Laptop SSD-Verschlüsselung

F

Fluffy

Guest
Hallo!
Hier steppt der Bär, gleich 2 Fragen in 3 Tagen -.-', langsam wird es ernst.
Also:
Ich wollte demnächst einen Laptop einrichten.
OS Linux(Archlinux(favorisiert) oder Ubuntu).
Er hat 2 Festplatten(250/256 Samsung EVO/PRO SSD und eine 500Gb HDD).

Ich habe darüber nachgedacht die Logs(/var) und das Home-Verzeichniss(/home) auf die HDD zu verlagern und mittels dm-crypt das ext4-Dateisystem zu verschlüsseln.(ggf. auch /root)
Homeverzeichniss da dort die meisten Daten anfallen werden, die auch am häufigsten verändert werden und die Logs, da dort ja viel geschrieben wird.

Die Root-Partition wollte ich auf der SSD belassen.
Hier dachte ich über den Einsatz von dm-crypt und ext4/btrfs mit trim nach(favorisiert) oder ecryptfs.

Mit den unverschlüsselten Meta-Daten könnte ich halbwegs leben, da es sich hierbei um Systemdateien handelt, und nur bedingt Rückschlüsse auf die Konfiguration zulassen, sie aber gegen Manipulation schützen.

Sinn und Zweck dieser Übung ist ein Maximum an Performance und Lebensdauer der SSD bei gleichzeitigem Maximieren der Datenintegrität und des Datenschutzes.

Was ist an meinem Setup auszusetzten/verbesserungswürdig bzw. macht gar keinen Sinn, bzgl. meiner genannten Ziele.

Ich frage deshalb weil ich noch nie eine SSD benutzt habe.
Ich habe im Internet recherchiert und habe wiedersprüchliche Aussagen zu Tage gefördert, und bevor ich die falschen Schlüsse ziehe, dachte ich, ich frag mal.

Gruß

Fluffy

P.s.:Ram und Rechenleistung ist viel vorhanden(8Threads und 16Gig Ram).
Das System soll primär für Recherche und Entwicklung(Java, Scriptsprachen, C/C++) eingesetzt werden, ein paar VMs/Container hosten (auch parallel) zwecks Szenariendurchspielung und apropos spielen, hin und wieder kleinere Spiele laufen lassen können a la TF2, oder ähnliches(ist aber vernachlässigbar, sollte es im Wiederspruch stehen, man kann sich auch anders ablenken/entspannen).
 
Zuletzt bearbeitet von einem Moderator:
/tmp und /var/tmp könnte man ggf. in ein RAM-Disk auslagern. Schont zum einen die Platten und zum anderen werden sie garantiert geleert, wenn der Rechner neu gestartet wird.

Wenn du den Datenschutz allerdings optimieren willst, solltest du softwareseitig noch etwas mehr Arbeit investieren.
- temp-Verzeichnisse mit noexec mounten (d.h. eigene Partition).
- Virenscanner und rkhunter installieren und regelmässig laufen lassen.
- HIDS installieren und konfigurieren. Alerts an ein Desktop-Notification-Tool deiner Wahl senden.
- Hintergrundprozesse und anfällige (Netzwerk)Programme wie Mail-Client und Browser so weit wie möglich kapseln (z.B. mittels OpenVZ, Docker o.ä.). Die Netzwerk-Funktionalitäten vom X-Server und der von den meisten Programmen verstandene Parameter '--display' sind dabei sehr hilfreich. (Overhead von ca. 3-5% für die gekapselten Programme einrechnen.) Das kannst du dann auch gleich für deine "Szenariendurchspielung" verwenden.
 
Verschlüsseln

Hallo


Wenn du /swap auch noch verschlüselst wäre das ncoh besser.

Dann btrfs würde ich im Moment nciht mal mit eienr Kneifzange anfssen, geschweige installieren. Bring dir dir bei dem System und der Konfiguration keine Vorteile, backups mußt du so oder so machen, egal ob du btrfs oder zfs nimmst:wink:

Wenn du Ubuntu nimmst, kannst di wohl ecryptfs nehemn, jedenfalls ist das Standard bei /home, ansonsten bei arch eben dm-cryptm aber dann würde ich das ganze per lvm lösen, ansonsten hast du mehrere Passphrasen um die einzelen Partitionen zu entsperren. Ich hab enur keine Ahnung, wie man / + /home als lvm bauen kann, wenn man SSD + HDD verwendet, ob das überhaupt funktioniert.

Neben rkhunter sei noch chkrootkit empfohlen.

mfg
schwedenmann
 
@Bit:
Vielen dank für die interessanten Aspekte.
Mit Docker/OpenVZ muss ich mich noch vertraut machen.
Das mit dem noexec ist ein guter Hinweis.
Die Sache mit dem HIDS habe ich glaube ich schon einmal in deinem Blog gelesen :wink: .

@schwedenmann:
An die LVM-Sache habe ich gar nicht gedacht.
Nach kurzer Suche bin ich hierauf gestoßen, eigentlich interessant, aber nix für mich, ich will in diesem zusammenhang zZ nicht rumexperimentieren.

Die Swappartition werde ich bei 16Gb zwar nicht brauchen, und dann ggf. einfach nur ein suspend to RAM durchführen.
Sollte ich doch mal in Verlegenheit kommen meinen Laptop längere Zeit schlafen zu legen, dann kann ich auf der HDD immer noch Platz freiräumen.

Und wie oft ich die Passwörter eingeben muss ist egal, da bin ich nicht so bequem und wenn ich den Laptop anmache, werde ich auch länger dran sitzen.
Bei 256Gb SSD, bin ich auch am überlegen mein Home-Verzeichnis auch in die SSD zu verlagern und für größere/schnell veränderliche/selten gerbauchte Daten die partitionierte HDD zu nehmen.
Ich glaub ich mach das mit Symlinks^^, wird zwar frikelig, aber ich habe ein gute Performance, und eine einheitliche Datenhaltung bei beiden Vorteilen von SSD und HDD.
Nur so aus Neugier: Das eben Beschriebene ist vergleichbar mit Windows Libraries, gibt es auf Systemebene so etwas ähnliches auch für Linux?



Bin auf jeden Fall schon einmal beruhigt das ich mit meiner ursprünglichen Idee auf dem richtigen, wenn auch nicht optimalem Weg war.
Vielen Dank für die Tipps und Anregungen, immer weiter her damit 8)

Gruß

Fluffy
 
Nur so aus Neugier: Das eben Beschriebene ist vergleichbar mit Windows Libraries, gibt es auf Systemebene so etwas ähnliches auch für Linux?
UnionFS - wobei es da aber bei gleichen Datei/Verzeichnisnamen "haarig" wird (bzw. die werden überdeckt).

Andererseits - afaik sind WinLibraries ein spezifisches Anwendungs(Explorer)-Feature, also einfach eine XML Datei, die entsprechend interpretiert wird:
Library Description Schema (Windows)
Edit:
D.h man könnte z.B mittels Symlinks die nötigen Verzeichnisse zusammenführen und dann mit einem dem einzig richtigen Filemanager(also Dolphin) darauf eine allgemeine Suche laufen lassen - und das Ergebnis mittels "Rechtsklick->Add to places" dauerhaft "virtualisieren". Ist dann auch im "Öffnen"-Dialog von KDE-Programmen verfügbar.
Wird auf einer SSD sogar halbwegs schnell sein ;) (oder es gibt irgendwo noch ein Zusatzfeature/Option, um das ganze zu cachen - habe ehrlich gesagt dieses Feature nie wirklich vermisst).
 
Zuletzt bearbeitet:
Vielen dank an alle für die Infos.
Habe ich ordentlich was zum Lesen/Suchen un Konfigurieren.
:)
Gruß

Fluffy
 
Ab Linux 3.1 können übrigens auch mit aktivierter dm-crypt Verschlüsselung Trim-Befehle an die SSD durchgereicht werden.
https://wiki.archlinux.org/index.ph...TRIM_support_for_solid_state_drives_.28SSD.29

Allerdings hat das zur Folge, dass einige Metadaten (welche Blöcke belegt sind) trotz Verschlüsselung sichtbar werden. Wichtig ist dann auch, dass die SSD nicht mit Zufallsdaten initialisiert wird.
Ich persönlich würde das in Kauf nehmen und sowohl die SSD als auch die HDD jeweils mit einem LVM voll verschlüsseln.

Das Homeverzeichnis sollte auf jedenfall mit auf die SSD, da dort die meisten Profile gespeichert sind welche beim Anwendungsstart benötigt werden.
 
Vielen dank noch ein mal für die vielen Tipp

Nun will ich auch mal berichten wie es lief und was das Resultat ist.
Nach Startschwierigkeiten (das System kam nicht mit einem GP-Table klar)(Lösung msdos-table) wurde die SSD in 2 Partitionen geteilt(/boot, lvm-root) und die HDD in (lvm-swap, lvm-tmp(wenn ich mehr Zeit habe, ab in den Ram), lvm-growingRest).
Als Verschlüsselung kommt LVM auf LUKS zum Einsatz.
crypttab und fstab tun ihr übriges.

Nochmal ein dickes Dankeschön. ;)

Fluffy
 
Zurück
Oben