Laptop halbwegs sicher aufsetzen & ein paar Fragen

[Thunder11]

Hallo,

ich nehme an, dass ich in ein paar Wochen die Zeit aufbringen werde, meinen Laptop Mal neu aufzusetzen und ich möchte dabei um Tipps bitten und ein paar Fragen stellen.

Ich habe ~ 699 GB Festplattenspeicher und wollte davon ungefähr 80 - 100 GB für eine Windows 8 Partition verwenden und den Rest für ein linux-basiertes Betriebssystem.
Windows möchte ich nur für ein paar Spiele verwenden und für Visual Studio und das Linux OS für den Rest (Internet surfen, bisschen programmieren, Office, etc). Denn ich vertraue Windows 8 nicht wirklich... (berechtigt?)

Zu Linux: Es gibt ja die Möglichkeit, z.B. /home eine eigene Partition zu geben. Und ich dachte auch daran, das zu tun. Ich sage gleich dazu, ich möchte /home gerne verschlüsseln.
1. Ist es sinnvoll diese Trennung zu machen?
2. Wieviel Speicher sollte ich / dann ungefähr geben?

Ich wollte eigentlich ein paar Distributionen probieren, die mehr oder weniger 100% open source sind.
3. Ist open source heutzutage wirklich noch ein ernst zu nehmender "Schutzfaktor"? Vor allem was Spionage angeht?
4. Zu Passwörtern: Sind Programme wie KeePass sicher? Hat jemand hierzu Erfahrungen wie es sich damit arbeitet? Es kling nämlich interessant.

Zu Windows: Möglicherweise möchte ich auch mein Windowslaufwerk verschlüsseln. Bin mir aber noch nicht sicher. Was ich kenne wäre TrueCrypt oder BitLocker.
Die Entwicklung von TrueCrypt ist ja eingestellt worden - aus mehr oder weniger unbekannten Gründen.. (und es soll Sicherheitslücken haben). BitLocker ist von Microsoft und closed source.
5. Macht es Sinn eine von beiden Lösungen zu benutzen? Oder soll ich es einfach sein lassen?
6. Hat jemand Erfahrungen mit BitLocker/TrueCrypt und Dual Boot mit Linux? Ich denke ja, dass sich wegen Chainloading nichts in die Quere kommen sollte, aber ich frage Mal nach..

Mein Ziel ist mit dem ganzen nicht, irgendetwas zu verbergen oder anonym im Netz zu sein, sondern ich will nicht dass jemand bei mir rumschnüffelt, ohne vorher zu fragen. Und ich denke das ist berechtigt

Freue mich über Rückmeldungen! das ist bisher alles, was mir einfällt.

 

[Watchme]

Hi,

Da dein Text einige Sachen enthält greife ich die mal raus und schreib was dazu:

programmieren, Office, etc). Denn ich vertraue Windows 8 nicht wirklich... (berechtigt?)

Das ist eher nicht brechtigt. Windows8 ist ein relativ sicheres Betriebssystem. Natürlich kommt es immer wieder zu Problemen, aber Win8 soll (so liest man) von der Grundstruktur sicher aufgebaut sein.

Zu Linux: Es gibt ja die Möglichkeit, z.B. /home eine eigene Partition zu geben. Und ich dachte auch daran, das zu tun. Ich sage gleich dazu, ich möchte /home gerne verschlüsseln.
1. Ist es sinnvoll diese Trennung zu machen?
2. Wieviel Speicher sollte ich / dann ungefähr geben?

eigene Partitionen sind immer sinnvoll. Wie viel Speicher du /home geben möchtest hängt davon ab wie viel du übrig hast. Die Faustformel ist: Nach ABzug eines großzügiggen / und ein bisschen swap von deinen 700GB hast du die Größe deiner /home.

Ich wollte eigentlich ein paar Distributionen probieren, die mehr oder weniger 100% open source sind.
3. Ist open source heutzutage wirklich noch ein ernst zu nehmender "Schutzfaktor"? Vor allem was Spionage angeht?

Open source war noch nie ein Schutzfaktor, oder wenn, dann ein kleiner. Open Source bedeutet nur, dass der Quellcode offen liegt. Wenn aber keiner den Quellcode auditiert hast du mit Opensource nichts gewonnen.
Die Gleichung "Open Source = sicher" ist spätestens mit dem Heartbleed - Bug komplett widerlegt worden.

4. Zu Passwörtern: Sind Programme wie KeePass sicher? Hat jemand hierzu Erfahrungen wie es sich damit arbeitet? Es kling nämlich interessant.

Passwortcontainer sind generell erstmal eine super Sache, weil man damit anfängt tatsächlich jeder Website und jedem Login ein eigenes Passwort zu geben. Außerdem kann das Passwort eine hohe Sicherheit bieten. (Ich kenne keinen der sich wirklich ohne PW-Container immer unterschiedliche 20 - stellige Passwörter merken kann)

Zu Windows: Möglicherweise möchte ich auch mein Windowslaufwerk verschlüsseln. Bin mir aber noch nicht sicher. Was ich kenne wäre TrueCrypt oder BitLocker.
Die Entwicklung von TrueCrypt ist ja eingestellt worden - aus mehr oder weniger unbekannten Gründen.. (und es soll Sicherheitslücken haben). BitLocker ist von Microsoft und closed source.
5. Macht es Sinn eine von beiden Lösungen zu benutzen? Oder soll ich es einfach sein lassen?

"Möglkicherweise" ist hier der falsche Ansatz. Einfach machen!
Es gibt auch viele Alternativen für Verschlüsselungen. Manche gut, manche naja. Ich habe vor einiger Zeit mal eine lange Liste in der Wikipedia gesehen, finde sie aber gerade nicht mehr. Such mal... (und poste sie hier, wenn du sie gefunden hast)

6. Hat jemand Erfahrungen mit BitLocker/TrueCrypt und Dual Boot mit Linux? Ich denke ja, dass sich wegen Chainloading nichts in die Quere kommen sollte, aber ich frage Mal nach..

ist bei mir nie ein Problem gewesen.


watchme

 

[CDW]

Zu Linux: Es gibt ja die Möglichkeit, z.B. /home eine eigene Partition zu geben.

[spoiler="schlimmer" ]Debian - Recommended Partitioning Scheme
siehe auch "man hier(7)" hier

Das hat prinzipiell erstmal einige Vorteile - z.B kann man unterschiedliche Mountoptionen in der fstab angeben (nosuid, nodev, readonly, noexec, noatime usw), ebenso wie unterschiedliche Dateisysteme verwenden (oder zumindest unterschiedlich optimierte - z.B journaling oder Sektorengröße), wobei man das auf dem Desktop imho eher vernachlässigen dürfte - als Nachteile gibt es einmal die "Restspeicherplatzverschwendung" oder auch "überlaufende" Partitionen und die ewige Frage, wieviel Speicher man "/" zuteilt

Der einzige reale Vorteil ist imho die vereinfachte Sicherung - man sichert oder klont ab und zu "/" (das Basissystem), welches sich im Notfall aber auch von einem normalen Installationsmedium aufspielen lässt, ohne das "der Rest" beeinträchtigt wird. Die Konfigruationsdateien (/etc /usr/local/etc, /boot und /var) und /home kann man dann getrennt sichern.
Für verschlüsseltes /home hat das zusätlich den Vorteil, dass man nur davon Images erstellen kann (also bitweise, dateisystemunabhängige Kopie, die dann auch verschlüsselt vorliegt). Kommt aber auf die Backupstrategie und Anforderungen an .
[/spoiler]

Und ich dachte auch daran, das zu tun. Ich sage gleich dazu, ich möchte /home gerne verschlüsseln.
1. Ist es sinnvoll diese Trennung zu machen?

Es gibt grob gesagt zwei Arten von Verschlüsselung: Disk/"Blockweise", bei der einfach die Dateiblöcke, die auf ein Gerät geschrieben, vorher verschlüsselt werden (Truecrypt, dm-crypt, geli ...) und dateisystembasierende (encfs, ecryptfs, pefs, ...), die sich also ins Dateisystem integrieren.
D.h beim ersteren kommt man um eine eigene Partition nicht umhin, beim zweiten muss man sicht nicht die Frage stellen:

2. Wieviel Speicher sollte ich / dann ungefähr geben?

zu 2:
"/home" oder wirklich "/" ?
"/home" kann nicht groß genug sein (da hier standardmäig alles landet - .caches, .configs, vom User installierte Plugins (eclipse, browser usw.) und VM-Disks/Snapshots, ganz zu schweigen von "bewusst platzierten" Dateien ). Andererseits kann man immer notfalls Symlinks setzen und die größten Speicherfresser auslagern.

bei "/" lässt sich das schwer sagen - möchte man den Quellcode des Basissystems haben, kommt man schnell auf 2-3 zusätzliche GBs (ich schätze gerade ganz grob, da meine letze src-basierende Linuxspielerei schon etwas her ist), ebenso kann ein "Basissystem" mit einem bequemeren DE=D(esktop)E(nvironment) und ein paar Programmen (latex *hust*, eclipse, qt) schnell 5-6GB belegen. Ich würde also eher 20-25GB empfehlen oder einfach eine einzige Partition für alles, https://wiki.archlinux.org/index.php/ECryptfs für /home - directory und gut ist .

Ich wollte eigentlich ein paar Distributionen probieren, die mehr oder weniger 100% open source sind.

da würde mir als Stichwort "libre-linux" einfallen. Aber:

3. Ist open source heutzutage wirklich noch ein ernst zu nehmender "Schutzfaktor"? Vor allem was Spionage angeht?

Der "Schutzfaktor" wird ziemlich überschätzt (irgendjemand wird's ja schon auditen), außerdem ist "Opensource" ungleich Open Source (Red Hat's "obfuscated" kernel source [LWN.net]) und man ist doch recht oft auf Gerätetreiber-"blobs" und propiätere Programme (BIOS, https://isc.sans.edu/diary/Intel's+new+processors+have+a+remote+kill+switch+(Anti-Theft+3.0)/10111 ) angewiesen (und allgemein - Linux-libre ist ja nicht ganz grundlos ins Leben gerufen worden).
Aaaber - immerhin muss man sich bei Backdoors etwas einfallen lassen, um diese zu verstecken

Zu Windows: Möglicherweise möchte ich auch mein Windowslaufwerk verschlüsseln. Bin mir aber noch nicht sicher. Was ich kenne wäre TrueCrypt oder BitLocker.

Da wäre z.B Diskcryptor - ein TC Fork (von 2007) https://diskcryptor.net/wiki/Bootloader
Wobei es zu TC ein laufendes Auditverfahren gibt Is TrueCrypt Audited Yet?

5. Macht es Sinn eine von beiden Lösungen zu benutzen? Oder soll ich es einfach sein lassen?

Vielleicht sollte man die Frage so stellen: "gegen wen/was genau möchte ich mich schützen" ?
Der Zweck einer Festplattenverschlüsselung ist
1) der Schutz der Daten bei ausgeschaltetem Rechner.
2) Sicherstellung der Datenintegrität (zumindest Bitlocker soll das beherrschen)
Demnach gibt 1001 Wege diesen Schutz zu umgehen:
vom klassischen Trojaner/Bot, über "cold boot attack", Hardwarekeylogger bis hin zu BIOSinfektion, Spionagecams/Mikrofone oder dem klassischen 5$ wrench

Spoiler: *scnr*

Ab einem gewissen Aufwand macht es einfach kaum einen Unterschied, ob eine Festplattenverschlüsselung absolut sicher ist.
Offiziell haben weder TC noch Bitlocker Backdoors. D.h zumindest, dass diese nicht in "unwichtigen" Fällen genutzt werden:
FBI hackers fail to crack TrueCrypt - Techworld.com und bei "wichtigeren" - siehe die Sache mit dem Aufwand (ich stelle es mir dann so vor: man kommt heim, sucht die ganzen Wanzen mit einem aus Kaugummi, Büroklammer und AA-Batterie gebastelten Detektor, bemerkt kleine Kratzer am Siegellack - schraubt seinen Laptop auf, entfernt noch eine Wanze und den Keylogger, nimmt den USB Stick mit einer minimal-distri und selbstgebauten mtree-Integritychecker vom Hals, stellt den trotz TPM infizierten Bootloader wieder her, bootet das System und zeigt anschließend der Flugdrohne hinter der Fensterscheibe den Stinkefinger )

Ich würde eher ein Boot/Bios Passwort setzen und dann nur Tmp/"Eigene Dateien"/home verschlüsseln. Das sollte für die meisten Anwendungsfälle absolut ausreichend sein.

 

[Tsjuder]

Was für Spiele denn überhaupt? Wenn du aktuelle Spiele spielen willst, wird es sehr schnell eng mit den 100 GB. War das nicht das neue Wolfenstein, dass allein schon ca. 40GB frisst?

Da würde ich dann schon ein wenig mehr für Windows abgeben

 

[Fluffy]

Was man auch nicht unterschätzen darf ist die synchronization zwischen Windows und Linux.
Wenn du beides seperat verschlüsselst, Bitlocker läuft nicht auf Linux und FreeOTFE wird nicht mehr weiterentwickelt, wenn es das überhaupt noch gibt, also kein dm-crypt für Windows, wirst du dich damit nicht herumquälen müssen, aber sobald du z.B. deinen Emailclient unter Win als auch unter Linux auf den gleichen Order zugreifen lassen willst, wird das ggf. ein Problem, den Fat32 ist nicht wirklich modern und zumindest vor 2-3 Jahren war die Schreibperformance von ntfs-3g ziemlich schlecht, vor allem im Vergleich zum Ressourcenverbrauch.
Darüber hinaus gibt es hier dann ggf. wieder ein "Sicherheitsproblem"(weil du ja Sicherheit betont hast), denn dann muss ich nur 1 OS kompromitieren(nicht das das einfach wäre) um an Daten zu kommen die unter beiden verfügbar sind, und das dürften dann die sein die dir Wichtig sind da du sie unter beiden Betriebssystemen zur Verfügung haben möchtest.

Gruß

Fluffy

 

[xblax]

Was man auch nicht unterschätzen darf ist die synchronization zwischen Windows und Linux.
Wenn du beides seperat verschlüsselst, Bitlocker läuft nicht auf Linux und FreeOTFE wird nicht mehr weiterentwickelt, wenn es das überhaupt noch gibt, also kein dm-crypt für Windows, wirst du dich damit nicht herumquälen müssen, aber sobald du z.B. deinen Emailclient unter Win als auch unter Linux auf den gleichen Order zugreifen lassen willst, wird das ggf. ein Problem, den Fat32 ist nicht wirklich modern und zumindest vor 2-3 Jahren war die Schreibperformance von ntfs-3g ziemlich schlecht, vor allem im Vergleich zum Ressourcenverbrauch.
Darüber hinaus gibt es hier dann ggf. wieder ein "Sicherheitsproblem"(weil du ja Sicherheit betont hast), denn dann muss ich nur 1 OS kompromitieren(nicht das das einfach wäre) um an Daten zu kommen die unter beiden verfügbar sind, und das dürften dann die sein die dir Wichtig sind da du sie unter beiden Betriebssystemen zur Verfügung haben möchtest.

Gruß

Fluffy

Truecrypt + NTFS war eigentlich die einzige Möglichkeit verschlüsselte Daten zwischen Windows und Linux zu sharen, aber das fällt jetzt leider weg ...

Was man machen könnte wäre dm-crypt + beliebiges Dateisystem unter Linux, dazu eine schlanke Linux VM unter Windows welche auf die verschlüsselte Partition zugreift und per SMB an Windows freigibt. Das ist aber leider eine ziemliche Bastellösung.

 

[Thunder11]

Danke erstmal für die schnellen und guten Antworten!

Das ist eher nicht brechtigt. Windows8 ist ein relativ sicheres Betriebssystem. Natürlich kommt es immer wieder zu Problemen, aber Win8 soll (so liest man) von der Grundstruktur sicher aufgebaut sein.

Ja sorry, ich hab mich vielleicht schlecht ausgedrückt. Ich habe eher nicht die Angst, dass ein Virus/Trojaner auf meinem System landet (verwende jetzt seit einem halben Jahr nur noch brain.exe als Antivirus und es scheint zu funktionieren), sondern vielmehr vor eventuell absichtlich in das System eingebaute Backdoors - ist eh ein aktuelles Thema.

Am liebsten würde ich wahrscheinlich nur Windows 8 auf der Festplatte haben (ein kleines Linux OS kann man sich ja auch auf einen USB-Stick spielen oder so), aber mein Vertrauen ist etwas geschwächt...

@CDW: Okay, ich sehe mir das ecryptfs mal an! Guter Tipp und sehr interessante Antwort Und zu viel Aufwand möchte ich mir auch nicht machen - ist richtig.

@Tsjuder: Also wichtig sind Age of Empires II und Civilization IV und GTA Vice City (eventuell noch Portal II). Also die meisten Sachen sind nicht aktuell und das geht sich glaub ich alles aus.

@Fluffy: Gut dass du das ansprichst! Aber ich denke, ich werde keine großen und auch nicht viele Dateien hin und her schieben (jedenfalls plane ich das nicht). Was also anfallen sollte, geht über die SD-Karte im SD-Karten-Schacht.