[OpenSuse] Systemverschlüsselung im laufenden Betrieb?

Jump to last post
drfuture

drfuture

Zeitreisender
Teammitglied
Registriert
14 Juli 2013
Beiträge
7.687
Ort
in der Zukunft
Servus zusammen,
ich habe ein laufendes System mit OpenSuse und Btrfs.. nun hat btrfs eine menge tolle Feature - eine eingebaute Verschlüsselung leider noch nicht.

Nach meiner Suche gibt es unter Linux keine Möglichkeit im laufenden Betrieb das Gesamtsystem nachträglich zu verschlüsseln?? Ist die Info veraltet oder stimmt das so?

Ich müsste somit zumindest das System fremd booten und offline verschlüsseln - und selbst das soll nicht zwingend zuverlässig funktionieren - hat da jemand Erfahrung?

Mein Wunsch wäre eine Vollverschlüsselung des Systems (simple Passworteingabe beim boot) und das System läuft danach 1:1 so weiter wie aktuell (performance-änderungen nun mal außen vor)
 
Wenn du dm-crypt/LUKS willst, führt nichts an einem Reboot vorbei. Um was für ein System handelt es sich?

Bei ecryptfs geht das auch im laufenden Betrieb, verschlüsselt aber nur die Daten und nicht das ganze System.
 
  • Thread Starter Thread Starter
  • #3
was heißt die Daten und nicht das ganze System? Sprich wann setzt die Verschlüsselung ein?
Was meinst du "um was für ein System"?

Edit: Ah ok ecryptfs kann einzelne "Ordner" Verschlüsseln in dem ein Dateisystem gemountet wird. Vorteil gegenüber Truecrypt ich brauche keinen Container oder?

Das könnte evtl. reichen... dann muss ich mir nur überlegen wie ich den Bootvorgang pausiere bis ich das passwort eingegeben habe - und danach alle systemd commands weiter ablaufen lassen kann - aber das wird wohl auch gehen...

Nur schade das lt. Doku auch da eine Verschlüsselung bestehender Verzeichnisse nicht vorgesehen ist - aber gut dann halt umkopieren :(

PS: um hier auch mal zu meckern in Windows ist das normal das man im laufenden Betrieb nachträglich verschlüsseln kann :o
 
Zuletzt bearbeitet:
Gängige Praxis ist, dass das Homeverzeichnis verschlüsselt wird. So wirst du bei der Anmeldung des Nutzers nach einem Passwort gefragt. Wenn dies mit dem von ecryptfs übereinstimmt, sparst du dir hier die doppelte Eingabe.

Du musst LUKS vor der Installation einrichten, weil es sich hier um eine transparente Zwischenschicht handelt und sich das Dateisystem anschließend in der Verschlüsselungsschicht befindet.

Es ist übrigens kein großer Aufwand, ein System nachträglich zu verschlüsseln. Dazu sicherst du deine Daten z.B. mit tar auf Dateiebene, richtest LVM/LUKS mithilfe eines Live-Systems ein, wie du es möchtest, richtest das Dateisystem ein und spielst anschließend die Daten wieder zurück.

Wenn nicht zu viele Daten sichern musst, ist das schnell erledigt.
 
Ein bereits installiertes System lässt sich inzwischen wohl mit
You do not have permission to view link please Anmelden or Registrieren
verschlüsseln. Benutzung auf eigene Gefahr.
 
  • Thread Starter Thread Starter
  • #6
ich glaube nun verstehe ich die Frage nach dem *was ist das für ein System*
@nik bei einem produktiv laufenden Server mit diverstesten Diensten und Benutzern drauf die die Dienste wie Mail, Web, Caldav, Carddav usw. aktiv nutzen ist das mit dem *mal eben ein livesystem booten und ein paar Daten sichern* nicht soooo einfach ....
 
Joah, da hast du ja sicher Backups und ein Zweitsystem, richtig?

Einfach den Server runterfahren, vom Recovery-Image booten und den entsprechenden anderen Server zwischenzeitlich einspringen lassen...

*hust*

Bei einem produktiv laufenden Server auch nur annähernd Datenverlust zu provozieren, ist nicht ganz sooooo die beste Idee :p
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben