[SOLVED] Verschlüsselte HDD's in der VM automatisch entschlüsseln bei Start !

[ioB_Newcomer]

Hallo Com,

so langsam klappt der Umzug. Die neue VM läuft und ich habe die erste HDD durchgereicht. Ich habe sie in die crypttab und in die fstab eingetragen. Aber wenn ich die VM neu starte, will er von mir die passphrase beim boot ? Sollte das nicht über die crypttab passieren ? So lief das auf meinem physischen System. Oder muss ich noch was machen ?



In der crypttab steht folgendes :

Storage1 /dev/disk/by-uuid/f7d9f4c6-0c04-4575-8166-82e48dc3f68c /etc/hdpw luks

die Datei hab ich wie folgt erstellt und darin steht das PW.

install -m 600 /dev/null /etc/hdpw
echo -n password > /etc/hdpw

Oder geht das in Proxmox mit einer VM nicht so ohne weiteres ?

Grüße,
Newcomer

 

[loomes]

Was macht das für einen Sinn? Wieso verschlüsselst du die HDD wenn das PWD dann frei zugänglich rumliegt?

 

[ioB_Newcomer]

an das PW kommt nur der Root, der hat ja wiederum auch ein PW. Was ist daran so verwerflich ?
Gibt es denn eine bessere Methode, wie sie bei Start automatisch entschlüsselt werden ohne eine PW Datei ?
So hab ichs halt hinbekommen. Aber sollte doch durch Root geschützt sein ?

 

[Dunuin]

an das PW kommt nur der Root, der hat ja wiederum auch ein PW. Was ist daran so verwerflich ?

Naja, wenn ich deinen Rechner klaue und an die Daten der VM will, dann packe ich einfach ein x-beliebiges Live Linux auf einen USB Stick, boote dann von dem, chroote mich in dein PVE, setze dein Root-Passwort auf ein neues meiner Wahl, boote dann wieder in PVE und logge mich als Root mit dem neu von mir festgelegten Passwort ein. Aber das müsste ich eigentlich garnicht, da ich auch direkt von dem Live-Linux auf deine "/etc/hdpw" zugreifen und mir das LUKS Passwort angucken könnte. Sprich: Liegt dein LUKS-Passwort irgendwo unverschlüsselt rum und jemand hat physischen Zugang zum Rechner (oder kommt Remote irgendwie Root-Zugang) dann kann man auch ganz einfach deine VM entschlüsseln.

Gibt es denn eine bessere Methode, wie sie bei Start automatisch entschlüsselt werden ohne eine PW Datei ?

Der Ansatz, dass es sich komplett automatisch entschlüsselt, ist konzeptionell schon falsch, wenn du nicht willst, dass da wer mit physischen Zugang nicht an deine Daten kommt. An irgendeiner Stelle musst du schon ein Passwort haben, was nirgendwo gespeichert ist und manuell eingegeben werden muss. Ansonsten ist das so sicher wie eine verschlossene Eingangstür wo du 24/7 den Schlüssel im Hochsicherheitsschloss stecken lässt, weil es sonst so umständlich ist immer den Schlüssel aus der Tasche zu suchen. Und wiegst dich dann in falscher Sicherheit, weil du dir ja so ein unknackbar-tolles Sicherheitsschloss gekauft hast.

 

[ioB_Newcomer]

Ich Danke dir vielmals für die Aufschlussreichen Worte. Wusste nicht das man so easy da ran kommt oder einfach das PW von Root ändert. Dann wäre es ja so am besten wie es gerade ist. Bei Neustart der Maschine das PW händisch eingeben. Dann wäre es ja genau so wie es sein sollte. Dann werd ichs so lassen. Man startet das Teil ja normal nicht ständig neu. Ist halt jetzt so wenn man viel frisch einrichtet.

 

[schoeppi]

Du könntest dir Clevis und Tang a ansehen, um mit Ulks verschlüsselte Platten beim Booten einer VM, oder auch einer echten Maschine, automatisch zu entschlüsseln.