Termine planen, Nachrichten austauschen, Kundendaten verwalten, am besten auch vom Smartphone aus. Das alles und noch viel mehr sollen moderne ... (mehr)

Fazit

GELI und Pefs sind brauchbare Systeme zur Verschlüsselung von Partitionen und haben jeweils ihre Vor- und Nachteile. Um optimale Sicherheit zu erreichen, sollte man unbedingt zur Vollverschlüsselung greifen und damit zu GELI.

Das Pefs-System ist wegen seiner Struktur für die Verschlüsselung kompletter Datenträger nicht geeignet. Dafür spielt es seine Vorteile aus, wenn es darum geht, einfach und effektiv ein bestehendes System umzustellen. Beim Einsatz auf Notebooks sollte man besser zu GELI und zur Vollverschlüsselung greifen. Und wer es ganz besonders sicher haben möchte, dem bietet sich immer noch die Möglichkeit, zusätzlich das Pefs-System zu nutzen.

Listing 2

Pam-Konfiguration

 

Wichtiger Hinweis zu Passwörtern

Beim Erzeugen von Passwörtern sollte man immer bedenken, dass bei der Wahl einfacher Zugangsdaten die Gefahr der Entschlüsselung der Daten erheblich steigt. Daher sollte man sein Passwort immer so komplex wie möglich wählen und eine gesunde Mischung aus Ziffern und Buchstaben wählen. In http://1 (in Kapitel 1.5) ist beschrieben, wie sichere Passwörter generiert werden. Umlaute und andere Sonderzeichen sollten vermieden werden. Der Grund für diese Einschränkung liegt darin, dass das Passwort während der Boot-Phase des Betriebssystems eingegeben werden muss. In dieser Phase steht aber nur das Layout einer amerikanischen Tastatur zur Verfügung und das sieht Umlaute und dergleichen nicht vor. Der wichtigste Punkt überhaupt ist, dass man sein Passwort niemals vergessen sollte. Bei einem Verlust hat man keine Möglichkeit mehr, an seine Daten zu gelangen. Regelmäßige und überprüfte Backups sind daher Pflicht!

Doppeltes Lottchen

Um das Ärgernis eines vergessenen Passworts zu umgehen, bietet GELI die einfache Möglichkeit, zwei Schlüssel zu erzeugen. Nachdem GELI initialisiert wurde, generiert man mit folgendem Kommando einen Zweitschlüssel:

geli setkey -n 1 /dev/da0
Enter Passphrase: (ErstPasswort)
Enter new Passphrase: (ZweitPasswort)
Reenter new Passphrase: (Wiederholung)

Ähnlich verhält es sich mit dem Masterkey. Mit der folgenden Befehlsfolge lässt sich eine Sicherheitskopie des Masterkeys auf einem USB-Stick, der unter »/usbstick« gemountet ist, für den Fall anlegen, dass ein Benutzer sein Passwort vergessen sollte:

# dd if=/dev/random of=v/usbstick/`hostname` bs=64 count=1# geli init -P -K /usbstick/`hostname` /dev/ad0s1g
# geli backup /dev/ad0s1g /usbstick/bak/`hostname`

Um den vorhanden Masterkey zu überschreiben, gibt es die Option »-n 0« :

# geli setkey -n 0 -k /usbstick/`hostname` /dev/ad0s1g
Enter new Passphrase: (UserPasswort)
Reenter new Passphrase: (Wiederholung)

So einfach ist das.

Infos

  1. Jürgen Dankoweit: Benutzer im UNIX-Netz. C&L-Verlag, ISBN 978-3-936546-36-1
  2. Jürgen Dankoweit (Hrsg.): FreeBSD. C&L-Verlag, ISBN 978-3936546-41-5
  3. FreeBSD-Handbuch: http://www.freebsd.org/doc/de_DE.ISO8859-1/books/handbook/disks-encrypting.html
  4. Gleb Kortsou, Autor von Pefs: http://glebkurtsou.blogspot.de/2009/09/pefs-crypto-primitives.html
  5. Manpages: geli(8), mount(8), umount(8), newfs(8), fdisk(8), bsdlabel(8), rc.conf(5), pefs(8)
comments powered by Disqus
Mehr zum Thema

ZFS unter FreeBSD – Datensicherheit auf neuen Wegen

Das von Sun entwickelte Dateisystem ZFS ist unter Solaris eine feste Größe. Es bietet Eigenschaften, die konventionelle Dateisysteme von FreeBSD, Linux oder OS X vermissen lassen. Der ZFS-Port für FreeBSD bringt das leistungsfähige System für Anwender freier Software in Reichweite.

Artikel der Woche

Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2018