Das wäre allerdings ein Segen, denn gerade die Verwendung von Sonderzeichen ist ja mit US-Layout ein Krampf.
Ich habe es bei meinem System (OpenSuse 13.1, LUKS-Verschlüsselt) so gelöst: Ich verwende ein "normales" Passwort mit Sonderzeichen und habe es (im US-Layout) so konstruiert, dass ich die Tastatur wie eine mit deutschem Layout verwenden kann.
Wenn man das Kernelfile auf /boot manipuliert und das nächste mal jmd. beim Booten das Passwort eingibt, könnte dann nicht der manipulierte Kernel das Passwort z.B. in Klartext in ein Textfile auf der Boot-Partition wegschreiben?
Klar, das erfordert schon einiges an Umstand und vorher schon Zugriff auf den Server, könnte aber dennoch möglich sein, oder?
Ich habe neulich versucht ein aktuelles Ubuntu 14.04 verschlüsselt zu installieren, da der graphische Installer der Desktop-CD dies inzwischen ja angeblich kann. Beim konfigurieren der verschlüsselten Partitionen meckerte der Installer korrekterweise an, dass aus Sicherheitsgründen auch die Swap-Partition verschlüsselt werden sollte. Üblicherweise verwendet man dazu keine Passphrase, sondern es wird beim booten ein zufälliger Schlüssel generiert. Aber genau dieses kleine, aber wichtige Detail der Konfiguration unterstützt der Installer derzeit nicht! Ich habe mir mit der Lösung geholfen, die ich eh favorisiere, da sie stets ohne Wenn und Aber funktioniert: ich habe das System mit dem klassischen Text-Installer ("Mini-Installer") installiert!
Alternativ die ganze Platte als eine große LUKS-Partition und darin mit LVM alle weiteren Partitionen (LV) ganz normal/unverschlüsselt. Typischerweise mit kleiner extra /boot-Partition. Hat hier schonmal jemand LUKS direkt von GRUB2 aus versucht? http://www.coreboot.org/GRUB2#LUKS_disks_openning
Weiß jemand, wie man sowas nachträglich verkleinert? Habe ein Xubuntu 14.04 mit Festplattenverschlüsselung und würde gern eine 8-MiB-EFI-Partition anlegen. (Für den Boot Booster des Asus 1005P)
Schön wäre es, wenn die LUKS-Passworteingabe beim Bootvorgang endlich mal zusätzliche Tastaturlayouts unterstützen würde, z.B. Deutsche Tastatur.
Das wäre allerdings ein Segen, denn gerade die Verwendung von Sonderzeichen ist ja mit US-Layout ein Krampf.
Ich habe es bei meinem System (OpenSuse 13.1, LUKS-Verschlüsselt) so gelöst:
Ich verwende ein "normales" Passwort mit Sonderzeichen und habe es (im US-Layout) so konstruiert, dass ich die Tastatur wie eine mit deutschem Layout verwenden kann.
Unter Arch ist es einfach:
# /etc/vconsole.conf
KEYMAP="de-latin1-nodeadkeys"
# /etc/mkinitcpio.conf
HOOKS="... keymap encrypt ..."
Ich hatte gerade spontan folgende Überlegung:
Wenn man das Kernelfile auf /boot manipuliert und das nächste mal jmd. beim Booten das Passwort eingibt, könnte dann nicht der manipulierte Kernel das Passwort z.B. in Klartext in ein Textfile auf der Boot-Partition wegschreiben?
Klar, das erfordert schon einiges an Umstand und vorher schon Zugriff auf den Server, könnte aber dennoch möglich sein, oder?
Korrekt, und das verhindert man, indem man:
a) grub und /boot auf einen USB-Stick installiert und diesen immer am Schlüsselbund mitführt
oder b) boot-digest verwendet
Absolute Sicherheit gibt es halt nie.
Wenn man schon physische Zugriff hat, kann man auch einen Hardware-Keylogger zwischen schalten...
Ich habe neulich versucht ein aktuelles Ubuntu 14.04 verschlüsselt zu installieren, da der graphische Installer der Desktop-CD dies inzwischen ja angeblich kann. Beim konfigurieren der verschlüsselten Partitionen meckerte der Installer korrekterweise an, dass aus Sicherheitsgründen auch die Swap-Partition verschlüsselt werden sollte. Üblicherweise verwendet man dazu keine Passphrase, sondern es wird beim booten ein zufälliger Schlüssel generiert. Aber genau dieses kleine, aber wichtige Detail der Konfiguration unterstützt der Installer derzeit nicht! Ich habe mir mit der Lösung geholfen, die ich eh favorisiere, da sie stets ohne Wenn und Aber funktioniert: ich habe das System mit dem klassischen Text-Installer ("Mini-Installer") installiert!
Download: ftp://ftp.ubuntu.com/ubuntu/dists/trusty/main/installer-amd64/current/images/netboot/
Alternativ die ganze Platte als eine große LUKS-Partition und darin mit LVM alle weiteren Partitionen (LV) ganz normal/unverschlüsselt.
Typischerweise mit kleiner extra /boot-Partition.
Hat hier schonmal jemand LUKS direkt von GRUB2 aus versucht?
http://www.coreboot.org/GRUB2#LUKS_disks_openning
Weiß jemand, wie man sowas nachträglich verkleinert?
Habe ein Xubuntu 14.04 mit Festplattenverschlüsselung und würde gern eine 8-MiB-EFI-Partition anlegen.
(Für den Boot Booster des Asus 1005P)