Verschlüsselte Container

Da ich ein wunderbares HowTo gefunden habe muss ich zum Vorgehen keine weiteren Ausführungen machen, denke ich. Falls jemand Fragen hat sollten sie hier in den Kommentaren gepostet werden.

Mit dem Einverständnis von Aaron Spettl kopiere ich das HowTo nach hier. Redundanz schadet nie.

Die einzige Anpassung, die ich vornehme, ist das Dateisystem von ext2 auf ext4 zu aktualisieren.

Ziel:

Ein verschlüsselter Container, den man bei Bedarf in das Dateisystem einbindet. Dies soll ohne Neukompilieren des Kernels funktionieren und keine besonderen Pakete benötigen – sowie in meinem Fall auch unter Debian Testing lauffähig sein.

Pakete:

Wir installieren cryptsetup und loop-aes-utils.

1. Erstellen der Containerdatei

An einem beliebigen Ort legen wir die Datei an, die unsere Daten speichern soll – hier 10 GB groß (mit Zufallsdaten gefüllt):

dd if=/dev/urandom of=/home/user/daten.safe bs=1M count=10240

2. Loop-Device

Als root legen wir ein Device an, das einfach auf diese Datei verweist:

losetup /dev/loop0 /home/user/daten.safe

3. Verschlüsselung einrichten

Wir richten nun die Verschlüsselung (Standard: AES mit 256 Bit) auf diesem Device ein – dabei muss das Kennwort angegeben werden:

cryptsetup -y create datensafe /dev/loop0

4. Formatierung

Der Container ist nun im System unverschlüsselt unter /dev/mapper/datensafe vorhanden. Nun richten wir das Dateisystem ein (hier ext4):

mkfs.ext4 /dev/mapper/datensafe

5. Mount

Nach der Formatierung können wir das Device unter einem beliebigen Verzeichnis einhängen (das existieren muss):

mount -t ext4 /dev/mapper/datensafe /mnt/datensafe

Nun kann man auf /mnt/datensafe ganz normal arbeiten, also speziell auch Zugriffsberechtigungen (restriktiv) setzen.

6. Aushängen

umount funktioniert ganz normal, danach noch den Container schließen und das Loopdevice freigeben:

umount /mnt/datensafe/
cryptsetup remove datensafe
losetup -d /dev/loop0

Tipp: Automatisierung mit sudo

Der mount/umount-Prozess inklusive Öffnen/Schließen des Loopdevices und des Containers kann man in ein Skript packen (und auf einem Ubuntu-System dem User mit sudo die Rechte dafür geben).

1
2
3
4
5
6
7
8
9
10
11
12
#!/bin/sh
# datensafe_mount.sh
 
LOOPDEV=/dev/loop0
SAFE=/home/user/datensafe
CRYPTNAME=datensafe
MNT=/mnt/datensafe
FS=ext4
 
/sbin/losetup $LOOPDEV $SAFE
/sbin/cryptsetup create $CRYPTNAME $LOOPDEV
/bin/mount -t $FS /dev/mapper/$CRYPTNAME $MNT

und

1
2
3
4
5
6
7
8
9
10
11
#!/bin/sh
# datensafe_umount.sh
 
LOOPDEV=/dev/loop0
SAFE=/home/user/datensafe
CRYPTNAME=datensafe
MNT=/mnt/datensafe
 
/bin/umount $MNT
/sbin/cryptsetup remove $CRYPTNAME
/sbin/losetup -d $LOOPDEV

Full-Disk-Encryption

Zu einer FDE kommt man heute mit jedem handelsüblichen Debian oder *buntu-System auf denkbar einfache Weise. Ich gehe davon aus, dass das auch bei den meisten anderen Standard-Distros so ist, kann das aber weder verifizieren noch falsifizieren.

Man startet die Installation, hangelt sich durch bis zum Partitionsmenü und stellt dann auf „Geführt, verwende vollständige Festplatte mit verschlüsseltem LVM“ um. Danach folgt man den Anweisungen weiter, installiert das Grundsystem und fertig ist der Lack.

Zu einfach?

Richtig.

Für den Standardfall „eine Festplatte im Rechner verbaut und der Rechner ist ein Linux-Only-Gerät“ reicht diese Vorgehensweise aus, man muss sich also dank der grandiosen Vorarbeit der Debian-Developers nicht mal mehr groß Gedanken darum machen.

Wenn man jetzt allerdings mehr als eine Platte hat und diese auch alle nutzen möchte, sieht das Ganze schon etwas schwieriger aus.

Dazu folgt man ebenfalls dem Standard-Installations-Menü bis zur Partitionierung und wählt dann „Manuell“ aus.

Je nach Einsatzzweck ist zunächst das Software-RAID zu konfigurieren. Wenn man die Festplatten nicht redundant genutzt werden sollen sondern sämtlicher Speicherplatz ausgenutzt wird kann man sich das RAID sparen.

Dann konfiguriert man den LVM. Dabei steht LVM für Logical Volume Manager, der Link geht dabei zum sehr gut recherchierten und aufbereiteten Wikieintrag bei den Ubuntuusers. Das dort hinterlegte Wissen ist von hier ab als gegeben angenommen. Ich empfehle, alle nicht benutzten Partitionen zu einer LVG (Logical Volume Group), im Folgenden als lvg bezeichnet, zusammenzufassen und dort dann die Volumes anzulegen. Die wichtigen Volumes sind:

– lvg-boot, ca. 200MB bis 1GB, abhängig davon, wie viel Platz man zur Verfügung hat. Ich lasse bei meinen Systemen immer gern Luft nach oben, um für eventuelle Erweiterungen des Codes gerüstet zu sein.
– lvg-swap, sollte ca. doppelt so groß sein wie der Arbeitsspeicher.
– lvg-main, kann der verbleibende Rest des Speicherplatzes sein, falls keine separate /home-Partition angelegt werden soll. Hier finden wir später die /-Partition wieder.
– ggf. lvg-home, falls eine eigene /home-Partition angelegt wird.

Wenn die Volumes angelegt sind wird im Partitionsmenü der Punkt „Verschlüsselte Datenträger konfigurieren“ aufgerufen. Hierbei werden alle Volumes außer lvg-boot ausgewählt. Die boot-Partition darf natürlich nicht verschlüsselt werden, sonst bekommt man eine hässliche Fehlermeldung und kann von vorn anfangen.

Die Installationsroutine geht jetzt ein Volume nach dem anderen durch und lässt die Einstellungen abnicken, mit denen die Verschlüsselung eingeleitet wird.

Achtung: Ubuntu setzt hier mehr auf Geschwindigkeit als auf Sicherheit und schlägt vor, die Daten auf den Platten nicht zu löschen. DAVON RATE ICH STRIKT AB! Wenn man größtmögliche Sicherheit haben will, lässt man die Daten überschreiben. Mehrfach. Dazu muss allerdings bei Ubuntu in besagtem Einstellungsmenü ausgewählt werden, dass man die Daten löschen möchte. Das passiert dann automatisch, kann allerdings abhängig von der Partitionsgröße und der Rechenpower eine Weile dauern.

Wenn man die Verschlüsselungs-Einstellungen hinter sich hat landet man wieder im Partitionsmenü. Hier werden jetzt die angelegten Volumes ausgewählt und mit Dateisystemen und Mountpoints versehen. lvg-boot bekommt ein ext3-Dateisystem und wird auf /boot eingehängt, lvg-swap_crypt wird als Auslagerungsspeicher verwendet, dadurch fällt der Mountpoint weg und lvg-main_crypt bekommt ein ext4-Dateisystem und wird auf / eingehängt.

Jetzt werden die Änderungen gespeichert und die Installation fortgesetzt. Ab hier läuft wieder alles nach Standard-Vorgehensweise und die Installationsroutine tut ihre Arbeit.

Wem das jetzt immer noch zu einfach war, dem lege ich diese Anleitung zur Installation eines verschlüsselten Linux Mint Debian Edition (LMDE) ans Herz.

Auch die exzellenten Artikel des Linux-Magazins bzw. des Linux-Users kann ich dazu sehr empfehlen, die Heftnummern reiche ich auf Wunsch gern nach.

Kopete und meine Webcam – Teil 5

So langsam wird’s…

Nun läuft die Labtec Webcam auch, und Kopete arbeitet damit zusammen Nun sind endlich wieder Videokonferenzen möglich. Nur Skype für Linux müsste das noch unterstüzen…
 

So langsam wird’s…

Nun läuft die Labtec Webcam auch, und Kopete arbeitet damit zusammen Nun sind endlich wieder Videokonferenzen möglich. Nur Skype für Linux müsste das noch unterstüzen…

Nachdem ich ja die Tage Linux neu installiert habe, habe ich vorhin den Webcam-Treiber aus den Quellen neu übersetzt und installiert. Da ist mir aufgefallen, dass das deutlich besser ablief, als beim letzten mal. Da gab es nämlich Fehlermeldungen, heute klappte es ohne…

Zum Schluss noch das frisch installierte Kernelmodul laden und auch in die /etc/modprobe.conf eintragen, und ich habe zwei Video-Devices: /dev/video0 ist die TV-Karte, /dev/video1 die Kamera.

TV-Karte Hauppauge WinTV Nova-T PCI – Teil 5

So, jetzt bin ich schlauer: Das Kernelmodul „cx88-dvb“ musste ich über den sysconfig-Editor als beim Booten zu laden deklarieren, damit es in /etc/modprobe.conf eingetragen wird. Sonst müsste ich das Modul nach jedem Booten von Hand nachladen.

Dann dachte ich mir: Ich tu mir mal was Gutes, und installiere den Videorekorder „vdr“. Doch sobald vdr geladen ist (läuft als Daemon im Hintergrund), funktioniert das Fernsehen mit Kaffeine trotz geladener Module nicht mehr. Seit ich vdr deaktiviert habe, klappt alles. Und zumindest Sofortaufzeichnungen kann ich mit Kaffeine auch machen, die dann im MPEG2-Format auf der Platte landen.

TV-Karte Hauppauge WinTV Nova-T PCI – Teil 4

Alles wird gut!

Ich habe es geschafft, die TV-Karte funktioniert Und das sogar sehr stressfrei: Nur mit modprobe cx88-dvb das Kernelmodul nachladen, und Kaffeine hat mir wieder das Fernseh-Programm angeboten. Ich habe soeben ca. zwei Stunden geschaut, erst auf 3sat „Geronimo„, dann noch Doku auf N24.

Mit Kaffeine geht das dazu noch recht kompfortabel, mit EPG und allem, was man so braucht. Einzig Videotext habe ich in der Software noch nicht gefunden, aber dafür gibt’s noch Spezialsoftware.

Jetzt bin ich nur noch gespannt, ob DVB-T nach dem nächsten Neustart auch noch läuft

Keep it Country,
Markus

TV-Karte Hauppauge WinTV Nova-T PCI – Teil 3

Jetzt möchte ich aufgeben…

Ich habe gestern die neue Version von Ubuntu in der Desktop-Variante gezogen, gebrannt und gebootet. Da lässt sich meine DVB-T-Karte noch nicht einmal konfigurieren. Ich meine, ich habe da keine Möglichkeit gebunden, dies zu tun.

Dann habe ich mich entgegen allen Linux-Gepflogenheiten dazu entschlossen, openSUSE neu zu installieren. Mit Backup vom Home-Verzeichnis brennen war ich bis kurz vor sechs heute früh zugange. Aber da Suse das eine eigene Partition nach /home mountet, hätte ich mir das Brennen sparen können. Alle Daten und persönlichen Einstellungen sind noch da

Ich hatte den Verdacht, das einige alte Kernelmodule, z.B. von der alten Webcam, den Betrieb stören. Nun war bei der Installation genau die Hardware eingebaut bzw. angeschlossen, mit der ich hier arbeiten will. Also sind keine unbenötigten Module oder Treiberleichen mehr im System.

Das erste was auffällt: Die Kontroll-LED an der Webcam leuchtet jetzt ständig, ohne dass auch nur irgend eine Software ein Bild dieser Kamera anzeigen würde. Aber da kümmer ich mich später drum.

Nachdem ich die TV-Karte nun schon während der Installation des Betriebssystems konfiguriert habe, zeigte Kaffeine in der Übersicht den Button „Digitales Fernsehen“. Funktion gab es noch nicht, da wohl noch diverse Codecs fehlten. Der openSUSE-Updater hat sofort 115 Aktualisierungen eingespielt, u. A. ein Kernel-Update. Dann ist der PC natürlich neu zu starten, um mit dem neuen Kernel zu arbeiten. Doch nach diesem Neustart war der Button aus Kaffeine wieder verschwunden, also nix mehr mit Fernsehen

Auch mit anderen TV-Programmen habe ich noch keinen Zugriff auf die Karte erhalten, obwohl KdeTV wenigstens die Karte bzw. deren Bezeichnung korrekt anzeigt. Auch „gqcam“, eigentlich ein Frontend für Webcams, hat als Capture-Quelle die TV-Karte eingestellt…

Sehr merkwürdig das Ganze, dabei ist die Karte in jedem Fall Linux-tauglich. Knoppix hat es bewiesen.

Keep it Country,
Markus

TV-Karte Hauppauge WinTV Nova-T PCI – Teil 2

Also Leute, jetzt zweifle ich langsam an mir selbst…

Ich kriege diese TV-Karte unter openSUSE 10.2 nicht mehr zum laufen… Gestern Abend habe ich die Karte unter Windoof eingerichtet ;-( Aber da läuft die tadellos. Dann wollte ich die Linux-Tauglichkeit nochmal testen und habe den PC von einer Knoppix-DVD (Version 5.1.1) gebootet. Alles klar, keine Probleme. Nur die Fernbedienung wollte nicht so richtig, aber das ist das kleinere Übel.

Ich habe dann die Karte in der Susi mit YaST aus der Konfiguration entfernt, den Rechner ausgemacht und die Karte ausgebaut. Ohne TV-Karte hat YaST natürlich auch keine gefunden, aber ich wollte trotzdem einmal ohne DVB-T-Karte booten.

Nachdem ich dann die Karte wieder eingebaut und mit YaST eingerichtet habe habe, klappt wieder nix. Ich weiß nicht mehr weiter, und in den Foren dieser Internet-Welt habe ich bisher auch noch keine Hilfe gefunden. Ich werd langsam richtig stinkig…

Gruß,
Markus

TV-Karte Hauppauge WinTV Nova-T PCI

Jetzt hab ich ein paar Tage nichts in Sachen Hardware gemacht, die Webcam läuft noch immer nicht. Aber gestern ist meine DVB-T-Karte angekommen, und da musste ich gleich ran.

Nach der Mittagschicht habe ich die Karte so gegen 23:00 eingebaut und über YaST eingerichtet. Das ging ratz-fatz. Mit Kaffeine habe ich dann auch die Karte ausgiebig getestet, klappte alles bestens

Dann habe ich meinen PC einmal neu starten müssen, weil mein Windoof-PDA Mucken machte und ich unter XP ein Backup eingespielt habe. Wieder zurück in Linux, erkennt kein Programm zum Fernsehen gucken mehr die DVB-T-Karte. In YaST steht sie als konfiguriert, und video4linux zeigt mit die Karte auch als /dev/video0 an.

Weder Kaffeine, noch KdeTV, XawTV und wie sie alle heißen finden die TV-Karte und zeigen folglich auch keine TV-Bilder. Ich habe bis heute früh um 5 dadran gebastelt, und heute vormittag schon wieder.

Na ja, gleich muss ich wieder auf Schicht, da werde ich mich wohl heute Abend wieder mit rumärgern…

Keep it Country,
Markus