LUKS Disk mit Keyfile auf USB Stick entsperren?
Meine Situation: Ich habe 3 PCs, alle mit LVM Disks und mit LUKS verschlüsselt (die gesamte Festplatte)
Mein Wunschgedanke: Ich erstelle eine Keyfile, speichere sie auf einem USB-Stick und wenn ich den einstecken habe, startet der PC, ohne nach einem Passwort zu fragen (entsperrt sich über die Keyfile auf dem Stick).
Ist das (einfach) möglich? Die Tutorials im Internet haben nicht funktioniert. Dass dadurch die Sicherheit nicht mehr so hoch ist, ist mir klar.
3 Antworten
Erfahrungsgemäß ist das teils abhängig von der Distri und vom Init-System.
Die Frage einfach mit JA zu beantworten wäre IMHO etwas weit aus dem Fenster gelehnt. Aber machbar ist das so definitiv.
Bezüglich der Sicherheit: Das hängt doch davon ab, wie Du den Stick physisch sicherst und um welche 'Angriffsszenarien' es geht.
Ich würde als erstes mal in die Anleitung der Distri schauen.
Mein Wunschgedanke: Ich erstelle eine Keyfile, speichere sie auf einem USB-Stick und wenn ich den einstecken habe, startet der PC, ohne nach einem Passwort zu fragen (entsperrt sich über die Keyfile auf dem Stick).
Möglich wäre es aber da musst dir das passende Script dazu selbst schreiben.
Kenne deine PC Systeme und auch deine Key dazu nicht. Was mir auch Recht ist.
Daher muss ich das Script dazu nicht schreiben. Was ich auch nicht tun würde ,aber könnte.
Ist das (einfach) möglich? Die Tutorials im Internet haben nicht funktioniert. Dass dadurch die Sicherheit nicht mehr so hoch ist, ist mir klar.
Man muss den Autostart des Systemes auf den USB Stick Verweisen ,evtl. Bootinformationen der Geräte mit Übertragen so das man nur vom USB Stick bootet.
Wäre eine Möglichkeit. Eine Andere man Verschlüsselt die Bootinformationen (Grub) NICHT ,lässt das System über Grub also Booten und verweist beim Fortfahren auf den USB Stick.Ist das Passwort oder Zugang korrekt bootet das System ganz normal.
Ich weis es ist zuviel verlangt wenn ein Nutzer mal etwas HIRNSCHMALZ nutzen muss.Obendrein sind viele einfach LERNFAUL.
In der Regel reicht es aus eine eigene Partition zu erstellen (/home) und diese zu Verschlüsseln. So kann man wenigstens das OS booten , ohne Zugangsdaten oder Passwort kein Zugang zu den Daten.
Das wird so nicht funktionieren. Auf dem uSB-Stick kann man den Passwortschutz nicht aushebeln. Und kein Skript kann das Passwort auslesen..
LA
Es ist machbar wenn man die Befehle kennt. Habe das mehrmals bei einem Laptop schon gemacht wo der Kunde dummerweise Komplett Alles Verschlüsselt hat. Es gibt 3 Kanäle über die Informatione zu und von Linux aus Weggehen.
STout
STin
STerr
Über diese Kanäle kann man vieles erreichen. Auch das Abfragen auf einen USB Stick , sofern die Syntax Stimmt und das Verzeichnis. Mit Grub wird ein Minilinux Installiert das die Vorbereitung zum Linux hin bootet( siehe Init) . Man kann dies so sehen. Und mit diesem lassen sich Scriptbefehle auch nutzen.
Alles eine Sache des können und wollens. .Ich bin hier nicht um Wertvollen Support zu leisten für ein Problem was keines ist. Dazu gehört es nun mal sich mit dem OS auseinanderzusetzen und verstehen was wo und wie. Tut man das nicht nutzt es nichts es zu erklären wenn der Fragesteller nur Copy & Paste es übernimmt und nicht rafft was da vor sich geht.
Es geht um die Verschlüsselung, und um den Entschlüsselungskey. An dem Punkt wird es schwierig den PC ohne den Schlüssel zu starten.
(Wie) kann ich denn dann den PC ohne Passworteingabe starten?