Ett par snabba frågor om Ubuntu...

Trädvy Permalänk
Medlem
Registrerad
Jul 2011

Ett par snabba frågor om Ubuntu...

Hej!

Jag är helt novis när det kommer till Linux men har köpt en server och tänkte slänga in Ubuntu för att använda den som en seedbox, alltså köra rTorrent/ruTorrent. Då jag vill spara så mycket CPU/RAM som möjligt så vill jag köra headless men har sprungit in i ett problem med kryptering. Jag har just nu ett par diskar krypterade med TrueCrypt vilka jag hade kunnat dekryptera i Ubuntu om jag hade haft ett GUI med Veracrypt.

Tyvärr funkar inte dessa program med CLI så jag får väl helt enkelt formatera om diskarna till ext4 och kryptera dessa i Ubunut. Min fråga är då, hur gör man detta? Jag har googlat en del men inte hittat någon bra guide som jag klarar av att följa, kan någon vänlig själv bringa lite klarhet?

Vet hut Fredrik Åkare - skäms gamle karl!

Trädvy Permalänk
Medlem
Registrerad
Nov 2011

Veracrypt har visst CLI-läge... kolla en gång till.
https://veracrypt.codeplex.com/wikipage?title=Downloads

Angående kryptering av hela disken så går detta att göra vid installationen. Vet ej hur installationen av Ubuntu server ser ut, men i vanliga går det att välja att kryptera allt via en enkel checkbox.

Trädvy Permalänk
Medlem
Registrerad
Mar 2016

Om du ger upp med krypteringen.
Kör programmet gparted. Går att göra det mesta där med partitionering och formatering.
Om du av nån orsak inte vill/kan köra gui program (vilket går även på headless) så kan du köra textprogrammet "lsblk" för att lista hårddiskar/partitioner, cfdisk "/dev/sökväg till hel hårddisk" för att partitionera och mkfs.ext4 -L nåtfyndigtnamn "/dev/sökväg till partition eller hel hårddisk" för att formatera.

Trädvy Permalänk
Medlem
Registrerad
Jul 2005

du kan mounta truecrypt volymer med:
-cryptsetup: $ sudo cryptsetup open --type tcrypt /dev/sdb1 tc
- truecrypt har en GUI för Linux för mount men har också en program som är CLI baserat, har dom själv på på min dator.
- veracrypt: du kan konvertera truecrypt volymer till veracrypt volymer, jag har själv inte provat detta, men ska inte vara komplicerat mer än någon knapptryckning.
-------------------

LUKS:

Full disk encryption: Kryptering av Linux -OS disken görs direkt i installationen, har ingen aning om hur eller om det ens går att göra i efterhand.

Kryptering av andra enheter (ej OS disken):

$ cryptsetup benchmark : för att se alla ciphers att välja bland.

Formeratera och skapa en en luks partion:
$ sudo cryptsetup -y –c aes-xts-plain64 –h sha512 –s 512 –i 50000 -v luksFormat /dev/sdb

Initiera volymen:
$ sudo cryptsetup luksOpen /dev/sdb test

Kontroll 1:
$ ls -l /dev/mapper/

Kontroll 2:
$ cryptsetup -v status /dev/mapper/test

Kontroll 3:
$ cryptsetup luksDump /dev/sdb

Trädvy Permalänk
Medlem
Registrerad
Jul 2011
Skrivet av Cocosoft:
Skrivet av FattarNiInte:
Skrivet av Lexdale:

Tack för svaren grabbar! Det verkar ju finnas en del alternativ i alla fall, ge upp kryptering är inte aktuellt och det känns ironiskt att behöva ge upp säkerhet när man går från Windows till Linux. Det borde fungera att installera Veracrypt på servern och köra GUI-applikationen via en X11-tunnel till min desktop? Om det går, behöver jag ens formatera om mina lagringsdiskar från NTFS? Tack återigen!

Vet hut Fredrik Åkare - skäms gamle karl!

Trädvy Permalänk
Medlem
Registrerad
Jul 2005
Skrivet av Matheeeew:

Tack för svaren grabbar! Det verkar ju finnas en del alternativ i alla fall, ge upp kryptering är inte aktuellt och det känns ironiskt att behöva ge upp säkerhet när man går från Windows till Linux. Det borde fungera att installera Veracrypt på servern och köra GUI-applikationen via en X11-tunnel till min desktop? Om det går, behöver jag ens formatera om mina lagringsdiskar från NTFS? Tack återigen!

formatera om diskarna från NTFS:
-du har NTFS på dina truecrypt diskar, vill du inte längre ha NTFS filsystemet så måste du formatera om, det går utmärkt att köra truecrypt volymer med ext4 filsystemet, men då förlorar man nog den stora poängen = det kommer inte att gå att komma åt truecrypt diskarna i windows, då kan man lika gärna formatera om disken till en renodlad luks-enhet.

Jag har själv en sekunddär sata-hårddisk i truecrypt/NTFS plus 2st externa hårddiskar truecrypt/NTFS som jag använder i linux och windows. Och så har jag en sata-hårddisk som jag använder i linux som renodlad luks-enhet. Men den kommer jag såklart inte åt i windows. Nackdelen med NTFS filsystemet är såklart att det inte fungerar med linux rättigheter, dvs går inte att sätta chmod 644 på filer m.m.

Så, enklast är att behålla allting som det är och inte göra ett skit, och mounta truecrypt diskarna med truecrypt GUI eller CLI , eller med cryptsetup.

plus i kanten: konvertera truecrypt volymerna till veracrypt volymer, filsystemet blir såklart intakt tillsammans med filerna.
mounta med veracrypt GUI eller CLI, eller med cryptsetup: $ cryptsetup open --type tcrypt --veracrypt /dev/sdb1 vc

Fördel med veracrypt är att man kan använda PIM för att skydda sig mot bruteforce attacker, förmodar att det motsvarar att använda högre antal iterations på en luksenhet.

$ sudo cryptsetup -y –c aes-xts-plain64 –h sha512 –s 512 –i 50000 -v luksFormat /dev/sdb

jag tror att default är: -i 5000
- jag provade nyligen att använda -i 100000 och då tog de ca 2minuter att mounta volymen efter korrekt lösenord matats in, så det blir mer eller mindre lönlöst att försöka ge sig på en bruteforce attack.

-i 5000 : tar som mest 10 sekunder att mounta en luksEnhet
-i 50000 : 1minut kanske

att mounta volymerna via X11 borde inte vara någon skillnad från att öppna gedit och skriva en kodsnutt eller vad som helst.

och vill du vara på den säkra sidan, så gör en simulering av allting du har tänkt att göra i virtualbox.

virtualbox
------------
skapa en VM:
installera windows 7, högerklicka på din VM --> settings --> storage --> lägg till en sata hårddisk (ca 50mb hårddisk borde räcka)
initiera den i windows och därefter kryptera den med truecrypt GUI, alternativt prova att installera veracrypt och konvertera den från truecrypt till veracrypt.

skapa en ny VM: installera linux i den. Högerklicka på den --> settings --> storage --> lägg till en hårrdisk --> befintlig --> välj .vdi filen som tillhör den truecrypt disk som du gjorde i windows.

därefter sätt upp X11 och prova

Trädvy Permalänk
Medlem
Registrerad
Jul 2011
Skrivet av Lexdale:

Långt inlägg

Trots din fantastisk hjälp så har jag kört fast här ändå, hoppas du kan hjälpa mig. Har installerat Ubuntu Server och installerat ett enkelt GUI. Har efter det laddat ned TrueCrypt 7.2 och har fått fram alla diskar precis som i Windows. Problemet uppstår när jag ska mounta diskarna i Veracrypts GUI då jag skriver in rätt lösenord men programmet hittar inga volymen att mounta. Har även försökt att konvertera men det blir samma resultat. Vad är det som är knas? Man ska väl kunna mounta TC-volymer i Veracrypt?

Vet hut Fredrik Åkare - skäms gamle karl!

Trädvy Permalänk
Medlem
Registrerad
Jul 2005
Skrivet av Matheeeew:

Trots din fantastisk hjälp så har jag kört fast här ändå, hoppas du kan hjälpa mig. Har installerat Ubuntu Server och installerat ett enkelt GUI. Har efter det laddat ned TrueCrypt 7.2 och har fått fram alla diskar precis som i Windows. Problemet uppstår när jag ska mounta diskarna i Veracrypts GUI då jag skriver in rätt lösenord men programmet hittar inga volymen att mounta. Har även försökt att konvertera men det blir samma resultat. Vad är det som är knas? Man ska väl kunna mounta TC-volymer i Veracrypt?

Jag har ingen erfarenhet av det tyvärr, möjligtvis att du kanske måste kryssa i en ruta "Truecrypt mode" kanske eller något sånt,
kolla in här:

https://veracrypt.codeplex.com/wikipage?title=Converting%20Tr...

Kanske det är så att det inte går att mounta en TC volym i VC utan att du först måste konvertera den från TC till VC.
Systempartioner kan inte konverteras läste jag lite snabbt.

hoppas det hjälper, när du får det att fungera kan du fundera om ifall du borde använda PIM

OBS: använd EJ truecrypt 7.2 den anses vara osäker med obekräftade bakdörrar, om du hängt med vad som hänt truecrypt de senaste året eller så. Ladda ned truecrypt 7.1a istället från en trovärdig källa.

Trädvy Permalänk
Medlem
Registrerad
Jul 2011
Skrivet av Lexdale:

Jag har ingen erfarenhet av det tyvärr, möjligtvis att du kanske måste kryssa i en ruta "Truecrypt mode" kanske eller något sånt,
kolla in här:

https://veracrypt.codeplex.com/wikipage?title=Converting%20Tr...

Kanske det är så att det inte går att mounta en TC volym i VC utan att du först måste konvertera den från TC till VC.
Systempartioner kan inte konverteras läste jag lite snabbt.

hoppas det hjälper, när du får det att fungera kan du fundera om ifall du borde använda PIM

OBS: använd EJ truecrypt 7.2 den anses vara osäker med obekräftade bakdörrar, om du hängt med vad som hänt truecrypt de senaste året eller så. Ladda ned truecrypt 7.1a istället från en trovärdig källa.

Tack för svaret ännu en gång! Jag laddade endast ned TC 7.2 för att få fram diskarna, jag ska kryptera om mina diskar med Veracrypt istället. Räcker det att jag formaterar om mina diskar för att få bort kryptering och kryptera om den med VC eller måste jag dekryptera med TC för att det ska bli gjort "på rätt sätt"? Behöver jag skriva över allt med nollor innan jag kör in den nya krypteringen?

Vet hut Fredrik Åkare - skäms gamle karl!

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Jul 2010

@Matheeeew: Ska du rensa diskarna så skulle jag ha kört med LUKS. Det är väldigt lätt att sätta upp bara man har fattat hur partitionering, formatering och montering går till från CLI.

Kerneln och utvecklare är medveten om LUKS som är "native" för GNU/Linux. Veracrypt har tidigare haft problem med att man måste köra det som root, vilket gör det lite oskönt. Nackdelen är att du inte kan flytta disken till en Windows/OS X maskin och bara plugga in den, men det hade i så fall krävt att du kört NTFS eller liknande.

Det rekommenderas att man skriver slumpmässig data över hela disken/partitionen för att minska möjligheten att se mönster vars det ligger krypterad data och inte, vilket underlättar vid försök till dekryptering.

Här finns det en bra guide som går igenom hela processen förutom partitionering.
https://www.howtoforge.com/tutorial/how-to-encrypt-a-linux-pa...

...och som vanligt så erbjuder Arch forum bra guider för det mesta, oavsett vilken dist du kör.
https://wiki.archlinux.org/index.php/Dm-crypt/Device_encrypti...

MBA 11" mid 2012 - Arch Linux

Citera så hittar jag tillbaka!

Trädvy Permalänk
Medlem
Registrerad
Jul 2005
Skrivet av Matheeeew:

Tack för svaret ännu en gång! Jag laddade endast ned TC 7.2 för att få fram diskarna, jag ska kryptera om mina diskar med Veracrypt istället. Räcker det att jag formaterar om mina diskar för att få bort kryptering och kryptera om den med VC eller måste jag dekryptera med TC för att det ska bli gjort "på rätt sätt"? Behöver jag skriva över allt med nollor innan jag kör in den nya krypteringen?

Kollade du på länken? prova först följa den och konvertera från TC till VC innan du gör onödigt mycket arbete vetja
Du behöver inte skriva över din disk med massa nollor, varför ska man skriva över krypterad information med nollor = så tänker jag.

Men om man hade haft en disk okrypterad och haft den körandes ett tag för att sedan kryptera den ett halvår senare så bör man förmodligen skriva över innehållet en omgång, man vet aldrig vad som fastnad i växlingsfilen och med mera.

Scenario 2:
Konvertering från TC till VC funkar inte. Det borde absolut räcka med att du bara formaterar om disken i NTFS. sedan kryptera den i VC, använd PIM också vetja.

Jag tycker du borde göra såhär, starta upp en virtuell dator med ubuntu eller mint, och prova att mounta en VC disk som du skapat i windows, jag tror inte att man kan kryptera med VC i linux utan bara mounta, så är det iallafall med TC. Detta för att du ska vara säker på hur allt fungerar så att du inte gör något du ångrar senare. Och btw, det fungerar bra att behålla dina diskar i TC också och köra dom i linux, men i det långa loppet så bör man övergå till VC eftersom TC kommer att dö ut med tiden.

Jag brukar alltid simulera installationer/ändringar som har mer seriös karaktär

Trädvy Permalänk
Medlem
Registrerad
Jul 2005

kom på en sak, om det inte går att konvertera diskarna från TC till VC i Linux, prova att gör det i Windows

Trädvy Permalänk
Medlem
Registrerad
Jul 2011
Skrivet av Lexdale:

kom på en sak, om det inte går att konvertera diskarna från TC till VC i Linux, prova att gör det i Windows

Har krypterat en disk i veracrypt nu och mountat den i veracrypt, tyvärr verkar det som att min fantastiska plan faller på mållinjen. Disken finns under /media/veracrypt1. Jag har delat ut den på nätverket genom Samba men kommer inte åt innehållet då rättigheterna är fel på mappen och pga. att det är NTFS så går det inte att ändra med chmod. Efter snabb googling hittade jag work arounds som bygger på att man mountar den med mountkommandot (vilket jag inte gör)... Är jag körd? Jag vill ha NTFS då jag kan behöva använda diskarna i Windowsmiljöer.

Vet hut Fredrik Åkare - skäms gamle karl!

Trädvy Permalänk
Medlem
Registrerad
Jul 2005

@Matheeeew:

Kan du ge en utförligare beskrivning av vad som går fel?

Det stämmer att man inte kan chmodda i NTFS, tyvärr! Helt sjukt vilket dåligt filsystemet det är egentligen.
alla filer och kataloger får rättigheterna RWX RWX RWX för sudo användaren tror jag det är. Men spelar ändå ingen roll eftersom alla (other-gruppen) ändå kan skriva och läsa och köra alla filer. (user-group-other / rwx-rwx-rwx)

Varför kommer samba inte åt innehållet menar du? jag tycker att det bör gå. Glöm inte att lägg till din sudo användare till sambagruppen och skapa sambalösenord m.m men det har du säkert koll på.

själva mount-point-katalogen kan du ju chmodda om det är det som ställer till det: $ sudo chmod ugo+rwx /media/veracrypt1

Inte att rekomendera:
Det finns program som man man installera i Windows som kan emulera EXT -filsystemen och komma åt och skriva till filer. Men det är så sjukt B-igt och dåligt användarvänlighet/gränssnitt så det går fetbort.

Trädvy Permalänk
Medlem
Registrerad
Jul 2011
Skrivet av Lexdale:

@Matheeeew:

Varför kommer samba inte åt innehållet menar du? jag tycker att det bör gå. Glöm inte att lägg till din sudo användare till sambagruppen och skapa sambalösenord m.m men det har du säkert koll på.

själva mount-point-katalogen kan du ju chmodda om det är det som ställer till det: $ sudo chmod ugo+rwx /media/veracrypt1

Det löste sig! Det var jag som hade klickat bort inloggningsrutan för sharen första gången då jag ville komma åt den utan att behöva ange inloggninsuppgifter och glömde sedan bort att rensa cachen så att den kom upp igen. Nu fungerar allt, disken är krypterat i Veracrypt och utdelad via Samba och jag kommer åt den via min Windowsmaskin som var hela tanken från början. Hatten av till dig och stort tack för hjälpen!

Vet hut Fredrik Åkare - skäms gamle karl!

Trädvy Permalänk
Medlem
Registrerad
Jul 2005
Skrivet av Matheeeew:

Det löste sig! Det var jag som hade klickat bort inloggningsrutan för sharen första gången då jag ville komma åt den utan att behöva ange inloggninsuppgifter och glömde sedan bort att rensa cachen så att den kom upp igen. Nu fungerar allt, disken är krypterat i Veracrypt och utdelad via Samba och jag kommer åt den via min Windowsmaskin som var hela tanken från början. Hatten av till dig och stort tack för hjälpen!

Kung, bra jobbat
Använd PIM funktionen också vetja

Trädvy Permalänk
Medlem
Registrerad
Jul 2011
Skrivet av Lexdale:

Kung, bra jobbat
Använd PIM funktionen också vetja

Du råkar inte ha koll på rtorrent? Jag har suttit med den konfigfilen i två dagar nu och sliter fan av mig håret snart, ingenting funkar...

Vet hut Fredrik Åkare - skäms gamle karl!

Trädvy Permalänk
Medlem
Registrerad
Jul 2005
Skrivet av Matheeeew:

Du råkar inte ha koll på rtorrent? Jag har suttit med den konfigfilen i två dagar nu och sliter fan av mig håret snart, ingenting funkar...

hm menar du brandväggs regler? (IPtables) ?

Ett par rader/regler kod i ett skript är det enda som behövs, jag kan PM:a dig mitt skript om du vill, och ska fungera vilken torrent klient man än använder. Själv använder jag Deluge som torrent-client.

Jag använder inga grafiska brandväggs verktyg dock, bara renodlade iptables då jag tycker att det är lättare än att lära sig en relativt ny syntax för att skriva regler m.m. Har man en gång gjort en bra mall för iptables så behöver man inte bekymra sig om framtiden utan bara editera den mallen/skriptet.

Trädvy Permalänk
Medlem
Registrerad
Jul 2005

fick du till det eller hur går det ?