Kali Linux - komplettes System verschlüsseln?
Gibt es eine Möglichkeit, dass man die Platte auf dem das System liegt komplett verschlüsseln kann? Noch im nachhinein?
So wie man es z.B. bei Windows mit Veracrypt machen kann.
Hat sich erledigt. Suchmaschinen bieten genug Infos.
https://www.google.com/search?client=firefox-b-e&q=kali+linux+komplett+verschl%C3%BCsseln
3 Antworten
Hey,
die gesamte Disk im Nachhinein mit LUKS zu verschlüsseln ist soweit ich weiss nicht möglich. Du könntest nur noch dein Home-Verzeichnis verschlüsseln.
Ich würde, da Verschlüsselung wichtig ist, eine Neuinstallation empfehlen.
Mfg Jannick (L1nd)
Wenn du die Platte neu einrichtest, denk daran die SSD vorher mittels secure erase sicher zu löschen: https://www.thomas-krenn.com/de/wiki/SSD_Secure_Erase
Ansonsten könnte man alte Bestände ggf. wiederherstellen, denn LUKS schreibt nicht alle leeren Bereiche noch mal mit 0en voll. Alternativ kannst du aber auch dein LUKS drauf werfen und dann mittels TRIM die 0en dem Controller mitteilen, der dann für dich dafür sorgt. Aber ein Secure Erase ist die einfachste Methode denke ich.
Das stimmt aber verschlüsselt LUKS nicht die gesamte Festplatte bei der Installation?
Ja, das ist in der Installroutine mit dabei. Bevor Kali installiert wird, überschreibt er die Platte komplett mit irgendwas. Hat bei 500 GB ca. 2h gedauert.
Das hab ich mit genau so gedacht. Dann kann man das Wipen bei einer Neuinstallation natürlich weglassen.
Sorry, war länger nicht mehr hier :D
Ja gut, das kann man natürlich machen um künstlich falsche Daten drauf zu schrieben, damit nicht erkannt werden kann, wo Nutzdaten liegen. Worauf ich hinaus wollte ist, dass ein Schreiben von Nullen die SSD unnötig belastet und man dann eher ein Secure Erase durchführen sollte.
Wenn du eine Platte mit Cryptsetup verschlüsselst, werden die Blöcke die geschrieben werden verschlüsselt, korrekt. Ob das nun eine Platte, Partition, logisches Volumen, Soft-RAID, oder auch nur ein Blockdevice deiner Wahl ist, sei mal dahin gestellt. Bei Linux ist ja jede Datei irgendwo ein Blockdevice (mal von den Spezialtypen abgesehen).
Gibt es eine Möglichkeit, dass man die Platte auf dem das System liegt komplett verschlüsseln kann? Noch im nachhinein?
Ja und Ja
Nur Nutzt dies nichts bei Kali Linux da der Kernel 2 Sicherheitslücken extra im Kernel hat um Szenarien nachzubilden und überprüfen zu können. Darüber lässt sich auch Verschlüsselt dann deine Partition mehr oder weniger Knacken.
Kurzum es wäre sinnlos bei Kali Linux da Kali Linux als Pentesting System ausgelegt ist und nicht als Dauerhaft 24/7 zur Benutzung.
Wenn du ein dauerhaftes Linux verwenden willst kommst du um Linux Mint Mate ( Beispiel) nicht herum ,egal wie du dich anstellst.
"Nur Nutzt dies nichts bei Kali Linux da der Kernel 2 Sicherheitslücken extra im Kernel hat um Szenarien nachzubilden und überprüfen zu können. Darüber lässt sich auch Verschlüsselt dann deine Partition mehr oder weniger Knacken."
Kannst du mir bitte mehr darüber erzählen oder eine bestimmte Seite, wo ich mir das genauer durchlesen kann?
Macht es wirklich Sinn, ein System vollständig zu verschlüsseln, welches offen und frei im Internet erhältlich ist?
Viel sinnvoller scheint es mir, die von dir selbst zugefügten Dateien zu verschlüsseln. Diese wirst du aber wohl überwiegend an spezifischen Stellen des Verzeichnisbaums abgelegt haben, so wie z.B. unter /home, /usr/local, und /etc
Die Daten die dort drauf sind könnten sensible Daten sein. Geht der Laptop verloren oder wird gestohlen, wäre dass das Worst-Case Sz.
Daten, die mit der Installation aus dem Internet kommen, und für alle downloadbar sind, sind eher weniger sensibel.
Handelt es sich um sensible Daten, dann um Dateien, welche als Konsequenz deiner Veränderungen sensibel wurden. Die sind aber nicht über das ganze System verteilt, in den weitaus meisten Verzeichnissen liegen Dateien unverändert, so wie aus dem Internet kommend.
Hm...okay, das ist deine Meinung. Was glaubst du wozu solche Verschlüsselungstools da sind. Zum Spass?
Vielleicht will ich man ja auch nicht das irgendwer sieht welches OS auf dem Laptop liegt.
Dann schaut jemand auf den Partitionstype, und weiß es sowieso.
Da sieht man nur das es ein Linux OS sein könnte, aber nicht welches.
Linux halt. Reicht doch. Ob Kali oder nicht ist ja sowieso nur eine Frage der Paketauswahl.
Hm...ich glaube ich muss hier nicht den Sinn von Verschlüsselungen erläutern. Einer braucht es, der andere nicht. Danke für das Gespräch.. ;)
Richtig, du musst den Sinn davon, offene, freie und für jedermann erhältliche Software zu verschlüsseln, nicht erklären.
Es geht nicht nur darum, es geht um alles.
Bsp. Wenn du das Haus verlässt, schließt du ja nicht nur dein Schlafzimmer ab, wo die ganzen Wertsachen liegen, sondern die komplette Wohnung, oder?
Ich mache das so und deshalb soll auch der komplette Rechner "abgeschlossen" werden.
Hoffe das war jetzt klar und deutlich zu verstehen.
Sagtest du nicht gerade, dass du den Sinn nicht erläutern musst?
Dem stimmte ich sogar zu.
"GF beginnt mich mittlerweile bissel anzuöden. Zum Großteil bestehend aus Rauschen mit Themen und brennenden Fragen wie.... "
Wenn das der Grund ist hier Unsinn zu schreiben, dann gehe doch mal an die frische Luft oder Rad fahren. Täte dir vielleicht ganz gut. Bye...
HerrDieter007 befindet sich auf Deiner Ignorierliste. Dieser Nutzer kann Dir keine Freundschaftsanfragen, Komplimente und private Nachrichten senden.
Außerdem werden werden alle Inhalte von HerrDieter007 auf gutefrage für Dich verborgen.
Hm...ich glaube ich muss hier nicht den Sinn von Verschlüsselungen erläutern. Einer braucht es, der andere nicht. Danke für das Gespräch.. ;)
Würde ich so deinen Lappi in die Finger kriegen ,wäre das erste abzuklopfen ob ein Kali Linux Installiert ist. Dami erspare ich mir sehr viel Arbeit da die Lücken so ein System binnen wenigen Minuten öffnen können. Daher sinnlos. Und Sensible Daten kannst auch zur Not auf einen USB Stick Auslagern. Anders würde es aussehen wenn von Anfang an eine Linux Distri Verschlüsselt wäre . den auch LUKS hat so seine Macken. Diese zu kennen ist mitunter auch einer meiner Beruflichen aufgaben . Jede Verschlüsselung Besitzt Hintertürchen die eigentlich dafür gedacht sind wenn man mal das Passwort oder die Passprhase vergessen hat wieder an die Daten zu kommen. Man könnte es in diversen Scripten verhinden oder Blocken, Nur verliert man dann die Zugangsmöglichkeiten sind auch alle Daten Unwiederuflich verloren.
Das normale Passwort das man vor dem Start eingeben muss kann man umgehen. Deswegen die Komplettverschlüsselung.
Für spezifische Verzeichnisse wären sogenannte encrypted overlay Dateisysteme eine Alternative. Diese können auch nachträglich eingerichtet werden.
Naja, eine FDE erzielt zwangsläufig auch Schutz vor ungewollter Veränderung, insofern ist das durchaus bequem bei mobilen Geräten.
Und gerade bei /etc wird es schnell frickelig, weil so manches aus /etc auch recht früh gebraucht wird.
Dachte ich mir schon. Danke für die Info.