• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Rootserver verschlüsseln

Der_W

Aus Prinzip dagegen

D
Registriert
14 Juli 2013
Beiträge
159
Heyho :)

Ich besitze derzeit einen Rootserver bei Hetzner. Dieser läuft unter Windows 2008R2 und hat zwei verschlüsselte Partitionen, auf denen sensible Daten liegen.

Da ich das Teil allerdings eh auf Debian umstellen wollte, würde ich in diesem Zug auch gern die gesamte Platte verschlüsseln. Mein Problem:
Wie dann restarten?

Mein Gedanke war nun, zuerst einen SSH-Server und dann Truecrypt/dmcrypt anzuwerfern. Per SSH das PW eingeben, und dann sollte er booten. Unverschlüsselt wäre nur eine Bootpartition mit besagtem SSH-Server und dem Crypt-Modul.

Hat da jemand ein Step by Step Tutorial für mich?
 

gelöschter Benutzer

Guest

G
eCryptFS? Oder willst du echt alles verschlüsseln? Kostet sicher auch Performance.

Was ist deine Zielsetzung?
 

Der_W

Aus Prinzip dagegen

D
Registriert
14 Juli 2013
Beiträge
159
  • Thread Starter Thread Starter
  • #3
Den Server gegen Zugriffe absichern, besonders auch gegen physikalische durch gewisse staatl. Institutionen ;)
Ich hatte derzeit meine eigene Platte @home mittels Truecrypt verschlüsselt, da gabs dann beim Boot ein PW zum eingeben, sonst ging es nicht weiter.

Gleiches hatte ich jetzt mit dem Rootserver vor, allerdings muss man da ja bedenken, dass das PW eben nur per SSH eingegeben werden kann. DIESES Tutorial sieht nicht schlecht aus, ich werde in einer VM mal versuchen, ob ich das nachstellen kann.
 

Hober Mallow

Neu angemeldet

Hober Mallow
Registriert
14 Dez. 2013
Beiträge
52
Dir ist aber schon klar, dass die Verschlüsselung einer Festplatte nur schützt, solange der Server nicht läuft, bzw. die verschlüsselte Platte/Partition nicht eingehängt ist oder? Sobald du das Passwort eingeben hast, war es das mit dem Schutz.
 

gelöschter Benutzer

Guest

G
Aber die sagen doch vorher bescheid, bevor sie den Server kidnappen.
 

accC

gesperrt

A
Registriert
14 Juli 2013
Beiträge
5.250
Na im Prinzip ist es doch das, was mit dem Razorback (Emule-Server) damals passiert ist, da wurden alle Clientdaten im RAM gehalten, als es zum Bust kam, haben sie den Server vom Netz genommen und schwups, war der RAM weg. Das Prinzip müsste ja das gleiche sein, wird der Server des TS vom Netz genommen, sollte die Platte geunmounted werden und die Verschlüsselung wieder aktiv sein. So dass die Cryptoexperten für die Analyse wieder das Passwort brauchen. Oder?
 

Hober Mallow

Neu angemeldet

Hober Mallow
Registriert
14 Dez. 2013
Beiträge
52
phre4k schrieb:
Aber die sagen doch vorher bescheid, bevor sie den Server kidnappen.
Zum Vergrößern anklicken....
Stimmt, das hatte ich ganz vergessen. :D

@accC
Das ist richtig.
Aber so blöd werden "die" nicht sein. Wenn die die Daten haben wollen, holen sie sich die natürlich vom laufenden Server, bzw. werden sie die Festplatte kopieren, solange sie eingehängt ist.
Genauso, wie es üblich ist, das RAM zu kopieren, bevor so ein Server vom Netz genommen wird. "Die" lernen ja auch dazu.
 

Der_W

Aus Prinzip dagegen

D
Registriert
14 Juli 2013
Beiträge
159
  • Thread Starter Thread Starter
  • #8
Und wie wollen die das machen? ich habe nen Dedicated Server, ohne PW können sie sich nicht einloggen. Wenn sie nicht gerade ernsthaft den RAM absichern (Eisspray-Trick) - und das halte ich für unwahrscheinlich, ich heiße nicht Snowden - haben sie keinen Zugriff drauf.
Bauen sie die Platte aus und hängen sie woanders dran, müssten sie wieder über das PW gehen. Bleibt nur noch DAS HIER.
 

Der_W

Aus Prinzip dagegen

D
Registriert
14 Juli 2013
Beiträge
159
  • Thread Starter Thread Starter
  • #10
Hober Mallow schrieb:
Sie greifen einfach über die dafür vorgesehene Schnittstelle auf den laufenden Server zu.
Zum Vergrößern anklicken....
Und wie soll die aussehen? Du musst dich immer noch am System authentifizieren - ansonsten müsste Debian eine entsprechende Schnittstelle zum Hardware-Port haben - und das geht nicht ohne Name und PW.
Bauen Sie die Platte aus, sind die gewonnenen Daten nutzlos, da sie verschlüsselt sind.
 

Hober Mallow

Neu angemeldet

Hober Mallow
Registriert
14 Dez. 2013
Beiträge
52
Na, dann ist doch alles super.
Da brauchen wir doch keine Angst mehr vor Datenklau durch die NSA und Co zu haben. Die haben doch eh keinen Zugriff auf die Server. Schließlich braucht man dafür ja ein Passwort.
Wozu also all die Aufregung? :rolleyes:
 

gelöschter Benutzer

Guest

G
Gibt Kriminelle, bei denen ich lache, wenn sie erwischt werden.

Wenn das Gehäuse kein IDS drin hat mit irgendwelchen Hardware-Maßnahmen, kann man eigentlich alles umgehen.

Noch mal die Frage: was spricht gegen ecryptFS? Ist einfacher und genauso sicher.
 

Kampfmelone

süß und saftig

K
Registriert
22 Juli 2013
Beiträge
590
Ich denke eher dass er sich vor Zugriff von deutschen Institutionen schützen will, da etwas illegales auf dem Server ist?
 

Sp1xx

NGBler

Sp1xx
Registriert
9 Okt. 2013
Beiträge
643
Ort
Bavaria
@phre4k: natürlich kann man "alles" irgendwie umgehen mit der entsprechenden Rechenleistung.

Ich glaube aber nicht das sich irgendwer die Mühe machen würde, bzw. die kosten aufbringen will, die warez Festplatte von Hans Otto 0815 zu entschlüsseln.
 

gelöschter Benutzer

Guest

G
Geht hier nicht um Rechenleistung, sondern beispielsweise um das Kopieren des RAM bei laufendem Rechner. Mit dem passenden Equipment ist das gar nicht mal schwer, hörte ich.

Selbst ohne physischen Zugriff gibt es 0day-Exploits.
 

Kampfmelone

süß und saftig

K
Registriert
22 Juli 2013
Beiträge
590
klar gibt es Möglichkeiten. Die Frage ist wie realistisch das alles ist bzw. was dann wirklich angewendet wird. Eine Beschlagnahmung von Staat würde doch z.B. mit Sicherheit so aussehen, dass die den Server einfach mitnehmen. Um Opfer eines zeroday-exploits unter Linux zu werden muss man aber schon sehr wichtig sein.
 

gelöschter Benutzer

Guest

G
Aber die Leute sind doch heutzutage alle so wichtig! Sind ja keine Kiddies, die Warez-Server betreiben und Schiss haben, oder so.

BTT: Ich finde Verschlüsselung nur sinnvoll, wenn man auch physischen Zugang zur Maschine hat. Also am Besten einen eigenen Serverraum einrichten.
 

Hober Mallow

Neu angemeldet

Hober Mallow
Registriert
14 Dez. 2013
Beiträge
52
Verschlüsselung ist z.B. bei einem Notebook angebracht. Wenn man das Ding dann mal irgendwo vergisst oder es geklaut wird, kommt der "Finder" eben nicht an die Daten. Vorrausgesetzt, man fährt ihn auch immer brav herunter.

Aber was soll das bei einem Server, der ja normalerweise läuft?
Weder die NSA, der Hoster, das BKA oder der Verfassungsschutz wird so nett sein, den Server herunterzufahren bevor sie versuchen, die Platte kopieren.
Und die werden auch keine Postkarte schicken. "Wir beabsichtigen, ihren Server zu beschlagnahmen. Bitte denken Sie daran, ihn vorher herunterzufahren, damit ihre Festplattenverschlüsselung wirksam wird."

Das funktioniert nur, wenn man, wie phre4k ja auch schon schrieb, nur wenn man physischen Zugriff auf das Gerät hat. Wenn "sie" dann kommen, hat man vielleicht(!) noch genügend Zeit, den Stecker zu ziehen. Aber auch darauf sollteman sich nicht verlassen, die melden sich nämlich nicht an und die Haustürklingel benutzen sie in der Regel auch nicht. ;)
 

TBow

The REAL Cheshire Cat

TBow
Registriert
15 Juli 2013
Beiträge
4.252
Hober Mallow schrieb:
Aber was soll das bei einem Server, der ja normalerweise läuft?
Weder die NSA, der Hoster, das BKA oder der Verfassungsschutz wird so nett sein, den Server herunterzufahren bevor sie versuchen, die Platte kopieren.
Zum Vergrößern anklicken....
Woher hast du deine Informationen in Bezug auf das BKA?
Ich erinnere mich zB an eine Beschlagnahme eines Servers eines VPN Dienstsleisters, wo keine derartigen Maßnahmen gesetzt wurden.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben