Anfängerfragen - Linux Neuling? Hier ist der richtige Platz für deine Fragen (2)

  • Ersteller Gelöschtes Mitglied 45455
  • Erstellt am
Und warum willst du nur das /home verschlüsseln? Das macht mMn wenig Sinn...
Ich mein folgendes: Entschlesselung zur Bootzeit macht mit allem was irgendwie dauerhaft Dienste anbieten soll (vulgo: Server) keinen Sinn. Sowas schützt man in dem man die Daten wo anders hat und dort schützt - ein NAS/SAN ist ein Sonderfall, die bieten das aber grundsätzlich an ihre Datenbereiche abzusichern - der Server selber ist dann miestens wieder nicht verschlüsselt, aus eben diesen Gründen. Deshalb ist es halt auch nicht ratsam Client und Server zu vermischen aus Sicht der Datensicherheit - zu viele entgegengesetzte Anforderungen. Wegtragen wird dir das Ding ja eh keiner, und wenn doch - Pech?
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Verstehe, wenn ich aber keine NAS/SAN zur Hand habe, erstelle ich mir am "Server" einfach eine verschlüsselte Partition, welche ich nur mounte, wenn ich davon Daten benötige?
In der Regel sollte das Ding niemand wegtragen, aber wenn doch, will ich halt nicht, dass alles offen darauf liegt.
 
Könnte man so machen, ja. Ich würde das aber einfach nicht machen. Ich würde - so das Ding genügend Power hat - eine Virtualisierer einsetzen (proxmox, vmware, whatever) und dann die entpsrechenden Dienste per VM anbieten. Aber das bin halt nur ich, gut möglich das dir jemand anderes was ganz anderes dazu rät...
 
Ne würde ich definitiv auch so machen. Am Ende zerschießt du dir mit nem Update was und dann steht alles.
 
Ich würde die Surfgeschichte ebenfalls in eine VM packen. Die kann dann fulldisk encryption ihrer virtuellen Platte haben und gut ist.

Den Rest direkt auf dem Host zu betreiben würde sich aber irgendwie falsch anfühlen. Und jedem Dienst seine eigene VM könnte mit dem RAM schnell eng werden. Also vielleicht alle Dienste in Containern betreiben und die alle auf einer 2. VM?
 
Wie geht ihr denn mit dem Fall um, dass ihr ein paar Platten als zfs zusammenpackt und diese natürlich verschlüsselt habt? Aktuell lasse ich meinen Server einfach booten, ich bekomme eine Nachricht und per Wireguard kann ich mich aufschalten, um mein Launch Skript auszuführen, dass dann ein Passwort, die Platten entschlüsselt und anschließend die Dienste (nfs, Docker, MariaDB, Syncthing und ein paar Virtualbox VMs startet. Könnte man sicher mal in ein systemd Target auslagern, aber vielleicht hat jemand eine fundamental andere Idee.
Das ZFS benutze ich ohne viel Konfiguration als Umlaufstorage für alles Mögliche, was die Dienste brauchen und natürlich Daten, die ich irgendwie dadurch anfallen oder Zeug, dass ich ständig brauche.
Zuschaltbar habe ich noch 2 weitere Platten, die ich gelegentlich mal zur Archivierung über einen Schalter anschalten kann, um die Platten als Cold Storage zu schonen. Dazu wollte ich mir auch noch etwas einfallen lassen, ggfs. per udev oder automount die Platten dann direkt zu entschlüsseln und zu mounten und bei Inaktivität oder wenn ich fertig bin, wieder auszuhängen und den Strom wieder zu trennen.
Durch die Docker Container wollte ich das Basissystem möglichst wenig belasten. Die Dienste habe ich aus meiner interaktiven general purpose VM rausgezogen, weil das in der Konfiguration mit NFS doch zu häufig Probleme gab, gerade was Benutzerids und privilegierte Befehle wie chown angeht.
TPM gestützte Verschlüsselung des Systemlaufwerks wäre natürlich Premium, aber wer die Kiste physisch in der Hand hat, macht dann sowieso, was er will. Über das unverschlüsselte Laufwerk bekommt man natürlich Hinweise über die Konfiguration und was die Kiste so treibt, aber hat natürlich keine handfesten Daten. Und offensichtlich muss der Private Key für das VPN auch für meine Lösung verfügbar sein. Gefällt mir nicht.
Irgendwelche Ideen?
 
TPM gestützte Verschlüsselung des Systemlaufwerks wäre natürlich Premium

Man sollte vorher noch prüfen, ob TPM wirklich eine sichere Plattform ist. Vielleicht wurde es bereits geknackt.
Beitrag automatisch zusammengeführt:

Ich will ja eigentlich nur /home verschlüsseln.

Da gibt es unzaehlige Themen dazu warum man dies nicht machen sollte.
Ich habe auch ein sehr großes Sicherheitsrisiko da mein bootdatei frei verfügbar auf Fat32 liegt.
Beitrag automatisch zusammengeführt:

Beim Setup kann ich zumindest die ganze SSD + LVM verschlüsseln ..., eCryptFS ist ja angeblich nicht mehr sicher und wird auch nicht mehr weiter entwickelt. Gibts da Alternativen? Oder bin ich generell am Holzweg?
Hab mir das wesentlich einfacher vorgestellt, tbh.

Warum sollte dieser Weg, den ich seit mindestens 5 Jahre verwende nicht funktionieren?
LVM2 als erste Schicht hat sehr viele Vorteile - deshalb ist dies meine erste Schicht.
LUKS darüber - Rest siehe Gentoo wiki / Arch wiki bzw. Blogs was man nehmen sollte und was nicht - frei zur Auswahl
EXT4 darüber ... keine Experimente mit BTRFS - ZFS - XFS - REISERFS ... bei Daten die man braucht ... Sogar der Kernel ntfs3 Treiber hat mir dieses Jahr Daten zerstört.

eCryptFS
Code von 2016 ist ein bisschen alt

Debian ist für mich persönlich keine solide Basis aufgrund der veralteten Software.
Beitrag automatisch zusammengeführt:

nur will ich nicht bei jeden Boot einen Monitor + Tastatur anhängen müssen, damit ich die Disk entschlüssle.

Dann boote via Datei von einem USB Stick welches ein busybox und ein hardcodiertes PAsswort enthält. NAch dem booten nimmt man den Stick an sich.
 
Zuletzt bearbeitet:
Ich frag mich ja immer warum hier Server verschlüsselt werden. Habt ihr wirklich Angst davor das euch eure SERVER geklaut werden? Ich verschlüssel nur meine Laptops via LUKS, Rest ist unverschlüsselt und wird erst encrypted auf dem Weg ins Backup...
 
@Shihatsu Nicht geklaut, aber beschlagnahmt. Ich mache die "hast du was zu verbergen" Diskussion hier nicht auf. Dann können wir auch gleich weiter machen, warum ich so viel Zeug wie meinen Kalender selbst hoste und mir die Mühe mache, einen Rasperry Pi in einem weiteren Haushalt zu betreiben, um Backups zu haben anstatt sie einfach irgendwo in einen Cloudspeicher zu laden. Man kann es sich einfach machen, aber das wäre ja wie Fertig PCs zu kaufen. Wo ist denn der Reiz am Hobby? Nebenbei ist es lehrreich und gibt ein gutes Gefühl, wenn man weiß wie es funktioniert und es auch gut funktioniert.
 
Okay, das sehe ich ein - das wäre für mich aber auch der einzig valide Punkt. Was den Rest angeht sehe ich das wie du - ich hab die dritte Stufe meiner meine Backups auch bei meiner Schwester 35km weiter weg.
Und ja, Beschlagnahmung ist garnicht mal so weit weg von albern, gibt Leute die betreiben Tor Exit Nodes weil sie etwas gutes tun wollen...
Allerdings: Wenn sie das Zeug beschlagnahmen, kommen sie im Zweifel auch an die Daten. Alelrdings muss es dann schon arg ernst sein.
 
1692020467079.png
 
EXT4 darüber ... keine Experimente mit BTRFS - ZFS - XFS - REISERFS ... bei Daten die man braucht ...
Ich benutze lieber ein von jeder modernen Distro und großen Unternehmen (z.B. Facebook) benutztes Btrfs, welches (besonders bei Daten die man braucht) Prüfsummen erstellt und somit Bit Rots etc. erkennt statt dem uralten Ext4, bei dem die Maintainer schon mehrfach gesagt haben, dass es codetechnisch ein Wunder ist, dass Ext4 so gut funktioniert wie es funktioniert. Deine Annahme, dass alles außer Ext4 ein "Experiment" sei, kommt nur daher, weil Debian und folglich Ubuntu seit Ext2 einfach upgraden ohne das Ganze nur eine Sekunde zu hinterfragen. Die Ext-Dateisysteme haben am Anfang genauso oft Daten vernichtet wie auch Btrfs. Diese Zeiten sind aber vorbei. XFS gilt eigentlich durch die Bank weg als das bessere Ext4 und wird nur deshalb selten zum Distro-Default weil man es nicht verkleinern kann. Und ZFS ist so extrem stabil, dass ich gar nicht mehr weiß wann ich das letzte Mal von einem Fall gelesen habe, bei dem es Daten vernichtet hat. Du beschwerst dich über Debian, dass es keine solide Basis ist, beharrst aber auf das Dateisystem, das nur noch Debian-basierte Distributionen einsetzen. Red Hat/Fedora, SUSE, FreeBSD, etc. sind da alle inzwischen von weg. Und selbst die Debian-basierten überlegen an einem Wechsel.
Nicht geklaut, aber beschlagnahmt.
Es tut mir Leid, dass du täglich in der Angst leben musst, dass die Polizei mit einem Durchsuchungsbefehl vor deiner Tür steht.
 
Nun würde ich gerne zumindest für beide Benutzer das Home Laufwerk verschlüsseln.
Beim Setup kann ich zumindest die ganze SSD + LVM verschlüsseln, nur will ich nicht bei jeden Boot einen Monitor + Tastatur anhängen müssen, damit ich die Disk entschlüssle.
Das geht gut, wenn man das Passwort durch eine Schlüsseldatei auf einem USB Stick ersetzt. Das hier sieht nach einer vernünftigen Anleitung aus: https://technikamateur.de/server/luks-partition-mit-usb-stick-entschluesseln.

Ich persönlich mache das mit einem OpenBSD, wo dieses Vorgehen schon direkt bei der Installation dokumentiert ist. Den USB Stick kann man nach dem Booten dann abziehen und sicher verwahren. Von der Schlüsseldatei muss man unbedingt ein sicheres Backup anlegen, sonst kommt man nicht mehr an das System ran, wenn der USB Stick kaputt geht. M.E. gibt es heutzutage kaum mehr Gründe, warum man Encryption at Rest nicht machen würde.
 
Danke für euer Feedback, ich werde wie vorgeschlagen DHCP / DNS / etc am ThinClient laufen lassen, ganz ohne encryption.
Das Web Thema pack ich in ne VM und verschlüssle von A bis Z.
Der ThinClient hat halt 8GB RAM und nen Quad Core, den hätte ich gerne für mehr genutzt, aber egal. :fresse:

Letzte Frage, meine Idee war das ich mich anschließend via VNC auf den ThinClient verbinde.. Erstmal fummelt man da 15 Minuten im Terminal herum. VNC Server läuft nun aber immer, wenn ich mich darauf verbinde, bekomme ich nur ein graues Fenster.. :rolleyes: Ich vermisse ja schon die exe + Gui und fertig im Windows.
Gibts da Alternativen? Wie verbindet ihr euch auf eure Linux Server?
 
Also mal abgesehen davon, dass ich fast immer SSH + tmux verwende, um am System zu arbeiten, würde ich zu Xpra greifen.
 
Jupp, ssh all the way. Wenn du das Betriebssystem bearbeiten willst, kommst du um ssh + terminal eh nicht herum. Etwaige Services bringen dann meist eine via http erreichbare Weboberfläche mit, die vom pihole sollte dir ja bekannt sein...
 
Gibts da Alternativen? Wie verbindet ihr euch auf eure Linux Server?
Server brauchen keine GUI, daher bringt da auch VNC nix. Wenn es eine GUI hat/braucht, isses kein richtiger Server.

Benutze eigentlich ausschließlich SSH für Server.

Eine separate Linux-VM, die nicht als Server gedacht ist, sondern eher um mal schnell irgendwelche Sachen auszuprobieren, hat ne GUI, auf die gehts mit VNC.
Bei der GUI ist entscheidend, was man genau sehen will. Mit VNC sieht man die "Konsole". Also das was der PC auch auf seinem Monitor anzeigt (sofern er einen hat). Manchmal ist das notwendig, z.B. wenn da Anwendungen laufen, die 3D-Beschleunigung brauchen/nutzen, auch wenn das idR nicht viel bringt, weil man dann nicht selten ganze 3 SPF sieht.

Man kann sich im Gegensatz dazu aber auch eine eigene Session holen, z.B. mit XForward. Das ist dann eher wie Windows Remote Desktop. Im Unterschied zu VNC wird dabei das Bild nicht als "Bild" übertragen (soweit möglich), sondern X... ich nenne es mal Metadaten, was dann häufig auch performanter ist. Der Performancevorteil ist aber nur vorhanden, wenn man einfache GUIs benutzt. Mit einem Webbrowser surfen oder gar ein Video abspielen will man so meist nicht.
Unter Windows merkt man den Unterschied schon daran, das der Benutzer "am Bildschirm" abgemeldet wird, wenn man per RDP zugreift. Nicht-Server-Versionen von Windows sind da nämlich auf eine Session gleichzeitig beschränkt. Unter Linux kann man auch mehrere aktive Sessions parallel haben.
 
So ich habs erneut geschafft und hab zu viel rumgespielt :fresse: hab neben Plasma/i3 noch KDE-Wayland installiert weil ich das auch nochmal testen wollte und mich das Tearing bei X langsam echt richtig nervt. Tja, jetzt bekomm ich das nicht mehr richtig los und mit XWayland geht xbacklight in i3 nicht mehr. Hab ich gut gemacht :fresse: Ich glaube es ist doch endlich mal Zeit, /home auf ne eigene Partition zu verfrachten. Dann muss ich immerhin "nur" Pakete neu installieren
 
Ja durchaus, aber bin dann trotzdem immer nur im Produktivsystem unterwegs :d

Beim Scrollen hab ich teilweise massives Tearing, vor allem wenn das NB am Dock hängt fällt das extrem auf.
 
Hi,

gibt es irgendwelche bekannten Probleme mit nem Ryzen 5, einer 5700XT, nem Asrock B450 ITX?
Bin seit geraumer Zeit dran, neben mein Win11 ein Linux zu installieren, aber ab und an freezt mein System, manchmal schon bei der Installation.
Hab Mint 21.2 durch (Cinnamon, Mate), hier friert es im Betrieb gern mal ein. Jetzt bin ich bei Manjaro durch (Cinnamon, Mate), hier ebenso freezes.
Unter Manjaro Gnome bekomme ich aller paar Minuten segfaults und meine Browser (Firefox/Chromium) stürzen ab, entweder nur der Tab, manchmal der
ganze Browser.
Den halben Tag heute lief memtest problemlos durch.
Beispiele für heute unter Manjaro Gnome:

Code:
[Sa, 19. Aug 2023, 20:02:56] pamac-manager[1407]: segfault at 7f66c61e0070 ip 00007f66c61e0070 sp 00007fffc4a36048 error 14 in libgvfscommon.so[7f66c61e8000+13000] likely on CPU 9 (core 4, socket 0)
[Sa, 19. Aug 2023, 20:02:56] Code: Unable to access opcode bytes at 0x7f66c61e0046.
[Sa, 19. Aug 2023, 20:05:44] Compositor[2208]: segfault at 14d ip 000055e965e9846c sp 00007f91389f88f0 error 4 in chromium[55e95f875000+c12f000] likely on CPU 8 (core 2, socket 0)
[Sa, 19. Aug 2023, 20:05:44] Code: 63 c1 48 81 c6 70 01 00 00 48 39 c2 7d 35 41 8b 84 33 b8 fe ff ff 39 c8 7d 2e 48 69 c8 70 01 00 00 4c 01 d9 85 c0 49 0f 48 c8 <f6> 81 4d 01 00 00 40 74 bb 41 80 4c 33 01 40 4c 8b 5f 08 4c 8b 57
[Sa, 19. Aug 2023, 20:07:27] chromium[2005]: segfault at 28 ip 0000000000000028 sp 00007ffdd82e78c8 error 14 likely on CPU 1 (core 1, socket 0)
[Sa, 19. Aug 2023, 20:07:27] Code: Unable to access opcode bytes at 0xfffffffffffffffe.

Wo kann ich noch ansetzen? Bios ist aktuell, nix übertaktet, Windows11 läuft problemlos.
 
Zuletzt bearbeitet:
Ja, alles aktuell. Eben mal mprime (Small FFT) gestartet, bricht sofort mit nem "Hardware failure detected" ab, unter Windows ebenso, glaub ich muss da erstmal weiterforschen
 
Um die Kombination einer Hardwarekomponente und Arch Linux auszuschliessen, probier doch mal ein Live Ubuntu oder Fedora.
Zusätzlich, hast du im BIOS irgendwas geändert? Ansonsten mal mit Default Settings probieren.
 
Hab gestern abend noch wie wild den RAM in diversen Slots einzeln getestet, da gab es keine Fehler. Jetzt alles wieder zusammengesteckt, bisher fehlerfrei, auch keine Freezes mehr unter Linux, bin gespannt und ratlos.
 
Tja, leider scheint es selten/manchmal Computer zu geben, die ein bisschen eigenwillig sind. Hatte ich auch schon mehr als einmal, dass man denkt "häh, wieso geht das jetzt, ist doch alles genau wie vorher?!?"
 
Weiß zufällig jemand ob/wie man bei XFCE Anwendungen auf der Taskbar verschieben/Reihenfolge ändern kann?

Ich benutze sehr oft Fenster die links und rechts angeordnet sind, also jeweils halbe Monitorbreite. Da gehts mir echt richtig auf die Nerven, wenn Fenster 1 links und Fenster 2 rechts ist, sie in der Taskbar aber genau andersrum angeordnet sind. :ROFLMAO:
 
Hm,
a) direkt in der richtigen Reihenfolge öffnen oder
b) nachher auf die andere/wechselseitige Fensterhälfte verschieben
ist keine Option?
Beitrag automatisch zusammengeführt:

For what it's worth:
Hier sind die "Issues" bzgl. der Sortierung im XFCE-Panel gelistet, vielleichtet findest Du da ja Inspiration, was geht oder nicht geht:
 
a) direkt in der richtigen Reihenfolge öffnen oder
b) nachher auf die andere/wechselseitige Fensterhälfte verschieben
Nope, die Fenster wechseln auch mal die Seiten, je nachdem was ich wo brauche. Da starte ich nicht jedesmal die Programme neu. Und die Fenster umdrehen "geht nicht", weil ich halt meinen Workflow habe und das Fenster in diesem oder jenen Fall dann halt schon auf der jeweiligen Seite sein soll.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh