Am 12.10.2024 um 19:22:59 Uhr schrieb Matthias Böttcher:

ich stelle mal eine Frage in die Runde, da ich mir unsicher bin, wie
ich die bekannten Technologien miteinander kombiniere. Gegeben ist
ein Mini-PC mit Prozessor Intel N100, der mit Debian im Dauerbetrieb
zu Hause laufen soll. Dienste sind hauptsächlich Apache HTTP Server
und MariaDB. Bis dahin unkompliziert - Trimming, LVM, php-fpm, ssh
mit PubkeyAuthentication sowie Backup mit borg auf einen externen
Borg-Server sind mir vertraut. Betrieben wird das Gerät Headless.

Mein Threat-Modell: Schutz der Vertraulichkeit bei Einbruch und
Diebstahl des Gerätes sowie später unbesorgte Entsorgung der SSD bei Defekt. Meine Anforderung daher: LUKS für die
Festplattenverschlüsselung.

Wie würdet ihr das einrichten? Folgende Ideen gehen mir duch den Kopf:
- Festplatte komplett verschlüsseln? Wie dann aber "aufschließen"?
Im Headless-Betrieb schwierig.

Geht eingeschränkt (z.B. nach meinem Kenntnisstand aktuell nicht mit
IPv6, mehrere Platten nicht getestet) mit dropbear im initramfs.

Clevis und Tang werden dafür genannt, aber das erscheint mir zu
komplex und damit zu störanfällig.
- Bestimmte Daemons (Service-Units für php-fpm und mariadb) nicht
automatisch starten, Volumes (LVs) mit zugehörigen Daten nach dem
Neustart des Debian "von Hand" (mit Script und Login per ssh)
aufschließen und mounten mittels Login per ssh, dann die Units
starten.

Wäre auch ne Option. Beachte aber, dass so Sachen wie Logs oder /tmp
auch noch existieren.


--
Gruß
Marco

Send unsolicited bulk mail to 1728753779muell@cartoonies.org

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On Sun, 13 Oct 2024 10:30:50 +0200
Marc Haber <mh+debian-user-german@zugschlus.de>
wrote:

Die unbesorgte Entsorgung der SSD ist einfach
zu bekommen: Keyfile auf einen USB-Stick.
Damit geht sogar das automatische Aufschließen
des Systems beim Neustart.

Schützt halt nicht gegen Einbruch weil der
Einbrecher den Stick mit an Sicherheit
grenzender Wahrscheinlichkeit mitklaut und der
Rechner am neuen Standort genau so bootenw
wird wie bei Dir daheim.

Bin hier kein Experte und hab das nicht
ausprobiert.

Aber ich habe gelesen, daß es USB-Sticks für
solche Schlüssel gibt, welche erfordern noch
einen symmetrischen Zugangscode per Tasten auf
dem Stick einzugeben. Wenn der Dieb nun die
Kiste mit dem Stick zu sich nach Hause bringt,
muß er wohl das System neu booten und dazu
braucht er eben den Code. Auf jeden Fall würde
ich vermuten, daß so ein (nicht ganz billiger)
Stick blockiert, bevor alle Kombinationen
durchprobiert wurden.

Ich fände es interessant, ob dieser Einwand
Sinn macht. Vielleicht hat jemand Erfahrung?

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On Thu, 31 Oct 2024 18:53:13 +0100
Marc Haber <mh+debian-user-german@zugschlus.de>
wrote:

Dazu brauche ich einen Regulären Ausdruck für
alle sinnvollen Zeichen, die in einem
Unix-Pfad auftauchen können. Ich weiß, dass
formal alles außer \0x0 auftauchen darf,
aber Steuerzeichen, Unprintables und
Invisibles möchte ich doch gerne ausschließen.

Bloß ein Gedanke. Seit einiger Zeit, so
glaube ich, sind die Linux-FS alle mit UTF8.
Und Unicode hat seine eigenen Klassen und
Eigenschaften, und viele von beiden. Auch: dies
positiv auszudrücken wird wohl sehr lang.

https://www.regular-expressions.info/unicode.html

Darf ich mich vorstellen? Ich heiße:

🫠🚴🚕🛩🚀╘∢😉ò¿ó

Wie tippt ich dann meinen Namen ein? Hab
keine solche Taste auf dem kbd. Vielleicht eine
Liste aller möglichen User anzeigen und dann
per Mausklick auswählen? Könnte nicht allen
Usern genehm sein. Und für ein Email an mich
wär's wohl besser, mit der Maus ausschneiden
und einkleben.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)