Laptop-HDD verschlüsseln, wie machen?

[thosch97]

Moin!

Da ich gerade eben ein Thinkpad X201 gekauft habe, kann ich mir ja jetzt Gedanken machen, wie ich die Festplatte bzw. das System überhaupt am Besten verschlüssel. OS wird nur Gentoo Linux sein, für Windows ist zum einen kein Platz, zum andern wird das mit Verschlüsselung ohne dritte Partition wahrscheinlich nur noch umständlicher.

Der Klassiker wäre ja Boot-Partition mit Kernel und initramfs, mit LUKS verschlüsseltes LVM-Volume und da drin rootfs und swap. Was ist denn mit so modernem Zeugs wie BtrFS, ist das schon stabil genug für den täglichen Einsatz als rootfs? Wenn ich swap auch verschlüsseln will, bräuchte ich trotzdem ein verLUKStes LVM, oder?
Wie ist das dann mit der Sicherheit, wenn ich einfach in Standby gehe?
Wahrscheinlich wird irgendwann eine SSD kommen, wie schaut das da mit TRIM etc. aus?
Oder gibt es noch ganz andere Möglichkeiten?

[mrshadowtux]

Unverschlüsselte Bootpartition, die andern Partitionen in nen LVM. Den verschlüsseln, sodass du beim Boot das PW eingeben musst, fertig.

[thosch97]

(26.01.2014 19:30)mrshadowtux schrieb:  Unverschlüsselte Bootpartition, die andern Partitionen in nen LVM. Den verschlüsseln, sodass du beim Boot das PW eingeben musst, fertig.

Es geht mir um die eigentliche Technik, das Prinzip ist mir klar.

[DosAmp]

(26.01.2014 19:07)thosch97 schrieb:  Wahrscheinlich wird irgendwann eine SSD kommen, wie schaut das da mit TRIM etc. aus?

Das geht problemlos mit Dateisystemen, die die discard-Funktion ohnehin unterstützen, wenn du dm_crypt auch noch die discard-Option mitgibst.

[mrshadowtux]

Also im Ubuntu Alternate-Installer mache ich ein Häkchen, tippe meine Passphrase ein die ich dort haben will und fertig.

[oreissig]

(26.01.2014 19:07)thosch97 schrieb:  Wahrscheinlich wird irgendwann eine SSD kommen, wie schaut das da mit TRIM etc. aus?

Ist halt ein Tradeoff. Entweder die Blocklevel-Encryption reicht das TRIM durch, dann hält deine SSD aber ein potenzieller Angreifer erfährt, welche Bereiche belegt und welche frei sind. Alternativ das Gegenteil, wenn TRIM nicht durchgereicht wird. Für den Hausgebrauch lohnt sich das aber schon.

[thosch97]

(26.01.2014 19:50)oreissig schrieb:  die Blocklevel-Encryption reicht das TRIM durch, dann hält deine SSD aber ein potenzieller Angreifer erfährt, welche Bereiche belegt und welche frei sind.

So paranoid bin ich auch wieder nicht, lieber hebt die SSD dann ne Weile.

[Alpha]

Ich habe auf meinem X200t Gentoo mit Luks und LVM am Start. Trim habe ich in meiner eigenen Initrd aktiviert.

[thosch97]

(26.01.2014 20:38)Alpha schrieb:  Ich habe auf meinem X200t Gentoo mit Luks und LVM am Start. Trim habe ich in meiner eigenen Initrd aktiviert.

Wie machst du das? Partition mit LUKS verschlüsseln, da dann LVM, und dann…? Einfach swap und eine ext4-Partition?

[Alpha]

(26.01.2014 21:01)thosch97 schrieb:  

(26.01.2014 20:38)Alpha schrieb:  Ich habe auf meinem X200t Gentoo mit Luks und LVM am Start. Trim habe ich in meiner eigenen Initrd aktiviert.

Wie machst du das? Partition mit LUKS verschlüsseln, da dann LVM, und dann…? Einfach swap und eine ext4-Partition?

sda1 = /boot
sda2 = LUKS

sda2_luks = LVM
vg_root = /
vg_home = /home
vg_swap = swap

Initrd (selbst gebaut, ich nutze kein Dracut! Kannst aber gern meine haben) startet, fragt nach einem Passwort und mountet dann die LUKS Partition. (cryptsetup hat ja eine TRIM Option..) Im nächsten Schritt sucht dann LVM die Rootpartition und mountet diese. Dann erfolgt ein switch_root und das eigentliche Gentoo bootet. /home und SWAP wird von Gentoo gemountet.