Hallo, Ich bin dabei für einen Setup mit ein paar Dutzend hosts (und hoffentlich bald ein paar Dutzen Notebooks) eine möglichst leicht zu administrierende Harddisk Verschlüsselung zu bauen. Die Anforderung umfasst die Root-Partition und es ist klar, dass es im Umfeld einer Firma mehrere Passwörter/Passphrases/Key geben muss, die auf eine Disk zugreifen können. Wir sehen deshalb cryptsetup mit luks Erweiterung als die passende Lösung an.
Wir fahren debian sarge, aber der backport von cryptsetup inkl. luks von backports.org (1.0.3-2bpo1) läuft bei uns. (Beim sarge default kernel hatten wir einen freeze beim Zugriff auf /dev/mapper/control durch cryptsetup luksFormat. Mit einem selbst compilierten 2.6.17er klappt das). Vermutlich werden wir mit einer nicht-verschlüsselten /boot Partition arbeiten. Danach von dort aus / decrypten und mounten. Erhöht wird die Schwierigkeit dadurch, dass wir weiter verschiedene Partitionen verwenden möchten. Konkret /, swap, /tmp, /var, /home. Das bedeutet, dass unsere User beim booten 5 Mal für das Passwort gepromptet werden. Das ist nicht wirklich wünschenswert. Eine Alternative wäre es natürlich, mit einem Key auf USB-Disk zu arbeiten, aber das ist aus internen Gründen nicht gangbar. Um das Passwort kommen wir fast nicht herum. (Ich habe die gpg und ssl Einschränkung auf der root partition in "man crypttab" gesehen; das macht es wohl auch nicht einfacher.) Ich suche also nach einer schlauen Lösung, welche es schafft beim booten (wenn erst /boot da ist) nach einem Passwort zu fragen und dann damit 5 Partitionen zu mounten ... Vielleicht ist die Lösung offensichtlich und ich sehe sie einfach nicht. Dann wäre ich dankbar für einen Anstoss. Ansonsten könnten sich auch noch andere für den Setup interessieren. best regs, Christian Folini -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
