Ausgangssituation:

Ein Rechner mit drei frischen Platten, eine Platte für das System und die beiden anderen Platten arbeiten in einem Raid 1 Verbund gespiegelt und sollen das /home-Verzeichnis werden. Natürlich wird alles auch verschlüsselt, bis auf die /boot Partition.

Installations-CD rein und dann Arch Linux starten und der erste Befehl den ihr eingebt ist:

# km

um die keymap und die Schrift auszuwählen, in meinem Fall quertz/de und als Schrift Lat2-Terminus…

Jetzt geht es daran die Festplatten vorzubereiten. Mit fdisk -l könnt ihr schauen wie eure Festplatten gemapped wurden. Normalfall: /dev/sda /dev/sdb und /dev/sdc

/dev/sda wird formatiert in eine kleine circa 200MB große /boot-Partition und der Rest wird für die /root-Partition genutzt. Ich lasse immer noch ein paar GB Platz frei, man weiß ja nie was man noch so braucht. Die beiden anderen werden auch formatiert, aber jeweils mit dem vollen Platz. Und los gehts mit:

# cfdisk /dev/sda

/dev/sda1 muss bootfähig gemacht werden mit “boot” (siehe Bild)Vergesst nicht dass ihr erst “write” und dann “quit” ausführen müsst, sonst sind die Änderungen nicht wirksam.

So sollte das Partitionsschema dann aussehen für /dev/sda

Jetzt die beiden anderen Festplatten schnell formatieren mit dem gesamten Speicherplatz.

# cdfisk /dev/sdb

# cdfisk /dev/sdc

New > Primary > all space > write > type “yes” > quit > ready

Mit fdisk -l könnt ihr wieder schauen was ihr so angestellt habt.

Jetzt geht es an das Datenraid, ein Raid1, d.h. wir spiegeln die Daten. Ein Raid ist kein Backup, also macht bitte zusätzlich noch Backups!!!

Wir können jetzt mit lsmod schauen ob raid1 und dm-crypt schon geladen sind, ansonsten laden wir die Module einfach mit:

modprobe raid1

modprobe dm-crypt

Und jetzt legen wir das Raid an. Ziemlich selbsterklärend der Befehl:

# mdadm --create /dev/md0 --level=1 --raid-devices=2 /dev/sdb1 /dev/sdc1

Hier können natürlich auch mehrere Platten und ein anderes Raid-Level genutzt werden. Die Bezeichnung /dev/md0 werden wir jetzt noch ab und an verwenden.

Verschlüsselung

Jetzt verschlüsseln wir die /root-Partition und dann das Raid mit folgenden Befehlen:

# cryptsetup -c aes-xts-plain -y -s 512 luksFormat /dev/sda2

# cryptsetup -c aes-xts-plain -y -s 512 luksFormat /dev/md0

Ihr könnt selbst entscheiden, welchen Verschlüsselungsalgorithmus ihr wählt, aber vergesst nicht ein sichers Passwort zu nutzen, sonst bringt euch die beste Verschlüsselung nichts.

Jetzt öffnen wir die frisch verschlüsselten Partitionen mit:

# cryptsetup luksOpen /dev/sda2 system

# cryptsetup luksOpen /dev/md0 raid

system und raid sind frei gewählte Bezeichnungen, hier könnt ihr auch schreiben was ihr wollt, nur müsst ihr euch das merken, da wir die Namen wieder verwenden.
Jetzt setzen wir auf die Verschlüsselung noch LVM auf:

# lvm pvcreate /dev/mapper/system

# lvm vgcreate vg_system /dev/mapper/system

# lvm pvcreate /dev/mapper/raid

# lvm vgcreate vg_raid /dev/mapper/raid

Jetzt haben wir zwei Gruppen, eine für das System und eine für das Raid. Zuerst gehen wir an die Gruppe vg_system:
Der Befehl lvcreate fügt der Gruppe (letztes Wort im Befehl), hier vg_system eine logische Partition hinzu.
Vorsicht: Kopiert bitte nicht einfach die Befehle, achtet u.a. auch auf die Größenangaben!
Es werden also root, swap und tmp angelegt, auch hier könnt ihr noch mehr hinzufügen:

# lvm lvcreate -L 2GB -n root vg_system

# lvm lvcreate -L 512MB -n swap vg_system

# lvm lvcreate -L 512MB -n tmp vg_system

Jetzt geht es an das Raid:

# lvm lvcreate -l 100%FREE -n home vg_raid

Jetzt haben wir schon einiges geschafft.
Los geht es also mit dem eigentlichen Setup:

# /arch/setup

Hier dem Installer folgen bis “3 Prepare Harddrive”
Hier die Screenshots wie ihr vorgehen müsst.

Ich habe keine weiteren Optionen oder Labels oder so angegeben. Die /boot-Partition ist somit fertig vorbereitet.
Jetzt geht es an die /root-Partition und danach analog weiter mit swap und tmp.

Wählt jetzt ext4 oder reiserfs…

Jetzt swap wählen:

dann tmp und anschließend das raid:

und /home wählen:

Am Ende sieht das Schema dann so aus:

mit den Pfeiltasten nach unten bis “done” und dann bestätigen.

Jetzt mit Punkt 4 weiter machen: Select Packages und dann installiert ihr die Packages nach Punkt 5. Danach gehen wir in ein anderes Terminalfenster mit Alt+F3 und loggen uns als root ein.
Jetzt lassen wir mdadm unser Raid analysieren und speichern es erstmal als test ab:
Wir navigieren in den entsprechenden Ordner:

# cd /mnt/etc 

und dann:

# mdadm --examine --scan >> test

dann können wir uns das Ergebnis mit:

# cat test

ansehen und löschen die alte mdadm conf und nennen die Testdatei um:

# rm mdadm.conf

# mv test mdadm.conf

Jetzt die crypttab editieren:

nano /mnt/etc/crypttab

hier am Ende der Datei folgendes eintragen, damit das Raid-Array auch automatisch gemountet wird:

raid /dev/md0 EUERPASSWORT

Später könnte man das ganze noch so anpassen, dass die Partition per keyfile entschlüsselt wird und vieles mehr.
Jetzt zurück zum Installer mit Alt+F1 und das System konfigurieren.
Wählt nano als Editor, außer ihr kennt und könnt! mit den anderen umgehen.Hinweis zu nano: mit strg+w sucht ihr, mit strg+o schreibt ihr und mit strg+x verlasst ihr den nano.

Wir editieren die rc.conf, damit lvm genutzt wird:
rc.conf
USELVM=”yes”
in der /etc/mkinitcpio.conf muss folgende Zeile angepasst werden:
Hinweis: Reihenfolge ist zu beachten!
HOOKS=”base udev autodetect pata scsi sata keymap usbinput mdadm encrypt lvm2 filesystems”

Jetzt den Bootloader Grub auf /dev/sda installieren, man wird dann automatisch aufgefordert die Konfigurationsdateien zu überprüfen und genau diese müssen wir anpassen:

Ihr müsst jetzt in der kernel-Zeile noch das cryptdevice eintragen (auch bei Fallback!):

kernel /vmlinuz26 root=/dev/mapper/vg_system-root cryptdevice=/dev/sda2:vg_system ro

Datei speichern und schließen, danach wird man aufgefordert das boot device zu wählen:

That’s it!

Jetzt heißt es reboot einzutippen oder init 0 um den Rechner auszuschalten.
Have fun!
Zum Schluss ist noch zu sagen, dass man je dm-crypt device bis zu 8 Passwörter oder Keys hinterlegen kann. Dies sollte man ausnutzen! Und man kann die crypt-header sichern, auch dies ist zu empfehlen, falls mal was schief läuft. Hilfe findet ihr dazu im arch wiki!

Quellen:
Arch Wiki
http://yannickloth.be/blog/2010/08/01/installing-archlinux-with-software-raid1-encrypted-filesystem-and-lvm2/
http://www.pindarsign.de/webblog/?p=767

Mein Testsystem ist eine aktuelle Debian Installation mit einer Festplatte für das System und zwei identischen Festplatten für mein verschlüsseltes Software Raid das ich während der Installation von Debian kinderleicht erstellt habe. Es handelt sich um ein Raid 1, gespiegelt. Es spielt keine Rolle, ob ihr das System per Passwort oder nach der Installation per Flash-Speicher frei schalten lasst.

Wenn dann alles geklappt hat, dann könnt ihr ganz einfach mal testen ob alles glatt gelaufen ist mit:

sudo mdadm -D /dev/mdX

wobei das X für eine Zahl steht, die ihr bei der Installation oder beim booten sehen könnt.

Wichtig ist, dass ihr dann in der Konsole sehen könnt, ob das Raid vollständig ist oder nicht und welche Platte, also /dev/sd[a|b|c|d] etc. angeschlossen ist. (zu lesen ist das als entweder a oder b oder c, also sda oder sdb, etc.)

In meinem Testfall hat mit dem Raid nach der Installation alles gut geklappt und der Konsolen Output zeigt mir, dass mein Raid funktioniert. Jetzt habe ich den Rechner runter gefahren und eine der beiden Platten abgesteckt und wieder gebootet. Jetzt kann ich sehen, dass mein Raid nicht mehr vollständig ist. Anschließend habe ich die abgesteckte Platte an einem Windows System mit NTFS formatiert und anschließend ein paar Daten darauf kopiert und dann wieder an meine Debian Installation angesteckt.

Jetzt muss man eben heraus finden, wie die neue Festplatte intern gemapped wird. Ihr schaut also wieder mit dem gleichen Befehel wie oben angegeben, welcher Buchstabe für die schon vorhandene Festplatte vergeben wurde und dann könnt ihr zum Beispiel in gparted sehen, welchen Buchstaben die neu (wieder) angesteckte Festplatte bekommen hat und ihr solltet die vorhandene NTFS Partition in gparted einfach löschen.

Wenn ihr das geschafft habt, dann geht es wieder ins Terminal und ihr gebt folgenden Befehl für ein Rebuild ein:

sudo mdadm --re-add /dev/mdX /dev/sde

(/dev/sde ist hier nur ein Beispiel!)

und was der Rechner jetzt treibt könnt ihr mit

watch -n .1 cat /proc/mdstat

verfolgen und beobachten. Vielen Dank hier schonmal für diesen Beitrag.

Anschließend habe ich den Rechner wieder runter gefahren und habe die andere Festplatte abgesteckt und wieder gebootet und siehe da, alles funktioniert! Jetzt könnte man natürlich die andere Festplatte abstecken und das gleiche Szenario nochmal durch spielen, aber mir ging es eig. nur darum, ob der Rebuild trotz der Verschlüsselung klappt und ich bin froh, dass alles so einwandfrei funktioniert hat.

Links zu gparted, debian oder mehr wurden deshalb nicht angegeben, da ich erwarte, dass der Leser es schafft, die genannten Seiten trotzdem aufzurufen.

Und immer schön Backups machen, bevor ihr mit wichtigen Daten herum spielt!
Viel Spaß mit Linux, dm-crypt und OpenSource.

Und es gibt sicher noch mehrere nützliche Tools, ein nettes ist z.B. noch figlet oder vrms, welches euch anzeigt welche installierten Programme nicht OpenSource sind.

Und allgemein gilt: $ <package> – – help oder $ man <package>

Have fun

Ich will heute nicht auf die Installation eines Webservers eingehen, sondern auf die Installation und Konfiguration von stunnel. Einfach gesagt, statt unverschlüsseltem http ein verschlüsseltes https via Zertifikaten. Ein lauffähiger Webserver wird voraus gesetzt.

Die Anleitung geht von einem Debian Linux oder Ubuntu aus. Stunnel gibt es aber auch für Windows.

Erstmal müssen wir uns um SSL und die Zertifikate kümmern:

sudo openssl req -new -x509 -days 3650 -nodes-out stunnel.pem -keyout stunnel.pem

einfach alle Fragen irgendwiebeantworten und danach per

openssl x509 -subject -dates-fingerprint -in stunnel.pem 

anschauen, was ihr so eingegeben habt. stunnel.pem ist ein frei gewählter Name und kannauch foo.pem genannt werden.
So,jetzt installieren wir stunnel:

sudo aptitude install stunnel4

dann unter “/etc/default/stunnel4″

von ENABLED=0 auf ENABLED= 1

abschließend in  “/etc/stunnel/stunnel.conf” folgendes editieren:

; Certificate/key is needed in server mode and optional in client mode

cert = /etc/stunnel/stunnel.pem
key= /etc/stunnel/stunnel.pem

; Protocol version (all, SSLv2, SSLv3, TLSv1)
sslVersion= SSLv3

; Some security enhancements for UNIX systems - comment them out on Win32
chroot = /var/lib/stunnel4/
setuid = stunnel4
setgid = stunnel4
; PID is created inside chroot jail
pid= /stunnel4.pid

; Some performance tunings
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1

[https]
accept = 443
connect = 8080

Erklärung: accept = stunnel lauscht auf Port 443 und leitet an connect Port, hier 8080 weiter. Ganz am Anfang müssen natürlich die Dateinamen mitden generierten Zertifikaten übereinstimmen.

Jetzt noch ein freundliches

sudo /etc/init.d/stunnel4 restart

und schon müsstet ihr euch per https://localhost/ verbinden können. Es kommt ein kurzer Hinweis mit einem nicht signierten Zertifikat, das müsst ihr annehmen und schonläuft die verschlüsselte Verbindung.

Mehr Informationen über SSL findet ihr bei www.google.de oder www.bing.de< /A> .

Das wars mit https in 10 Minuten.

ssh laptop '<Alias>'

Also habe ich es ausgeschrieben:

ssh laptop 'sudo /etc/init.d/mysql start'

Dann werde ich natürlich aufgefordert mein Admin Passwort einzugeben und dann habe ich erstmal geschluckt, als das mein Passwort im Klartext erschienen ist. Hö?

Kann das vielleicht mal jemand von euch testen und mir Bescheid geben ob das bei euch auch so toll funktioniert?

Und das von Debian per ssh zu Ubuntu – ganz schön komisch!

ich habe gestern etwas mit meiner aktuellen Verschlüsselung und dm-crypt rum gespielt und wollte meine /tmp Partition etwas anders verschlüsseln als bisher. Nach dieser Anleitung hat es leider nicht so geklappt wie ich mir das vorgestellt habe.  Nachdem diverse Versuche nicht geklappt haben, habe ich die “geschrottete” Partition mit gparted formatiert, wollte wieder booten, doch leider kam ich nicht mehr in mein System, also zurück in gparted und dann ist da mein Boot-Flag für meine / Partition weg. Ok, danach war ich dann wieder soweit wie vorher. Mein System funktioniert, aber ich kann mich nicht einloggen. Also habe ich ein neue verschlüsselte /tmp Partition erstellt. (Befehle u.a. hier)

Leider kam ich danach immer noch nicht in mein System. Ich konnte jedoch nach den richtigen Anpassungen in der /etc/fstab und der /etc/crypttab alles korrekt mounten. Das Problem: die Rechtevergabe in /tmp galt nur für root und nicht für meinen aktuellen Benutzer. Also konnte ich mich nach einem freundlichen “chown -hR <user>:<user> /tmp” wieder in mein System einloggen. Juheeee! (ich hatte fast nicht mehr daran geglaubt und schon diverse andere Distributionen als Linux runter geladen )

Ok, soweit so gut. Ich habe eine lokale lighttpd und mysql Installation, die ich manuel starte um diverses zu programmieren.

Nur leider startet mein mysql Server nicht mehr so wie er soll. Und wirft komische Fehler, zu denen man alles mögliche im Internet findet. Der Fehler wenn mysql gestartet wird: ERROR 2013 (HY000) at line 2: Lost connection to MySQL server during query und hier der Fehler, wenn ich eine einfache Abfrage gegen die DB schicke: ERROR 1286 (42000): Unknown table engine ‘InnoDB’ . Na gut, man könnte meinen, dass die InnoDB Engine aus ist, ist sie aber laut my.cnf nicht! Dies kann man in der my.cnf nachsehen oder so innerhalb der mysql Console: “show variables like ‘have_innodb’;” und wenn hier steht “have_innodb = DISABLED” dann müsst ihr das in der Konfiguration anpassen, wenn hier aber wie in meinem Fall “have_innodb = NO” steht, dann habt ihr ein Problem.

Ich habe dann noch etwas recherchiert und hätte eig. auch selbst auf die Lösung kommen können, denn dieser kleine Befehl war des Rätsels Lösung: “chmod -R 0777 /tmp“. Ist ja auch klar, wenn man bedenkt, wer nach der neuen Formatierung Zugriff auf /tmp hatte.

Vielleicht erspart es ja dem einen oder anderen Ärger mit MySQL und komischen Fehlermeldungen.

if you get a pcf file to import e.g. for KVpnc then everything works fine, but when you want to connect to your VPN-Server you need to enter a ‘group password’. Ok, so how to get this group password? Very easy, it’s written in plain text in the pcf file. Just do a:

cat profile.pcf | grep GroupPwd

and then copy the encrypted password and paste it here to get the password as clear text. Now you can enter the group password in KVpnc and you can now connect to your VPN-Server.

Have fun

Ziel: Kontakte und Kalender bidirektional synchronisieren
Voraussetzungen: Ubuntu, Evolution, WLan mit konfiguriertem Netzwerk und ein Nokia E71(das auch per Wlan ins Internet kann!)

Anmerkung: es gibt viele hilfreiche Dokus! für Windows gibt es auch eine Funambol Version!

Zuerst lädt man sich den funambol Server für Linux runter (https://www.forge.funambol.org/download/), dann installiert man den Server (sudo sh ./funambol-xyz.bin -> am besten man lässt die Standardkonfiguration und installiert alles brav in /opt/Funambol) und öffnet folgende Datei: /opt/Funambol/bin/funambol und passt den FUNAMBOL_HOME Pfad wie folgt an:

FUNAMBOL_HOME=/opt/Funambol

Man kann das oben genannte Skript auch nach /etc/init.d/ kopieren, um den Server einfacher zu starten oder zu stoppen. Mit ps aux | grep funambol könnt ihr einsehen, ob der Server läuft oder wenn ihr nichts geändert habt könnt ihr den Server unter: http://localhost:8080/funambol/ds erreichen.

Ein nettes Admin Tool gibt es auch, hier muss aber eig. nichts angelegt werden, auch nicht das Handy oder ein neuer Benutzer, dies geschieht automatisch (siehe Dokumentation). Das Programm liegt unter /opt/Funambol/admin/bin und dann funamboladmin.

Also der eigene Sync-Server läuft und ist erreichbar, was nun? Wir benötigen noch 2 Programme, also passen wir erstmal die Datei /etc/apt/sources.list an und fügen folgendes hinzu:

#SyncEvolution
deb http://www.estamos.de/download/apt stable main

#genesis-sync
deb http://ppa.launchpad.net/frederik-elwert/ppa/ubuntu intrepid main
deb-src http://ppa.launchpad.net/frederik-elwert/ppa/ubuntu intrepid main

speichern die Datei, aktualisieren apt vie apt-get update und installieren anschließend:

sudo apt-get install syncevolution genesis-sync

Ok, ihr habt es fast geschafft, jetzt startet man genesis-sync (eine GUI für syncevolution), und nutzt bei der Konfiguration das Template für Funambol und tragt als Servernamen ein, was ihr wollt und als Server-Adresse: http://localhost:8080/funambol/ds (auf eurem Handy müsst ihr natürlich die IP des Rechners, auf dem der Server läuft eintragen!). Hier ein paar Screenshots, damit auch nichts schief geht:

config genesis-sync

config genesis-sync

config genesis-sync

Ok, jetzt könnt schon evolution und funambol synchronisieren. Das ist natürlich wichtig, denn der Server erkennt nicht, wann ihr in evolution eine Änderung vor nehmt und es läuft schließlich alles über den Server!

Die Einrichtung im Handy ist denkbar einfach, ihr klickt euch bis zur Synchronisierung und erstellt dort ein neues Profil, gebt die oben genannte Serveradresse ein und bei der Datenbank für die Kontakte: cards und beim Kalender: event (sollte auch logisch sein, wenn ihr genesis-sync konfiguriert!).Screenshots (+ Infos) finden sich hier.

Jetzt könnt ihr alles synchronisieren, das heißt wenn ihr auf eurem Handy einen Kontakt ändert, synchronisiert ihr diesen mit dem Server, dann via genesis-sync den Server mit evolution und dann habt ihr auch den Eintrag in evolution. Und umgekehrt!

Zur Sicherheit sollte man natürlich Backups von Evolution erstellen, mir reichen die Kontakt und Adressdatenbanken unter /home/<user>/.evolution/ und dann die Ordner addressbook und calendar weg sichern und wenn alles schief geht wieder zurück kopieren.

So läuft nun endlich eine reibungslose bidirektionale Synchronisierung! Yeah!

Für Thunderbird gibt es wohl auch gute Lösungen und allgemein werden viele Handys unterstützt, etc. Für mich die absolut beste Lösung, denn Kontakte würde ich nie alle bei irgend einem Anbieter hosten!!!

Quellen die echt helfen:
funambol doku Seite, ubuntu wiki Eintrag zu funambol, und google sicher auch!

Hier ist also die stichpunktartige Anleitung, um /home zu verschlüsseln. Es wird davon ausgegangen, dass ihr die interne 4gb ssd für / formatiert habt und die andere mit 8gb für /home.

- sudo apt-get install modconf
- run sudo modconf
- enable:
* kernel/crypto and then aes_generic and leave following Message blank
* kernel/drivers/md  and then dm-crypt and leave following Message blank
(this will also install kernel/drivers/md/dm-mod)
- sudo apt-get install cryptsetup hashalot
- sudo init 6
- sudo su
- cp -av /home/<user> /mnt
- logout
- strg+alt F3, login as user, switch to root
- as root: umount /home
- cryptsetup –verbose –verify-passphrase luksFormat /dev/sdb1
- confirm with: YES
- enter PW: xyz
- cryptsetup luksOpen /dev/sdb1 home
- enter PW
- mkfs.ext3 /dev/mapper/home
- mount -t ext3 /dev/mapper/home /home
- cp -av /mnt/<user> /home

- Add the following to /etc/crypttab: home /dev/sdb1 none luks
- backup /etc/fstab: cp /etc/fstab /etc/fstab.bak
- edit /etc/fstab
- uncomment line with /home (with #)
- and add this: /dev/mapper/home /home ext3 defaults,relatime 0 2
- reboot with: init 6

Jetzt noch ein swap-image erstellen, innerhalb von /home (dies muss dann logischerweise nicht verschlüsselt werden!)

- create Swap-Image (1536 MB = 1,5 GB = 3/2 existing RAM)
- sudo su
- dd if=/dev/zero of=/home/<user>/swap.img bs=1M count=1536
- initialize as Swap-Partition
- mkswap swap.img
- start Swap
- swapon /<path>/swap.img
- test: free

- add the following to /etc/fstab
/home/<user>/swap.img  none  swap  sw  0 0

- init 6

Have fun und immer schön vorsichtig sein, bei Fehlern könnt ihr euch schnell aussperren und Daten verlieren!

Das wars. Ich reboote gerne nach solchen Änderungen, um zu sehen ob alles geklappt hat, aber das könnt ihr machen wie ihr wollt!

Quellen: 1, 2

Und damit das dismounten auch einfach geht, erstellt ihr noch einen Launcher dafür mit dem Command:
truecrypt -d /pfad/zum/mountpoint

Viel Spaß