System- / Benutzerverschlüsselung

Maximilian Wilhelm max at rfc2324.org
Thu Jan 8 15:45:50 CET 2015


Anno domini 2015 Herbert Wolf scripsit:

>    Hallo experten,
>    Ich wuerde gern ein System anlegen, dass komplett verschluesselt ist -
>    soweit kein Problem.
>    Jetzt meine ungewoehnliche Idee.
>    Beim Start des Systems, soll das System nur hochfahren, wenn
>    (1. eine bestimmte Datei auf einem USB-Stick vorhanden ist, oder
>    2. eine bestimmte Datei auf einem anderen Rechner (Raspberri Pi) im
>    internen Netzwerk vorhanden ist,) und
>    3. ein Passwort eingegeben wird.
>    Also (1 oder 2) und 3
>    Es soll jedoch grundsaetzlich keine Warnung erfolgen, wenn 1 oder 2
>    nicht gegeben sind.
>    Die Anmeldung eines Benutzers soll ebenfalls nur nach den oben
>    genannten Kriterien moeglich sein.
>    Notfalls kann auf die Systemverschluesselung verzichtet werden.

Das kann man basteln, wie Flo schon sagt am einfachsten über die
initrd. Ich habe mal sowas ähnliches gebaut, dass den Standardweg der
interaktiven Passworteingabe abfängt und einen zwing das Passwort
remote per ssh over LAN oder einen PPPoE Session einzugeben. Dafür
müssen die entsprechenden Binaries und Libraries in der initrd sein.

Um den ganzen Kram in die initrd zu bekommen baust Du Dir auf einem
Debian-System ein Skript dass Du nach /etc/initramfs-tools/hooks
packst und dass Dir alles zusammensucht und erzeugt, was Du nachher
haben willst.

Dafür gibts in /usr/share/doc/initramfs-tools/examples/example_hook
auch ein schönes Beispiel. Nett daran ist, dass es u.a. eine fertige
Funktion copy_exec() gibt, die ein Binary und alle benötigten
Libraries kopiert.

Der Hook sollte dann ein "script" erzeugen, das z.B. in local-top
abgelegt wird (so hab ichs gemacht). Darin dann 1 und 2 checken und
wenn Du dann noch willst nach dem Passwort fragen bzw. einmal
"cryptsetup luksOpen foo bar" aufrufen.

Ist ein bisschen Fummelei, aber keine Magie :)

Ciao
Max
-- 
<@Placebox> Gibts eigentlich IRGENDWAS im IT-Bereich, was nicht a priori komplett scheiße ist?
<@Zugschlus> all software sucks



More information about the Linux mailing list