsselt installieren? Die Installation von (egal ob Ubuntu, Debian...) bietet ja nur ein verschl. Home an.
Geht der Ruhezustand noch mit so einem System?

 

[linrunner]

Installation von (egal ob Ubuntu, Debian...) bietet ja nur ein verschl. Home an.

Falsch. Beide können Vollverschlüsselung (bei Ubuntu 12.04 mit der Alternate CD, bei 13.04 kann es auch der graf. Installer). Zum Ruhezustand siehe meinen obigen Post.

 

[rumo]

+1 für (fast)Vollverschlüsselung. Mit einem geeigneten Passwort (meines hat 16 Stellen, ergibt nur für mich Sinn, und sieht eher aus wie ein zufällig zusammengewürfelter Buchstaben-Zahlen-Sonderzeichensalat (Anm.: die Eingabedauer ist nach einigen Malen minimal und fällt irgendwann überhaupt nicht mehr auf)) sehr sicher.

Einrichtung ist, wie von linrunner schon angemerkt, bei der Installation sehr einfach.

 

[sigur]

Und nicht von den "Fehlermeldungen" beim Systemstart abschrecken lassen.

 

[SammysHP]

"Fehlermeldungen"?

 

[fabio]

Mit Fehlermeldungen ist wahrscheinlich der "error-no-video-mode-activatet" Fehler, was aber im Terminal gelöst werden kann (zumindest war es bei 12.04 noch so, aber denke nicht, dass sich da was geändert hat):

sudo cp /usr/share/grub/*.pf2 /boot/grub/ && sudo update-grub

Ich würde auch die Vollverschlüsselung wählen. Gerade wenn du den Ruhezustand nutzen willst. Bei "nur" verschlüsseltem /home gibt es meiner Erfahrung nach eher Probleme. Vollverschlüsselt hatte ich noch nie ein Problem mit dem Ruhezustand.

Falls du Ubuntu 12.04 installierst, kannst/musst du die Alternate-CD nutzen. Dann hast du zwar keine richtige grafische Oberfläche (ist aber auch keine Kommandozeilen-Installation, keine Sorge), aber du kannst diesem Link hier folgen http://wiki.ubuntuusers.de/System_verschlüsseln/Alternate_Installation#Datentraeger-verschluesseln
In den neuen Versionen kann man es sicher noch einfacher machen, weil es jetzt auch in der Standard-Installation (also mit dem normalen grafischen Installer) schon auswählen kann. Das kommt an der Stelle, an der man zwischen "alles löschen und Ubuntu installieren" und "etwas anderes" wählen muss. Und irgendwie kann man diesen Punkt nur anwählen, solange man "alles löschen..." ausgewählt hat. Wählt man es dann an und wechselt auf z.B. "etwas anderes", dann bleibt es aber angehakt, wenn auch ausgegraut. Daher weiß ich bis jetzt nicht, wie das dann gehandhabt wird, wenn man selbst partitionieren will.

 

[nachtpult]

Wenn du den Ruhezustand nutzen willst dann denk daran, dass du hier nur durch ein Systempasswort geschützt bist und nicht durch eine Verschlüsselung.
Lieber auf Ruhezustand verzichten und dafür ne SSD rein, ist fast genauso schnell.

 

[nightpad]

Es ist eine SSD drinne. Aber der Ruhezustand bringt einiges an Bequemlichkeit, wenn alles mit allen geöff. Datene nach dem Anschalten wieder da ist.

 

[Rieper]

Ruhezustand hab ich bis jetzt noch nie vermisst, aber ohne standby könnt ich nicht leben (hmmm... ok... cold boot attack :/ )Ansonsten geht der Trend auf jeden Fall zu Vollverschlüsselung. Ich hab zusätzlich /boot noch auf einer SD-Karte.

 

[fabio]

Ich persönlich hab den Ruhezustand nur, damit der Rechner bei kritischem Akkustand nicht einfach ausgeht, sondern halt in den Ruhezustand fährt. Ansonsten nutz ich auch nur Standby oder eben ausschalten.

 

[X220 Ei]

@nightpad Bleibt noch die Frage ob Ubuntu 12.04 oder 13.04 . Für 12.04 spricht der längere Support, denn der für 13.04 läuft im Januar aus. Dafür kann 13.04 die Vollverschlüsselung auch mit dem graphischen Installer, und 12.04 nur mit dem alternate Installer. (EDIT: Sorry Fabio, hatte deinen post nicht gesehen und da steht das evtl. schon drin.)

 

[nightpad]

Hallo.

Ich danke Euch für Eure zahlreichen Antworten und Tips.
Allerdings kommt eine Installation mit LVM und/oder Vollverschlüsselung für mich nicht in Frage - ist mir einfach zu kompliziert und
ich kenne mich zu wenig damit aus. Ich habe seit Ubuntu 5.04. problemlos mit einem System ohne sowas leben können und für mich
ist der Schritt zu einem verschl. Home schon ein Sprung.

Wichtig für mich ist der Ruhezustand. Wenn das mit verschlüsseltem Home geht, gut. Wenn nicht, muß es wie bisher gehen.

Klar kann man alles in den Exzeß treiben, aber ich halte nicht viel davon.

Verschlüsselte Sicherung...
Hey, steinigt mich. Aber ich kopiere meine Daten einfach auf eine - natürlich NICHT verschlüsselte - externe HD.
Mal ehrlich, jedes Windoof - System ist schlechter gesichert als ne Standard-Linux-Installation...

LG
nightpad

 

[fishmac]

Mich würde mal interessieren, wer was in Sachen Verschlüssung des Backups nutzt.

Und... meint ihr nicht eine Vollverschlüsselung ist im Vergleich zur Verschlüsselung des Home anfälliger ? Immerhin sind bei einem System je nach Grösse der Platten und Partitionen 10% oder mehr bekannt (known plaintext).

 

[SammysHP]

Für meine Backups nutze ich ganz normal dm-crypt.

 

[supertux]

Ich persönlich bin kein Fan von Verschlüsselung! Der beste Zugriffsschutz ist immernoch die eigenen Geräte im Blick zu behalten.
Datensicherung in den Safe, das Büro nach dem Verlassen abschließen und das Laptop nicht aus der Hand geben ist für mich jeder Verschlüsselung erhaben
Nebenbei spart man sich lästige Mehrfach-Passworteingaben

btw: Was nutzt die beste Verschlüsselung, wenn der faule oder vergessliche Mitarbeiter das Passwort in der unverschlossenen Schublade des Schreibtisches oder gar unter der Tastatur aufbewahrt :facepalm: