Debian: Installation und Verschlüsselung

Ich erwähnte schon einmal, daß es zunehmend schwieriger wird ein reguläres Debian zur Installation zu nutzen. Grml to the rescue heißt es da lapidar, nicht umsonst die Admin-Distro der Wahl. Debian selbst ist nett, aber bei der Installation werden einem zunehmend Steine in den Weg gelegt. Grml hingegen liefert alles mit, was man im Admin-Alltag benötigt, dazu gehört auch ein relativ aktueller Kernel plus die entsprechende Firmware.

Neben Grml benötigt man nur einen Internet-Anschluß, ein wenig Zeit und selbstredend grundlegende Kenntnisse in der Konsole. Die Partitionen werden klassisch aufgeteilt: root, swap, home. Swap und home werden verschlüsselt, auf LVM gehe ich nicht ein. Ziel ist es relativ schmerzfrei ein Debian Testing zu installieren. Letzteres ist durchaus stabil zu nennen, dennoch können gelegentlich bei einem Update die einen oder anderen Bauchschmerzen auftreten. Grundlegende Kenntnisse sind also ein Muß, daß man die Mailinglisten frequentiert ebenso.


grml-lang de
grml-network
grml-debootstrap --grub /dev/sda --hostname meinhost --release squeeze --target /dev/sda1

 

Tastaturlayout einstellen, Netzwerk konfigurieren, mittels cfdisk partitioniert man die Festplatte, z.B. 35GB für root, 2GB für swap und den Rest für home. Dann ruft man grml-debootstrap auf, paßt eventuell grub, hostname, sowie target an die eigene Konfiguration an und wartet bis alles installiert ist. Grundeinstellung ist übrigens ext3, wer dies ändern möchte, der muß /etc/debootstrap/config wie folgt anpassen: MKFS=‘mkfs.ext4’. Ansonsten heißt es abwarten. Kaffeepause :-)

mount /dev/sda1 /mnt
chroot /mnt
apt-get install cryptsetup firmware-iwlwifi wicd-curses

 

Die eigentliche Konfiguration tätige ich immer im neu installierten System selbst, insofern hier nur flink in eine Chroot-Umgebung gewechselt und cryptsetup, sowie Firmware für meinen Intel-Wifi-Adapter installiert. Hier muß jeder schauen welche Firmware er benötigt, ansonsten installiere ich noch wicd-curses für wechselnde WLan-Netze. Danach: Neustart.

passwd
cryptsetup --verify-passphrase --cipher aes-xts-plain -s 256 luksFormat /dev/sda3
cryptsetup luksOpen /dev/sda3 homecrypto

 

Als erstes wird noch ein Passwort für Root festgelegt, danach erstellen wir das verschlüsselte Home-Verzeichnis — bei mir ist es /dev/sda3, da /dev/sda2 in diesem Beispiel mit swap belegt wird, /dev/sda1 ist root. Ich nutze für die Verschlüsselung AES-XTS–PLAIN, sowie eine Schlüsselstärke von 256 Bit. Beim Anmelden des Datenträgers wird man aufgefordert das zuvor gewählte Passwort einzugeben, homecrypto ist ein von mir frei gewählter Bezeichner. Wer gründlich zu Werke gehen möchte, der schruppt zuvor noch die Festplatte mit dd, um eventuelle Daten-Reste zu beseitigen.

mkfs.ext4 /dev/mapper/homecrypto
echo "/dev/mapper/homecrypto /home ext4 auto,defaults 0 0" >>/etc/fstab
echo "/dev/mapper/swapcrypto none swap sw 0 0" >>/etc/fstab
echo "homecrypto /dev/sda3 none luks" >>/etc/crypttab
echo "swapcrypto /dev/sda2 /dev/urandom swap" >>/etc/crypttab

 

Als letztes wird homecrypto formatiert, dann muß /etc/fstab und /etc/crypttab entsprechend angepaßt werden. Bei beiden Konfigurationen sollte man sich vergewissern, daß man nichts durcheinander geworfen bzw. vergessen hat.

mount /dev/mapper/homecrypto /home
adduser user-name
adduser user-name audio cdrom

 

Viel gibt es nun nicht mehr zu tun, die Installation von Software unter Debian sollte kein Problem darstellen. Hier wird noch das Home-Verzeichnis eingehangen und natürlich ein User hinzugefügt. In der darauffolgenden Anweisung wird der zuvor gewählte User Mitglied der Gruppen audio und cdrom. Installiert man beispielsweise xsane, so ist es von Vorteil den User der Gruppe scanner hinzuzufügen, damit dieser auch auf den Scanner zugreifen kann. Zuvor aber muß man in /etc/apt/sources.list natürlich testing anstelle von squeeze eintragen. Nach einem apt-get update und einem apt-get upgrade, werden erst einmal jede Menge Updates, die seit dem Release erschienen sind, eingespielt. Alles weitere hängt von den persönlichen Vorlieben ab.

 

dpkg-reconfigure locales
dpkg-reconfigure keyboard-configuration
tzselect
X -configure
cp /root/xorg.conf.new /etc/X11/xorg.conf

 

Abseits der noch zu installierenden Software-Pakete paßt man noch locales, das Tastaturlayout und die Zeitzone an und erstellt eventuell eine Grundkonfiguration für X, um dort etwaige Anpassungen zu tätigen. Die Konfiguration für den X-Server findet man unter /root/xorg.conf.new. Fehler, Vorschläge bitte in die Kommentare.

 

Viel Spaß :-)

, , , , , , ,

14 Antworten zu “Debian: Installation und Verschlüsselung”

  1. Oliver sagt:

    Hm, zwei Fragen, weil es mich interessiert

    1. Warum so eine große Rootpartition?
    2. Warum kein LVM? Also unter Arch find ich die Installation über ein LVM wesentlich schmerzfreier als eine Installation über verschiedene Partitionen (und dort muss man quasi alles von Hand machen, weil der Installer nur mit unverschlüsselten Partitionen arbeitet). Die Tatsache, dass man beim Anmelden nur ein Passwort braucht und trotzdem alles verschlüsselt, ist doch Grund genug für ein LVM, oder?

  2. >1. Warum so eine große Rootpartition?

    Bei Linux aus Gewohnheit, da das Gros der Distros einfach nicht konsequent tremnt. Darüber hinaus nutze ich Pakete, die Daten in GB Größe unter usr ablegen.

    >Die Tatsache, dass man beim Anmelden nur ein Passwort braucht und trotzdem alles verschlüsselt, ist doch Grund genug für ein LVM, oder?

    Ich verschlüssele hier nur home und swap, root Versclüsselung ist unsinnig. Also auch nur ein Passwort, swap ist zufällig und wird ohnehin bei jedem Start neu erzeugt. Abseits dieses Beispiels verschlüssele ich in der Regel auch nur eine extra Partition, noch nicht einmal home selbst. Ich trenne recht gut und gehe ähnlich vor, wie in Köhntopps Artikel beschrieben.

    Was willst du bei root auch verschlüsseln? Programme, Angst vor einem Trojaner? Es gibt sinnvollere Methoden sich gegen derlei Dinge zu schützen.

  3. Oliver sagt:

    Was willst du bei root auch verschlüsseln?

    Viele Programme legen Sachen im tmp Ordner ab (oder schlimmer /var/tmp), mit denen Du das Nutzerverhalten gut nachvollziehen kannst. Wenn da u. U. torrent Dateien oder ähnliches liegen, ist das sehr ungünstig. (Ist mir btw. mal passiert, aber da war die Polizei zu blöd, die hashes zu googlen *gg*). Auch der log Ordner ist nicht ganz ungefährlich.

    Auch Dateien in root oder etc können unter Umständen gefährlich sein, z. B. wenn Passwörter oder Zugangsdaten drin stehen. Ich habe auch unter /usr/local einige Sachen, wo ich nicht unbedingt will, dass da jeder drauf zugreift, weil da persönliche Daten bzw. Verhalten abgeleitet werden könnte.

    Mich wunderte es halt nur, weil der Aufwand nicht wirklich höher ist und ganz sinnlos ist es nicht, denn wie oft leerst Du o.g. Ordner?

  4. tmp wird beim runterfahren bei mir gelöscht, automatisch. Jede Verschlüsselung kostet Ressourcen und ist ein Garant für etwaigen Datenverlust. Lies dir dazu auch mal Köhntopps Artikel durch.

  5. Oliver sagt:

    Ja hab ich, da geht es aber eher um den Schutz von Unternehmensdaten und hat nichts mit einem privatem Betriebssystem zu tun. In meinem Fall KDE schreibt je nach Autor gerne unkontrolliert im tmp oder im var/tmp Verzeichnis rum. Ich kann also auch ohne Zugriff auf das home directory sehr sehr viel nachvollziehen, was ich in letzter Zeit gemacht habe.

    Das tmp Verzeichnis zu löschen reicht nicht, da erstens die Daten nicht geschreddert, sondern nur gelöscht und wiederhergestellt werden können — zumindest die Auslagerung in eine Ramdisk wäre da sinnvoll. Die Daten in var/tmp und in log können sehr oft widerhergestellt werden. U. U. sind das dann genau die Daten, die Dich im Zweifel belasten.

    Einen Datenverlust ist unwahrscheinlich, denn wenn man verschlüsselt, muss man natürlich auch ein Backup haben.

  6. >Ja hab ich, da geht es aber eher um den Schutz von Unternehmensdaten und hat nichts mit einem privatem Betriebssystem zu tun.

    Das Prinzip ist das gleiche, meine Daten sind mir ebenso wichtig, wie diejenigen, die die Firma hortet. Priorität genießt der Datenerhalt, danach kommt der Schutz gewisser Daten vor fremden Augen.

    >Das tmp Verzeichnis zu löschen reicht nicht, da erstens die Daten nicht geschreddert,

    Zwei Fehler, einmal die Annahme, daß du bei heutigen Festplatten noch großartig «schreddern» mußt, das ist Wissen der 90er und zum anderen die Annahme, daß eine Ramdisk sicher wäre. Nun, für nicht paranoide Zeitgenossen ist z.B. tmpfs unter FreeBSD ein «sicherer» Ersatz, andererseits genügt mir dafür auch der profane Löschvorgang. Für Leute die auf Nummer sicher gehen wollen, genügt ein einmaliges Überschreiben mit zufälligen Daten, wer mehr möchte, der muß sich darüber im klaren sein, daß Passwörter auch aus dem Speicher u.U. nach dem Ausschalten ausgelesen werden können. Machte 2007/2008 die Runde, nun wenn es richtig paranoid wird, dann muß man eben konsequent alles bedenken.

    Okay ein wenig mehr mache ich schon, bei FreeBSD wird automatisch gelöscht mittels rm –P, damit ist dem zufälligen Überschreiben genüge getan. Zudem nutze ich bei tmp keine Metadaten, muß mir im Fall von FreeBSD (Softupdates) oder Linux (Journal) auch keine Sorgen bezüglich einer weiteren Referenz machen.

    >Einen Datenverlust ist unwahrscheinlich, denn wenn man verschlüsselt, muss man natürlich auch ein Backup haben.

    Ein Backup wiederum, daß konsequenterweise verschlüsselt daherkommt. Sinnvoll …

    Hat man hochgradige Paranoia im Gepäck, muß man auch folgendes bedenken: du hast den Schlüssel, wenn jemand da heran möchte, bist du alleine die letzte Instanz.

    via xkcd

    Das obige Beispiel ist nicht meine Konfiguration, es ist im Prinzip nur die Ausgangsbasis für eigene Variationen.

    Das Problem sind die ganzen Automatismen, diese gibt es nicht in puncto Sicherheit. Sicherheit ist ein aufwändiges Konzept, welches man entweder bis zu einem gewissen Grad verinnerlicht oder man läßt es bleiben. Denn macht man es einfach, weil es sich gut anhört, schleichen sich mehr Fehler ein, als einem letztendlich lieb sein dürfte.

  7. Oliver sagt:

    Zwei Fehler, einmal die Annahme, daß du bei heutigen Festplatten noch großartig «schreddern» mußt

    Ja, muss man. Ich habe schon tausende Daten wiederherstellen (müssen oder) dürfen und wenn es nicht wenigstens einfach überschrieben ist, nutzt das löschen nix und standardmässig wird nicht überschrieben.

    daß Passwörter auch aus dem Speicher u.U. nach dem Ausschalten ausgelesen werden können.

    Ja, ist mir schon klar — dafür muss der Rechner aber eingeschaltet sein, bzw. muss er mit speziellen Verfahren «warm gehalten» werden. Diese Technik ist unter unserer Staatsmacht noch nicht wirklich verbreitet. Auch das Szenario Folter tät ich mal nicht als «Standardfall» sehen.

    Ein Backup wiederum, daß konsequenterweise verschlüsselt daherkommt. Sinnvoll …

    Das regelmässige Backup (bei mir ne Woche, ausser es steht was wichtiges an) liegt natürlich auf nem anderem verschlüsseltem Datenträger. :-)

  8. >nutzt das löschen nix und standardmässig wird nicht überschrieben.

    Das ist vom Filesystem abhängig und vor allem wie oben erwähnt ob man mit Metadaten arbeitet.

    >liegt natürlich auf nem anderem verschlüsseltem Datenträger.

    Damit ist es im Fall der Fälle mitunter wertlos. Verschlüsselung erhört in jedem Fall das Risiko Datenverlust anheim zu fallen. Als Reiseoption ein Muß, als Panikoption daheim ein Schritt näher dem Daten-GAU.

    >Diese Technik ist unter unserer Staatsmacht noch nicht wirklich verbreitet.

    Okay ich rede von Diebstahl etc., du redest von CIA, BKA and friends. Für letztere halte ich deinen Ansatz zu vage, zweitens nimmst du etwas an, was du nicht belegen kannst. Dem anderen (Staat) Dummheit zu unterstellen wäre der größte Fehler, desweiteren rede ich von Konzepten und nicht von der ultimativen Lösung, die per se nicht existiert. Ich frequentiere tagtäglich die einschlägigen Informationsportale, verfolge Mailinglisten etc. pp. in puncto Sicherheit. Es ist interessant und vor allem mit viel Aufwand verbunden und es existiert nicht _die_ Lösung. Sag niemals nie, insbesondere nicht wenn du dich von «bösen Mächten» umzingelt siehst.

    Du mußt dir im klaren sein welches System du benutzt und welche Fallstricke dieses beinhaltet, dazu gehört insbesondere das Filesystem und andere Praktiken im Betrieb, die Technologie per se, usw. Wenn du ein bleeding edge System wie Arch benutzt, welches im Prinzip keinerlei Security-Auditing in irgendeiner Form kennt, mußt du auch mit dem Risiko leben einem Zero-Day-Exploit zu erliegen. Selbst rundum geschützte Habitate, wie diverse Konsolen, mit entsprechender Verschlüsselung, etc. pp., erliegen diesem Umstand, nicht dem Bruch der Kryptographie.

    >standardmässig wird nicht überschrieben

    Wer hat dies auch behauptet, ich rede von einem Konzept. UNIX/Linux bietet dir gar nichts, es gibt dir nur die Werkzeuge an die Hand. Du hast mehr Möglichkeiten, aber dein System ist von Haus aus nicht sicherer als z.B. Windows. Das ist eben ein Irrglaube, den irgendwelche Irren Fanboys in den 90ern in die Welt setzten, seitdem stirbt die Folklore nicht aus. Es gibt Systeme, wie z.B. OpenBSD, die eine grundlegend sichere Konfiguration anbieten. Dabei muß man natürlich auch etwas auf Komfort verzichten und letztendlich wird selbst dort die Verschlüsselung nicht mit Priorität genutzt, sondern mitunter nur als Teil eines groß angelegten Konzeptes.

    Meine Lesetipps diesbezüglich:

    Jeffrey Carr, «Inside Cyber Warfare«
    Bruce Schneier, «Secrets and Lies: Digital Security in a Networked World«
    Lance Hayden, «IT Security Metrics: A Practical Framework for Measuring Security & Protecting Data«
    Mark M. Lowenthal, «Intelligence: From Secrets to Policy«
    Keith J. Jones, Richard Bejtlich, Curtis W. Rose, «Real Digital Forensics: Computer Security and Incident Response»

    Dazu noch ein paar lesenswerte Stellen im Netz:

    http://www.schneier.com/
    http://taosecurity.blogsp.….ot.com
    http://theinvisiblethings.….pot.com/
    http://www.securityfocus.…..com/
    http://seclists.org/

    Usw. nur ein paar Beispiele, insbesondere die Bücher kann ich dir nur wärmstens empfehlen.

  9. Kleiner Fehler:
    >[…] Ich nutze für die Verschlüsselung AES-XTS–PLAIN, sowie eine Schlüsselstärke von 256 Bit[…]

    Nein, tust du nicht. «-s» bzw. «–key-size» gilt für AES und den XTS-Verwaltungsschlüssel zusammen. «-s 512″ heißt, dass sowohl AES als auch XTS die maximale Schlüssellänge von 256 Bit verwenden, dein «-s 256″ resultiert in 128bit AES und 128bit XTS.

    Ich habe da mal eine Anleitung für Ubuntu verfasst. Sollte so prinzipiell auch für Debian klappen. Vllt. findest du ja noch die ein– oder andere hilfreiche Info:
    http://readm3.org/de/os/u.….lvm-luks

    Und noch eine persönliche Anmerkung zur der Diskussion zwischen den Olivers:
    > Ich verschlüssele hier nur home und swap, root Versclüsselung ist unsinnig. […]
    > Was willst du bei root auch verschlüsseln?

    Ein LVM erhöht die Komplexität um drei, vier Befehle bei der Installation. Dafür bekommt man eine Vollverschlüsselung mit ebenfalls einem Passwort und zudem die Möglichkeit, an Partitionen nachträglich zu schrauben. Macht auch einen Umzug von HDDs leichter.

    Wenn man /tmp, / usw. nicht verschlüsselt, muss man aufpassen, mehr wissen und auch mehr kontrollieren, um sicherzugehen, dass keine Daten unverschlüsselt gespeichert werden (auch wenn es sich ggf. nur um kleine Datenlecks handelt). Dass du kein LVM magst: OK. Den Gast-Oliver allerdings so zu belehren, wirkt… ein wenig arrogant ;-). Wenngleich es natürlich toll ist, Anleitungen zu schreiben, gibt es hier IMHO nicht die komplett «sinnige» oder «unsinnige» Position, welche du hier zu vertreten versuchst (vllt. scheint es aber auch nur so). Und ja: ich lese ebenfalls Koehntopp, Schneier und TAO.

    Was spricht also gegen eine Vollverschlüsselung? IMHO nix. Die Daten, die in / etc. liegen sind ja bei einem Daten-GAU zu 99% reproduzierbar, d.h. die wichtigen Daten sind sowohl bei «nur home»- und bei «alles»-Verschlüsselung hinüber. Ergo hast du bei einer Vollverschlüsselung mit LVM keine Nachteile oder erhöhtes Datenverlustrisiko. Aber eine unbeschwerte, einfachere Bedienung, da an *gar nichts* gedacht werden muss. Und Profi-User haben noch die Vorteile eines LVM.

    Gruß
    Andreas

  10. >Nein, tust du nicht. «-s» bzw. «–key-size» gilt für AES und den XTS-Verwaltungsschlüssel zusammen

    «Use «aes-xts-plain» cipher specification and set key size to 256 (or 512) bits (see –s option).»

    Danke für den Hinweis, ich habe da wohl ein wenig blind die Manpage wiedergegeben.

    >Dass du kein LVM magst: OK.

    Das hier hat Beispielcharakter, LVM wollte ich bei Gelegenheit getrennt behandeln. Ich teile die Anleitungen gerne auf, da zuviel auf einmal das Gros in der Regel eher ermüdet, als denn zum experimentieren anleitet. Zudem ist meine Konfiguration ein wenig komplexer und basiert auf *BSD. Linux, in diesem Fall Debian, begleitet mich nur gelegentlich, wenn auch mitunter gehäuft.

    >Was spricht also gegen eine Vollverschlüsselung? IMHO nix.

    Was spricht für diese? Mehr Vertrauen in diese, ohne sich überhaupt eines generellen Konzeptes bewußt zu sein und davon halte ich nichts. Und exakt darum geht es mir.

    >Aber eine unbeschwerte, einfachere Bedienung, da an *gar nichts* gedacht werden muss.

    Und genau dies versuche ich in puncto Sicherheit zu vermeiden, ich halte nichts — entschuldige — von der «Ubuntuisierung» dieser Thematik.

    > die komplett «sinnige»

    Diese gibt es sehr wohl, im Kontext dieser Anleitung — mehr nicht. Ich könnte natürlich auch eine mehrseitige Komplettanleitung schreiben, die letztendlich keiner lesen mag, die manche auch überfordert. Ich könnte den Sinn und Zweck von Kryptographie stützen mit allerlei Horror-Szenarien, usw. Das wollte ich hier jedoch nicht tun, sondern schlicht eine kleine Anleitung schreiben, die Lust auf mehr macht: mehr der Konfiguration und mehr der Beschäftigung mit der Materie.

    Viele kopieren die hübschen ausführlichen Anleitungen im Netz 1:1 und realisieren kaum was sie da tun. Sie haben einen Glauben in puncto Sicherheit, jedoch kein Bewußtsein dieser Thematik gegenüber. Wenn ich das wollte, könnte ich auch schlicht ein paar URLs feilbieten.

  11. Oliver sagt:

    Ich glaub, was Andreas sagen wollte war, dass die meisten User sich nicht mit einem vollwertigem Sicherheitskonzept beschäftigen wollen. Ich persönlich finde das auch nicht schlimm, denn wenn man ein verschlüsseltes System aufsetzt, dann ist das erstmal etwas Arbeit. Und wer will sich freiwillig tagelang vor die Konsole kleben, um die «perfekten» Partitionen zu finden? Von daher finde ich eine «Ubuntuisierung» des Themas nicht schlimm. Wenn das Grundsystem den maximalen Schutz hat (quasi eine Idiotenreserve), dann kann der Nutzer auch mal was falsch machen, ohne dass es Folgen hat. Ich kann nicht von jedem verlangen, sich erst Tage durch Blogs und Foren zu wühlen.

    Aber mir persönlich ging es um etwas ganz anderes. Linux und speziell die Desktops also Gnome/KDE usw. sind von verschiedensten Autoren geschrieben worden und wenn man sich das genau ansieht, dann findet man auch Unterschiede. Manche Programme schreiben ins tmp Verzeichnis, andere nutzen noch var/tmp (öfters mal auch falsch) dazu, wieder andere nutzen das home Verzeichnis. So etwas kann man nicht in ein Sicherheitskonzept einbauen, weil Du kannst mir nicht erzählen, dass Du genau weißt, wo akgrator den Cache Deiner Feeds hinschaufelt oder wo kget grade die part Dateien abspeichert. Diese Sachen ändern sich auch hin und wieder. Ich prüfe nicht nach jedem KDE Update, ob das Programm die temporären Dateien jetzt woanders hin schiebt.

    Von daher bin ich ein Verfechter von maximaler Sicherheit, da ich auch an einem LVM bzw. einer Vollverschlüsselung keine Nachteile sehe.

  12. > Was spricht für diese? Mehr Vertrauen in diese, ohne sich überhaupt eines generellen Konzeptes bewußt zu sein und davon halte ich nichts. Und exakt darum geht es mir.

    Ich lasse auch keine blanken Stromkabel rumliegen, nur um mir selbst jeden Tag klarzumachen, dass man nicht in eine Steckdose fassen sollte. Denn man könnte in einem unachtsamen Moment, nach einem Bier zuviel, dennoch ranfassen… ;-). Und es gibt genug «blanke Kabel», wenn man nur /home verschlüsselt. Ich habe die Konzepte verstanden.

    Das hat gar nichts mit hochtrabenden Ansprüchen, Konzeptbewusstsein oder Ähnlichem zu tun. Es geht einfach nur darum, dass Systeme mit mehr benötigter manueller Kontrolle leichter zu Fehlern führen, als Systeme, mit mehr Automatismen. Und dein Motive mögen zwar edel sein, aber ich persönlich habe z.B. immer am meisten gelernt, wenn ich etwas versucht habe, zu automatisieren, zu beschleunigen oder zu perfektionieren (sei es in Mathe, Physik oder eben der IT. Ja sogar in Politik und Argumentation). Zumal das Verstehen oder gar Aufstellen eines Konzepts Bedingung für einen funktionierenden, selbst-erstellten Automatismus oder eine Optimierung ist. Das hat nichts mit einer «Ubuntuisierung» zu tun, im Gegenteil. Mit Verlaub: hier liest man erneut einen gewissen arroganter Unterton[1], denn der Umkehrschluss, dass Einfachheit bzw. die Nutzung von einfacheren Lösungen hinreichende Bedingung ist, dem Nutzer eben jener Unkenntnis zu unterstellen, ist einfach nicht wahr. Ergo ist dies kein Argument gegen Vollverschlüsselung, jedenfalls nicht in der Form, in der du es hier ins Feld führst. Ich sag’ ja auch nicht, dass du keine Ahnung von Web hast, nur weil ich mich gegen eine «Wordpressisierung» sträube, da jeder Honk auf einmal ein Blog betreiben kann. Wenn ich es sagen würde, wäre es genauso falsch. ;-)

    > Viele kopieren die hübschen ausführlichen Anleitungen im Netz 1:1 und realisieren kaum was sie da tun.

    Na und, viele tun es auch nicht. Argumentative Patt-Situation und daher sicherlich kein Argument, seine Lösung als «sinniger» zu bezeichnen, auch nicht im Kontext dieser Anleitung. Man kann Leute nur bedingt vor sich selbst schützen, erzwungene Reflektion ist eine Mär. *Funktionierende* Beispiele sind nunmal super zum lernen und eine Begründung «Warum tue ich das hier» ist immer gut. Und generell gilt: auch wenn manchen erst später verstanden wird. man holt Leute dort ab, wo sie gerade sind.

    > Ich könnte natürlich auch eine mehrseitige Komplettanleitung schreiben, die letztendlich keiner lesen mag, die manche auch überfordert.

    Ausführlichkeit != Komplexität. Im technischen Bereich ist das Gegenteil der Fall… Kompakte Zusammenfassungen erfordern Kontext und steigern die Komplexität während der Anwendung. Kennt doch jeder aus der Mathematik — wer freut sich nicht über komplette Beispielrechnungen? Aber auch dort pflegt so mancher sich-seine-Welt-bauender Mathematiker ja, nur die Nase zu rümpfen, und zu fordern, alles von Anfang an «selbst» zu machen. Schließlich steht doch alles in der einen Zeile aus der Vorlesung. Kann man aber oft erst nach Jahren mit umgehen. ;-)

    > Das wollte ich hier jedoch nicht tun, sondern schlicht eine kleine Anleitung schreiben, die Lust auf mehr macht: mehr der Konfiguration und mehr der Beschäftigung mit der Materie.

    Ist ja super, dass hier viel zu *ix veröffentlicht wird. Das «Abwatschen» durchaus begründeter — IMHO sogar sinnigerer Ansätze — mit dem Argument, dass man selbst ja soviel Ahnung hat, ist dennoch nicht nett und IMHO auch nicht zielführend, wenn du jemanden Lust auf mehr machen willst.

    However, ich schweife ab. Ich will dir hier nicht auf die Pelle rücken oder nörgeln (abgesehen vom Fehler bzgl. –s 256 vs. –s 512), genug der Unhöflichkeiten meinerseits in eurem Gefilde.
    Daher, um nochmal konstruktiv zu sein: http://www.linux-magazin.…..rschrift
    Einen besseren Artikel zur Verschlüsselungstechnik als solcher findet man nur schwer, das Wissen hilft auch beim Verstehen von GELI etc. weiter.

    Gruß
    Andreas

  13. Oliver sagt:

    Ich kenne keine Software, die nicht die Bestimmung des Ortes der Datenablage bei der Kompilierung anbietet usw.

    Ich kenne keinen Nutzer, der sich sein KDE selbst kompiliert. Es macht auch in den meisten Fällen gar keinen Sinn. Meine Mama (und Mio. andere) nutzen das Internet und halten TCP/IP für ein Physik-Fachblatt, aber wen interessiert’s? Mein Weib weiß, schaltet sie das Netbook ein, fragt er nach einem Passwort und wenn die Kiste verloren geht, dann kann keiner ihre Bilder durchschauen oder ihre E-Mails lesen.

    Vielleicht ein besseres Beispiel: Ich mache z. B. seit fast 15 Jahren Musik und habe auch schon Kurse gegeben. Innerhalb von 60 Minuten konnten die bereits einfache Lieder begleiten. Und genau das ist in meinen Augen wichtig — es müssen erstmal Erfolge her, damit ich Menschen von etwas begeistern kann. Wenn sich dann später einer von den 20 Teilnehmern mit nem Quintenzirkel beschäftigt, dann ist das immer noch ein Erfolg. Aber es macht keinen Sinn, ihnen erstmal den Aufbau einer Tonleiter zu erklären, wenn sie dann am Lagerfeuer sitzen und nicht spontan «Blowin in the wind» anstimmen können.

    Ich finde den Ansatz ja durchaus lobenswert, aber ich bin ein großer Freund der «Ubuntuisierung» vor allem in Sicherheitsfragen. Dort kann man so viel falsch machen, dass man ohne eine gewisse Idiotenreserve nicht klar kommt. Im Falle eines Falles hast Du dann nämlich genau den Fehler gemacht, der Dein System kompromitiert.

    Und dieses Problem würde ich nicht bekämpfen, indem ich die Anforderungen höher schraube, sondern so niedrig ansetzte, dass der Nutzer sich nur durch wirklich grobe Fahrlässigkeit in Gefahr bringt.

  14. >Ich kenne keinen Nutzer, der sich sein KDE selbst kompiliert.

    Nahezu alle FreeBSD/Gentoo/Crux-Nutzer. Falls sie es denn nutzen möchten.

    >Meine Mama (und Mio. andere) nutzen das Internet und halten TCP/IP für ein Physik-Fachblatt, aber wen interessiert’s?

    Es soll auch Leute geben, die «mea culpa» für Kauderwelsch abtun, aber das interessiert mich ebenso wenig.

    >Und genau das ist in meinen Augen wichtig — es müssen erstmal Erfolge her, damit ich Menschen von etwas begeistern kann.

    Tja ich habe halt einen akademischen Hintergrund und sehe die Sache völlig anders. Wobei ich learning by doing nicht verachte, aber aus Erfahrung heraus wird oftmals der Weg des geringsten Widerstands gegangen und die heutige Bildungssituation, auch insbesondere in puncto Sicherheit, ist desolat. Ansonsten habe ich auch einen technischen Hintergrund, anderes Leben — überschneidet sich gelegentlich. Ich wurde mit Siemens Sinix sozialisiert, sowie Irix, nutze fvwm seit einer Ewigkeit und bin glücklich, zitiere gerne Latein, unterhalte mich mit Chris über Politik auf hohem Niveau, fachsimpeln in puncto Nerd-Zeugs und manchmal schreiben wir mit diesem Hintergrund auch etwas nieder. Gefällt vielen nicht, den einen paßt der Schreibstil nicht, die anderen sehen zu viele Anglizismen, manch einem gefällt mein Musik-Geschmack nicht oder die politische Ausrichtung mißfällt. Mir schmeckt die «Ubuntuisierung» nicht und auch nicht die «Linuxisms» in der «freien Software-Welt», usw. Deswegen betreibe ich mit Chris zusammen diese Publikation, dort schreiben wir unsere Meinung nieder. Andere machen dies auf ihren Publikationen, man verlinkt sich bei Bedarf … Meinungsbildung, anstatt Einheitsmeinung des Mainstreams. Wir sind ein geringer Teil der Meinungsbildung, andere tragen dazu ebenso ihr Scherflein bei. Wo also war noch einmal das Problem? Wir müssen hier gar nichts, der «Konsument» muß die «Quellenkritik» betreiben und sich seine Meinung zu einer Sache bilden.

    Ich mag kein Apple und arbeitete doch mit diesen seit Mitte der 90er, aber ich empfahl meiner Schwester, einer Komparatistin, eben dieses Gerät. Und warum? Weil ich den Open Source Desktop, eben für jene ganz normalen Leute, die nur ihre Arbeit verrichten möchten, für Schrott halte. «Das Jahr des Linux-Desktops» läßt mich immer noch schmunzeln, unendlicher Hype, viele Nebelkerzen, einfach Konzepte für eine komplexe Materie und viele enttäuschte Zeitgenossen … der Desktop gehört Apple und Microsoft. Mein Desktop aus TeX, mutt, newsbeuter, $browser und allerlei Netzwerkkram ist jedoch in Ordnung — KISS eben.

    Der Mainstream geht uns sonstwo vorbei. Ganz arrogant, denn ist unsere Freizeit die wir hier «vergeuden».

    >Dort kann man so viel falsch machen, dass man ohne eine gewisse Idiotenreserve nicht klar kommt.

    Ach die «Idiotenreserven» … kenne ich aus der E-Technik, aber auch bei der Feldarbeit in der Archäologie. Dort kann diese u.U. letal sein, man neigt immer gerne dazu bei Gefahren abseits dieses Kontextes sich in Laissez-faire zu üben. «Klar bei den Profis usw.», aber im Ernst, der Weg des geringsten Widerstands ist das Übel unserer Zeit. Ich betrachte auch keinen Menschen als Idioten, sondern nur als wissend bzw. unwissend. Erst jene Menschen, die sich in Ignoranz üben, jene bezeichne ich als dumm. Der Mainstream besitzt schon 99% «Idiotenreserven», warum also die 100 vollmachen? Nein, hier wird keiner gezwungen zu lesen, aber dieses Meinungsdiktat des Mainstreams, welches du mir hier offerierst, verpufft in unseren Gefilden.

    Fehler in diesem Kontext, wie meine unklare Formulierung, auf die ich hingewiesen wurde, immer gerne. Vorschläge in diesem Kontext, immer gerne. Aber ehrlich gesagt, Vorschläge ob eines völlig anderen Konzeptes, wenn ich denn nur eine Grundlage liefern möchte auf welcher ich später u.U. aufbaue, sind mir ziemlich egal. Und ich wiederhole es gerne noch einmal, das gilt für diesen Kontext. Ich fachsimple auch gerne über den Staat, die Gefahren durch diesen, paranoide Kryptographie plus Intrusion Detection, wenn ich dies denn explizit in einem Artikel thematisiere.

    Schreibe ich also «ita est», ignoriert man dies entweder, schlägt nach oder man weiß es. Wo wir die Grenze ziehen entscheiden wir. Danke für die Aufmerksamkeit.


RSS-Feed abonnieren