Prinzipiell ist das denke ich wohl mal möglich, die Frage ist nur, wie und ist das grossartig kompliziert ?

Um es mal zu definieren was ich genau meine, für diejenigen die vielleicht nicht so versiert sind auch wenn Sie Erfahrung haben und sogar ausschliesslich Linux Distributionen nutzen...:

Bei Linux Mint, wird üblicherweise nur das Homeverzeichnis oder die Homepartition verschlüsselt mit LUKS, was eine Spitzensache ist.

Ich denke mir bei anderen Distributionen wird es sicherlich insbesondere die Bootzeit enorm verkürzen, denn üblicherweise bringt einem der "Calamares"-Installer immer nur so durch das denn die ganze Root/System-Partition komplett verschlüsselt ist.

Macht sich jemand versierteres mit mehr Durchblick da irgendwie einen Mehraufwand beim Aufsetzen einer Linuxdistribution und bringt das dann auch gut was so das sich da weitere Recherche lohnt ?
Vielleicht hat ja auch jemand dazu nen Rat wie es geht, vielleicht ist das ja weniger schwierig als ich aktuell am Stand bin mit meiner Linux-Education :smile:

mfG

Google doch einfach nach LUKS und Distributionsname, um Anleitungen für das Setup zu sondieren. Gibt schließlich Hunderte Distros. Hier (https://help.ubuntu.com/community/Full_Disk_Encryption_Howto_2019)am Beispiel für Ubuntu.

Ich check nicht ganz was die Frage ist. Was soll denn jetzt bei Mint anders sein als bei anderen Distributionen?

Du kannst bei jeder Distribution das Home Verzeichnis mit LUKS verschlüsseln, oder aber auch den ganzen PC. Anleitungen dazu (sollte es nicht direkt im Installer integriert sein) gibt es wahrscheinlich für jede Distribution.
Wenn man verschlüsseln will, dann würde ich persönlich immer alle Partitionen außer der ESP verschlüsseln, alles andere halte ich für halbgar.

alles andere halte ich für halbgar.

Joa naja, ist halt die Frage der Umsetzung, man könnte genausogu sagen wenn man die ESP nicht verschlüsselt hat, das es halbgar wäre bzw sein könnte :D

@Marscel
Ja also eben nicht so einfach, also lass ich es besser wie es ist.

Hauptsache meine Datenlöcher sinds gescheit und Backup, ich denke mir für ein OS brauch ich es halt definitiv nicht, Benutzer/Home würde halt reichen.
Aber nicht wenn ich dafür nen riesigen Aufwand betreiben muss

mfG

Joa naja, ist halt die Frage der Umsetzung, man könnte genausogu sagen wenn man die ESP nicht verschlüsselt hat, das es halbgar wäre bzw sein könnte :D
Ne, eigentlich nicht.
Die Images kann man (selbst) signieren und das mit der Verschlüsselung verknüpfen. Wenn du da dran rumpfuschst, dann wird eben nicht mehr entschlüsselt.

Die komfortabelste Lösung ist tatsächlich, dass man es mit Secure Boot verknüpft, wobei die Signaturen im TPM abgelegt werden (so habe ich es bei meinem Laptop umgesetzt). Keine Passworteingabe und das System entschlüsselt und startet eben nur mit den selbst signierten Kernel Images.

Auch das ist natürlich nicht 100%ig sicher, aber um das zu knacken müssten schon richtige Experten ran.

Mir erschließt sich nicht die Idee, Grund hinter einer Verschlüsselung der Festplatte c:\. Die Angst gehackt zu werden oder den rechner zu verlieren? I don't get it.

Mir erschließt sich nicht die Idee, Grund hinter einer Verschlüsselung der Festplatte c:\. Die Angst gehackt zu werden oder den rechner zu verlieren? I don't get it.
Kommt natürlich auf den jeweiligen Anwendungsfall an, aber bei mir beim Laptop letzteres. Aus dem gleichen Grund ist ja auch bei Handys die Vollverschlüsselung absoluter Standard heutzutage. Sollte ich den verlieren oder der Laptop gestohlen werden, dann will ich einfach nicht, dass jemand die Daten hat. Dafür würde im Prinzip die Home Verschlüsselung auch ausreichen, aber mich hat es eben gereizt die Vollverschlüsselung, wie oben beschrieben, zu testen.

Im Kontext von Firmengeräten würde ich sagen, dass eine Vollverschlüsselung Pflicht ist, denn da muss man sich auch gegen Industriespionage wappnen. Da ist zwar das Internet das größere Risiko, aber viele sind auch (international) unterwegs auf Messen, Konferenzen o.ä.

Das ist aber je nach Branche und Position mal mehr mal weniger relevant.

Mir erschließt sich nicht die Idee, Grund hinter einer Verschlüsselung der Festplatte c:\. Die Angst gehackt zu werden oder den rechner zu verlieren? I don't get it.

Nunja, für jeden Zweifel, will ich eben nicht das man wer auch immer man ist, an meine Daten kommen könnte, warum und weshalb mal komplett dahingestellt :smile:

Es macht eben nur keinen Sinn das komplette OS/-Partition zu verschlüsseln, ist standardzeug was auf Millionen anderen Rechnern genauso drauf ist.

Es reicht wenn meine Privatdaten (also Home) verschlüsselt ist, bei ner externen Platte, klar, die muss natürlich komplett verschlüsselt werden, es sei denn man speichert sich da Zeug was wieder auch Millionen andere so speichern, sei es ein Treiberarchiv beispielsweise, für Retro sowie aktuelle Buden.

Personalisierte Gschichten, wie Bewerbungsvorlagen etc. sowas will ich eben nicht einfach so herumliegen haben.

mfG

Es macht eben nur keinen Sinn das komplette OS/-Partition zu verschlüsseln, ist standardzeug was auf Millionen anderen Rechnern genauso drauf ist.
Das ist auch nicht der Grund, warum man das komplette System auch verschlüsseln würde.

Ein nicht verschlüsseltes System ist sehr einfach manipulierbar, man kann ja z.B. einzelne Programme einfach gegen andere austauschen, ohne dass du das mitbekommst. z.B. einen Keylogger installieren, der dein Passwort aufnimmt, mit dem du deine Home Partition verschlüsselt hast. Eine Verschlüsselung schützt auch dagegen (zumindest nach außen hin, über Trojaner o.ä. könnte man sich natürlich auch Dinge einfangen).

Natürlich, wenn es nur darum geht, dass bei Verlust des Gerätes niemand an die privaten Daten kommt, dann ist das unkritisch, wollte nur klarstellen, warum man den Aufwand betreibt. ;)

Das ist auch nicht der Grund, warum man das komplette System auch verschlüsseln würde.

Ein nicht verschlüsseltes System ist sehr einfach manipulierbar, man kann ja z.B. einzelne Programme einfach gegen andere austauschen, ohne dass du das mitbekommst. z.B. einen Keylogger installieren, der dein Passwort aufnimmt, mit dem du deine Home Partition verschlüsselt hast. Eine Verschlüsselung schützt auch dagegen (zumindest nach außen hin, über Trojaner o.ä. könnte man sich natürlich auch Dinge einfangen).

Natürlich, wenn es nur darum geht, dass bei Verlust des Gerätes niemand an die privaten Daten kommt, dann ist das unkritisch, wollte nur klarstellen, warum man den Aufwand betreibt. ;)

Joa finde ich halt übertrieben als Privatperson, zumal als Power-User
Als Verschwörungstheoretiker hat man natürlich immer Angst vor einer Art "StasI" :biggrin:

In meine Wohnung kommt jedenfalls niemand rein der da garnix zu Suchen hat und naja, wenn doch, dann ist da save die grösste Hürde mit Windowszeuchs auf verschlüsselte EXT4 Partitionen zuzugreifen :D

Die Linuxdistri, wird man soo leicht auch eher nicht manipulieren können, der Update für die Paketquellen würde ja komplett Queerdrehen :freak:

mfG

Joa finde ich halt übertrieben als Privatperson, zumal als Power-User
Du, ich will dir überhaupt nichts vorschreiben, darum ging es gar nicht. Ich wollte nur einfach darstellen, wo die Schwächen liegen und was man berücksichtigen muss.

Ob und wie viel man verschlüsselt, das muss jeder für sich selbst entscheiden. Ich halte es daheim am Desktop PC für absolut legitim zu sagen, dass man gar nichts verschlüsselt, da da keine Personen (alleine) hinkommen, denen man nicht vertraut.

Als Verschwörungstheoretiker hat man natürlich immer Angst vor einer Art "StasI" :biggrin:
Die brauchen das vermutlich nicht. Es wurde schon die verrücktesten Dinge demonstriert. z.B. dass man aus den Störungen im WLAN Signal von außerhalb der Wohnung ableiten kann wie viele Personen sich im Raum befinden und wo.
Ich halte es auch für denkbar, dass sich schon irgendwo in Linux das eine oder andere Backdoor befindet, sei es direkt im Kernel oder sonstwo im System.
Der xz Fall hat gezeigt, dass solche Lücken unter Umständen alles andere als offensichtlich sind.
Die Linuxdistri, wird man soo leicht auch eher nicht manipulieren können, der Update für die Paketquellen würde ja komplett Queerdrehen :freak:
Das dürfte gar nicht so schwierig sein, mit Social Engineering oder Betrug kommt man da bestimmt sehr weit. Speziell Entwickler in den USA können zudem ja auch einen Maulkorb bekommen, dass sie noch nicht mal darüber sprechen dürfen, dass sie von Geheimdiensten angesprochen wurden.

Linux kommt da vermutlich eher zugute, dass es so viele Distributionen gibt. Alle gleichzeitig werden wohl eher nicht manipuliert werden und wenn, dann eine der großen Serverdistributionen wie Debian, Red Hat oder Ubuntu.

@Berniyh

Joa ich will halt bloß meine Privatsphäre damit schützen, falls mal jemand an meine Datenträger kommt, warum und weshalb auch immer.
Es kann halt auch nicht sein, das man, wie viele das offenbar tun, Datenträger die i.O. sind einfach zerstören, das ist in meinen Augen ziemlich sinnfrei, Wertgegenstände zu entwerten zumal man die ja noch gebrauchen kann.

So kann ich einfach die Partition killen und fertig, wenn ich dann noch ganz sicher sein will, dann Bügel ich meine komplette Steam-Bibliothek einfach so oft notfalls drüber bis der Datenträger dicht ist zusätzlich :freak: (so mit Ordner und Unterordner, hauptsache Speicherplatz, randvoll belegt)

Kumpel fragte mich auch mal, so "ich frag für nen Freund" von wegen was machen wenn man auf ner NVME ganz sicher sein will...:
Ich so einmal bleibt durchs "TRIM" meiner Erfahrung nach sowieso garnix übrig von irgendwelchen Daten, aber knall halt "legale" Daten drüber bis der Datenträger komplett dicht is :whisper:

Ich sag ma so, was nich irgendwie sensible Privatdaten sind, oder Grauzone (oder auch illegal) oder Grauzone sein könnte, ist mal völlig egal.

Ich brauche auch kein Secure Boot geschweigedenn TPM, das BSI warnte nicht umsonst mal parallel zur Windows 8-Einführung von Microsoft vor TPM
Und solange "TPM-fail" nicht behoben ist, naja... (das waren gleich zwei oder 3 Sicherheitslücken aufeinmal, meines Wissens nach nicht behoben)

Der Krempel bremst mir auch die Kiste aus, daher wieder deaktiviert, ist auch egal ob bei der CPU integriert oder separates TPM-Modul aufs Board gesteckt, kann ich nicht gebrauchen so einen Schmarren :rolleyes:

Ich hab mir doch nicht Hardware gekauft die mir Leistung schafft um die dann für sowas zu Verbraten, was auch immer da geschieht und die Handbremse ins System bringt.

LUKS, ohne SecureBoot/TPM, rennt wie ohne LUKS, da merke ich keinen Unterschied, nicht an CPU-Last, nicht am RAM, sowie auch nicht beim Datenträger selbst, das ist spitze.
Nichtmal nen 6700k mit ner RX 470 und 2133er CL14 RAM, CachyOS rennt, also das rennt wortwörtlich das OS

mfG