Die Tücken von dm-crypt LUKS - oder wenn man seine Daten nicht mag
- Ersteller PuckPoltergeist
- Erstellt am
PuckPoltergeist
Grand Admiral Special
Hurray, gestern habe ich es doch geschafft, meine gesamten Daten ins Nirvana zu verabschieden. Nein, genauer gesagt, hab ich das noch nicht. Ich hab mich nur endgültig von ihnen ausgesperrt. Wie schafft man das? Nun man nehme einen Rechner mit mehreren Platten an verschiedenen Controllern. Eine Platte am PATA-Controller enthalte das System und noch etwas freien, unpartitionierten Platz. Eine zweite Platte am SATA-Controller ist mit dm-crypt LUKS verschlüsselt und enthält alle Daten, was man so unter /home bunkert. Die Katastrophe kann beginnen, wenn man auf dem freien Platzt jetzt noch Windows unterbringen möchte. An sich ist das ja kein Problem. Und auch daran, dass Windows dabei den MBR überbügelt, hat man sich ja schon gewöhnt. Das Prozedere ist trivial, Windows installieren, Linux-BootCD starten und dann grub wieder herstellen. Dumm wird es aber, wenn man nicht aufpasst, dass die BootCD die Controller in anderer Reihenfolge initialisiert. Da wird aus (hd0) plötzlich (hd1) und vice versa. Wenn man dann unaufmerksam ist, z.B. weil man schon ein paar Bierchen getrunken hat, merkt man das erst nach dem grub-setup. Die Konsequenz? Der LUKS-Header ist zumindest teilweise überschrieben worden von grub, womit die Entschlüsselung der Daten auf der Platte unmöglich geworden ist.
Und so haben wir eine neue Möglichkeit kennen gelernt, wie man seine Daten faktisch unwiederbringlich zerstört.
Und so haben wir eine neue Möglichkeit kennen gelernt, wie man seine Daten faktisch unwiederbringlich zerstört.
PuckPoltergeist
Grand Admiral Special
Und was lernen wir daraus?...
Admin + "paar Bierchen" = keine gute Idee
Auch genannt: "Don't drink and administrate".
Aber ganz ehrlich, das hätte ich wahrscheinlich auch ohne Alkohol hinbekommen. Ich hab schlicht nicht darauf geachtet, dass ohne Partitionierung Grub zwangsweise anfängt in die Datenbereiche zu schreiben. Hätte ich nicht die gesamte Platte verschlüsselt, sondern partitioniert und die Partition dm-crypt übergeben, wäre nix passiert. Aus Schaden wird man klug (hoffentlich). War "zum Glück" noch die alte 320GB Platte und noch nicht die zwei geplanten 1.5TB Datengräber.
joah... ich hab zu meinen glanzeiten ähnliches mit PartitionMagic geleistet... die platten verwechselt und versehentlich die falsche partition gelöscht und dann ne neue darauf angelegt...
Hab ich erst gemerkt als bereits ne größere kopieraktion lief um die neue part. mit daten zu füllen... dann viel mir auf dass die Partition, welche ich eigntlich "ersetzen" wollte noch da war...
Treffer & versenkt
mir ist dm-crypt zuviel Aufwand, ich nehm EncFS für sensible daten...
Hab ich erst gemerkt als bereits ne größere kopieraktion lief um die neue part. mit daten zu füllen... dann viel mir auf dass die Partition, welche ich eigntlich "ersetzen" wollte noch da war...
Treffer & versenkt
mir ist dm-crypt zuviel Aufwand, ich nehm EncFS für sensible daten...
PuckPoltergeist
Grand Admiral Special
Öhm, den verstehe ich jetzt nicht. Wo ist denn dm-crypt Aufwand?
naja, "aufwand" ist zuviel gesagt... ich möcht nicht extra verfügbaren space für verschlüsseltes zeugs abzwacken, wenn ich nicht weiß ob ichs brauche. die crypttab etc. zu befüllen sollte kein act sein.
Wie ist das bei dir, musst du beim booten passwort fürs mounten eingeben oder nutzt du ein passwortfile? - vielleicht aufm USB-stick?
ich hab mir 2 EncFS-Volumes in meinem /home eingerichtet und zwei skripte die sie bei Aufruf mounten und beim nächsten aufruf unmounten. Im einen Fall (emails) startet das mount-skript auch gleich Thunderbird mit und unmountet das Volume sobald Thunderbird terminiert....
Grüßchen
ich
Wie ist das bei dir, musst du beim booten passwort fürs mounten eingeben oder nutzt du ein passwortfile? - vielleicht aufm USB-stick?
ich hab mir 2 EncFS-Volumes in meinem /home eingerichtet und zwei skripte die sie bei Aufruf mounten und beim nächsten aufruf unmounten. Im einen Fall (emails) startet das mount-skript auch gleich Thunderbird mit und unmountet das Volume sobald Thunderbird terminiert....
Grüßchen
ich
tomturbo
Technische Administration, Dinosaurier
Eine "device.map" mit der alten Reihenfolge hat's nicht korrigieren können?
PuckPoltergeist
Grand Admiral Special
Nein, wie denn? Nach dem einmal der LUKS-Header überschrieben war, ist Ende Gelände. Die Daten sind weg, womit auch der eigentliche Schlüssel für die Daten auf der Platte weg ist.