Encryptie van gegevens op NAS (Luks, TrueCrypt, ..) - Linux en overige clients

zondag 4 november 2012 21:16

Acties:

0 Henk 'm!

Topicstarter

Beste mede-Tweakers,

Graag heb ik advies nodig voor mijn custom gebouwde NAS met Ubuntu Server 12.04 LTS (x64) als OS.

Ik heb de volgende HDD-setup met een Asus C60M1-I moederbord (EFI):
- SSD SATA-600 (64GB) > voor het OS, bootloader, EFI-partitie
- 2x 1TB SATA-300 > voor DATA

Ik zou graag alle schijven willen voorzien van encryptie of een gedeelte van een schijf willen voorzien van encryptie, zonder dat ik er al te veel op achteruit ga op prestatie. Ook moet ik op een (redelijk) eenvoudige manier backups kunnen maken.

Wat heb ik geprobeerd?
Standaard Ubuntu Server installatie op SSD met LVM en encryptie (LUKS met passphrase):
- Systeem unlocken bij opstarten via SSH kan alleen als ik de bootwijze aanpast met behulp van een custom gemaakt script.
- Swap partitie niet encrypted (Dit moet ik dus zelf doen)
- Prestaties gaan (flink) achteruit.
- Wanneer ik de overige twee hardeschijven ook voorzie van LUKS encryptie, krijg ik tijdens het booten allemaal maar (vage) foutmeldingen (Could not find or mount the harddrive - Retry, Manually, Quit - of iets in die richting).

Nu zit ik op dit moment even vast:
- Zou ik de gehele OS (SSD) wel voorzien met encryptie? Kan ik niet beter alleen de data-schijven voorzien van encryptie, om zo de prestaties gelijk te houden?
- Welke encryptie zal ik gebruiken voor de data? Een TrueCrypt volume op een of meerdere data-schijven of toch een file-container die makkelijk gekopieerd kan worden? Of toch maar de schijven voorzien van LUKS encryptie?

Ik heb geprobeerd zoveel mogelijk te proberen en uit te zoeken, maar ik vind het steeds ingewikkelder worden. Ik wil graag mijn gegevens zo best mogelijk beschermen tegen diefstal van mijn NAS.

De NAS moet worden gebruiken voor:
- Backups
- Download-server
- File-server
- LAMP-server (bouwen van kleine projecten)
- Eventueel andere kleine dingen.

Kan iemand mij de goede richting induwen?

Mocht ik iets niet duidelijk heb beschreven of mocht er meer informatie nodig zijn van mijn kant, dan hoor ik het graag.

Alvast bedankt.

zondag 4 november 2012 21:52

Acties:

0 Henk 'm!

begintmeta

Moderator General Chat

Als je AES gebruikt een en CPU met specifieke AES-instructies kiest scheelt dat wellicht al iets.

zondag 4 november 2012 22:04

Acties:

0 Henk 'm!

HollowGamer

Topicstarter

begintmeta schreef op zondag 04 november 2012 @ 21:52:
Als je AES gebruikt een en CPU met specifieke AES-instructies kiest scheelt dat wellicht al iets.

Helaas heeft deze CPU (C60) geen AES-instructies. Daar heb ik helaas niet over nagedacht toen ik het product had gekocht.

maandag 5 november 2012 11:53

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Ik denk dat encryptie op je SSD weinig uitmaakt. Bij het booten zal het iets langzamer zijn, maar die SSD is zoveel sneller dan een HDD dat dit verschil niet interessant is. Daarna wordt je OS-disk niet zo veel meer gebruikt; de belangrijkste stukken heb je al in je RAM staan.
Ik zou zelf voor LUKS gaan maar daar heb ik geen argumenten voor, alleen een onderbuikgevoel.

This post is warranted for the full amount you paid me for it.

maandag 5 november 2012 22:43

Acties:

0 Henk 'm!

HollowGamer

Topicstarter

CAPSLOCK2000 schreef op maandag 05 november 2012 @ 11:53:
Ik denk dat encryptie op je SSD weinig uitmaakt. Bij het booten zal het iets langzamer zijn, maar die SSD is zoveel sneller dan een HDD dat dit verschil niet interessant is. Daarna wordt je OS-disk niet zo veel meer gebruikt; de belangrijkste stukken heb je al in je RAM staan.
Ik zou zelf voor LUKS gaan maar daar heb ik geen argumenten voor, alleen een onderbuikgevoel.

Inmiddels is het gelukt: ik heb de partities zelf aangemaakt met LUKS en LVM op de SSD en de twee data-schijven bij de herinstallatie. Dan is ook het gehele OS beschermd, dan behalve de gegevens.

Kan ik een externe schijf ook voorzien van LUKS-encryptie en deze dan (eenvoudig) mounten om te backuppen?

maandag 5 november 2012 23:24

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Dat kan, je moet dan de passphrase invoeren bij het mounten. Lees het even na voor de zekerheid, want ik heb geen ervaring met LUKS, anders dan dat ik m'n werk laptop volledig heb encrypt (/boot normaal, rest is encrypted LVM met 1 passphrase).

En anders gebruik je truecrypt voor externe media.

Commandline FTW | Tweakt met mate

dinsdag 6 november 2012 10:45

Acties:

0 Henk 'm!

HollowGamer

Topicstarter

Hero Of Time schreef op maandag 05 november 2012 @ 23:24:
Dat kan, je moet dan de passphrase invoeren bij het mounten. Lees het even na voor de zekerheid, want ik heb geen ervaring met LUKS, anders dan dat ik m'n werk laptop volledig heb encrypt (/boot normaal, rest is encrypted LVM met 1 passphrase).

En anders gebruik je truecrypt voor externe media.

Bedankt voor het meedenken.

Klopt, ik had bij de eerste installatie geen /boot aangemaakt buiten de encrypt-container, waardoor Ubuntu de bootloader niet kon installeren.

Dit is de uiteindelijke setup:

code:

SSD
/boot   boot
vg1 (encrypted):
lvswap  swap
lvroot   /

2x 1TB
vg2 (encrypted):
lvdata  /mnt/data

Ik bedenk me net dat ik lvdata voor lvhome (/home) had kunnen vervangen. Maar van de andere kant heb ik nu wel het OS en de data gescheiden.

TrueCrypt lijkt me ook het beste voor mijn Externe schijf, zo kan ik hem bijvoorbeeld ook mounten in Windows. Maar dan moet ik waarschijnlijk wel voor FAT kiezen, of de Truecrypt volume in Windows aanmaken.

Nog een klein vraagje: ik moet nu bij het opstarten de wachtwoord zin opgeven. Eerst kon je via SSH de schijven unlocken, maar dat gaat helaas niet meer met de nieuwste Ubuntu versie. Is er een mogelijkheid om bijvoorbeeld een USB-stick te maken die ik inprik tijdens het opstarten en de schijven dan unlockt? Zo ja, is dit een veilige methode?

Alvast bedankt.

dinsdag 6 november 2012 11:07

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Bij het opzetten van LUKS heb je de mogelijkheid om het een en ander op te geven aan opties. Zo ook het unlocken bij het aanwezig zijn van USB media met daarop de key. Als fallback kan er voor passphrase gekozen worden.

Het werk met een USB stick kan je zien als veilig, maar let wel, verlies je je stick, dan is je data niet veilig meer en als je 'm standaard in je systeem zit, dan heeft de hele encryptie geen zin, ze starten je systeem en kunnen 'm zo uitlezen. Bewaar die dus op een veilige plek en niet achter in je computer "omdat het zo makkelijk is".

Zelf heb ik alleen een passphrase, van 31 tekens, die ik bij het opstarten moet opgeven. Via SSH unlocken gaat niet, want je netwerk is pas later in het boot proces beschikbaar. Het mounten van / komt voor je netwerk tenslotte

.

Commandline FTW | Tweakt met mate

dinsdag 6 november 2012 12:24

Acties:

0 Henk 'm!

HollowGamer

Topicstarter

Hero Of Time schreef op dinsdag 06 november 2012 @ 11:07:
Bij het opzetten van LUKS heb je de mogelijkheid om het een en ander op te geven aan opties. Zo ook het unlocken bij het aanwezig zijn van USB media met daarop de key. Als fallback kan er voor passphrase gekozen worden.

Het werk met een USB stick kan je zien als veilig, maar let wel, verlies je je stick, dan is je data niet veilig meer en als je 'm standaard in je systeem zit, dan heeft de hele encryptie geen zin, ze starten je systeem en kunnen 'm zo uitlezen. Bewaar die dus op een veilige plek en niet achter in je computer "omdat het zo makkelijk is".

Zelf heb ik alleen een passphrase, van 31 tekens, die ik bij het opstarten moet opgeven. Via SSH unlocken gaat niet, want je netwerk is pas later in het boot proces beschikbaar. Het mounten van / komt voor je netwerk tenslotte .

Ik heb de optie helaas gemist, zal er de volgende keer opletten tijdens de installatie.

SSH unlock wel aan de praat gekregen (zie link), maar deze methode werkt helaas niet bij meerdere hardeschijven die tijdens het booten moeten worden gemount. Ik kan ook net zo goed tijdelijk een keyboard koppelen. Vaak verlies of formatteer je per ongeluk een USB-stick, dus dan sla ik die optie ook wel over. (of ze werken opeens niet meer)

Ik denk dat de setup dan nu wel goed werkt, hoewel ik wel aan de schijven errors=remount in /etc/fstab heb moeten meegeven. Maar verder werkt het allemaal prima.

Bedankt voor alle hulp!

[ Voor 4% gewijzigd door HollowGamer op 06-11-2012 12:26 ]

dinsdag 6 november 2012 12:34

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

HollowGamer schreef op dinsdag 06 november 2012 @ 12:24:
Ik heb de optie helaas gemist, zal er de volgende keer opletten tijdens de installatie.

Die heb ik ook niet gezien toen ik ging installeren met Debian Sid, maar ik weet wel dat het een optie is. Of was. Misschien dat je het een en ander handmatig zou moeten doen buiten de setup om, maar nog wel tijdens installatie oid.

Commandline FTW | Tweakt met mate

dinsdag 6 november 2012 21:51

Acties:

0 Henk 'm!

HollowGamer

Topicstarter

[b]Hero Of Time schreef op dinsdag 06 november 2012 @ 12:34:
Die heb ik ook niet gezien toen ik ging installeren met Debian Sid, maar ik weet wel dat het een optie is. Of was. Misschien dat je het een en ander handmatig zou moeten doen buiten de setup om, maar nog wel tijdens installatie oid.

Ik heb nog wat opgezocht, het kan ook inderdaad na de installatie.

Op dit moment twijfel ik nog even om toch een USB-key te gebruiken, om steeds de wachtwoord-zin in de typen tijdens booten (ik zet de NAS regelmatig uit), kan ook wel vervelend zijn af-en-toe.

dinsdag 6 november 2012 22:47

Acties:

0 Henk 'm!

begintmeta

Moderator General Chat

Hoe ga je de USB-key beveiligen?

dinsdag 6 november 2012 23:43

Acties:

0 Henk 'm!

HollowGamer

Topicstarter

begintmeta schreef op dinsdag 06 november 2012 @ 22:47:
Hoe ga je de USB-key beveiligen?

.. Probleem opgelost, gewoon een toetsenbord aansluiten tijdens unlock-proces, en het LED-lampje van de HDD laat mij weten wanneer unlock successvol is.

[ Voor 45% gewijzigd door HollowGamer op 12-11-2012 18:13 ]