Die offizielle Zweigstelle von ich_iel im Fediversum.
Alle Pfosten müssen den Titel 'ich_iel' haben, der Unterstrich darf durch ein beliebiges Symbol oder Bildschriftzeichen ersetzt werden. Ihr dürft euch frei entfalten!
📱 Empfohlene Schlaufon-Applikationen für Lassmich
Befreundete Kommunen:
Sonstiges:
Regeln:
1. Seid nett zueinander
Diskriminierung anderer Benutzer, Beleidigungen und Provokationen sind verboten.
2. Pfosten müssen den Titel 'ich_iel' oder 'ich iel' haben
Nur Pfosten mit dem Titel 'ich_iel' oder 'ich iel' sind zugelassen. Alle anderen werden automatisch entfernt.
Unterstrich oder Abstand dürfen durch ein beliebiges Textsymbol oder bis zu drei beliebige Emojis ersetzt werden.
3. Keine Hochwähl-Maimais oder (Eigen)werbung
Alle Pfosten, die um Hochwählis bitten oder Werbung beinhalten werden entfernt. Hiermit ist auch Eigenwerbung gemeint, z.b. für andere Gemeinschaften.
4. Keine Bildschirmschüsse von Unterhaltungen
Alle Pfosten, die Bildschirmschüsse von Unterhaltungen, wie beispielsweise aus WasistApplikaton oder Zwietracht zeigen, sind nicht erlaubt. Hierzu zählen auch Unterhaltungen mit KIs.
5. Keine kantigen Beiträge oder Meta-Beiträge
ich_iel ist kein kantiges Maimai-Brett. Meta-Beiträge, insbesondere über gelöschte oder gesperrte Beiträge, sind nicht erlaubt.
6. Keine Überfälle
Wer einen Überfall auf eine andere Gemeinschaft plant, muss diesen zuerst mit den Mods abklären. Brigadieren ist strengstens verboten.
7. Keine Ü40-Maimais
Maimais, die es bereits in die WasistApplikation-Familienplauderei geschafft haben oder von Rüdiger beim letzten Stammtisch herumgezeigt wurden, sind besser auf /c/ichbin40undlustig aufgehoben.
8. ich_iel ist eine humoristische Plattform
Alle Pfosten auf ich_iel müssen humorvoll gestaltet sein. Humor ist subjektiv, aber ein Pfosten muss zumindest einen humoristischen Anspruch haben. Die Atmosphäre auf ich_iel soll humorvoll und locker gehalten werden.
9. Keine Polemik, keine Köderbeiträge, keine Falschmeldungen
Beiträge, die wegen Polemik negativ auffallen, sind nicht gestattet. Desweiteren sind Pfosten nicht gestattet, die primär Empörung, Aufregung, Wut o.Ä. über ein (insbesonders, aber nicht nur) politisches Thema hervorrufen sollen. Die Verbreitung von Falschmeldungen ist bei uns nicht erlaubt.
Bitte beachtet auch die Regeln von Feddit.org
Es fing gut mit diesen, beiden Tutorials an und endete damit, dass ich mich 2h lang in die Dokumentation vom ~~tpm-tools~~ vpm-werkzeuge (vpm = vertrauenswürdiges Plattform Modul)eingelesen habe nur um eine verficke ~~pcr-policy~~ pcr-regel zu erstellen und damit im Endeffekt nichts funktioniert (ich habe die pcr-regel nicht erstellen können).
Ich arbeite als Systemadministrator und weiß bis heute nicht, was ein TPM Modul macht, oder wozu es gut ist.
Wo liegt der Vorteil gegenüber Festplattenverschlüsselung mit einem Passwort + Autologin?
Wusste gar nicht, dass sowas auch geht. Das würde mir glaube einiges an Arbeit ersparen.
Also kp, aber LUKS-Encryption ist bei den meisten Linux Installs ne Option und meiner Erfahrung nach sehr pflegeleicht
LUKS war kein Problem. Das ganze mit TPM zu verbinden ist ein ganz anderes Level von nervig.
Ja echt cool, bin nicht super Linux versiert und habe LUKS1 auf Grub und Festplatte angewendet. Ist bei CachyOS leicht einzurichten.
Verschlüsselung und Anmeldung sind komplett separate Systeme.
Bei einer benutzerfreundlichen Linux-Verteilung kann man üblicherweise die Verschlüsselung mit Passwort bei der Installation einrichten.
Und bei Gnom und KDE kann man in den Einstellungen zur Anmeldung die automatische Benutzeranmeldung ohne Passwort einstellen.
Dann braucht man das lange, sichere Passwort zur Entschlüsselung nur einmal beim Stiefeln. Das Benutzer-Passwort kann dann kürzer sein und wird nur für sudo gebraucht.
Wenn man so dumm ist wie ich und Schlaffware nutzt, ist es ein Bisschen komplizierter.
~~KDE~~ -> Kühle Schreibtisch Umgebung
KDE steht schon seit 18 Jahren nicht mehr für irgendetwas anderes als den KDE e.V.
Ah OK, das ist für mich keine Option (aufgrund von verschiedenen anderen Anforderungen)
Du kannst dir das TPM stark vereinfacht wie einen Passwortmanager für Schlüssel vorstellen. Die Konfiguration des Systemstarts wird auch als Schlüssel gespeichert (PCRs nennen sich die Register dafür). Damit kann dann überprüft werden, ob das Gerät ordnungsgemäß gestartet ist und Zugriff auf andere Schlüssel gewährt werden darf.
Wird z.B. bei BitLocker (größtenteils zusätzlich zu einem Passwort) eingesetzt. Damit kommst du dann nicht an Daten, wenn du nur das Passwort und die Festplatte hast oder sich der Startvorgang aufgrund eines Angriffs auf das System verändert hat. Vorteile wären:
Nur bei technischen Defekten brauchst du dringend Backups bzw. einen weiteren Schlüssel für die verwendete Verschlüsselung, aber die sollten ja sowieso immer da sein...
Ist TPM nicht so eine neumodische Mikroweich-Erfindung? Ich habe mich ja beim Lesen des Pfostentitels gleich gewundert, dass das funktionieren sollte, und siehe da... Es klingt fast so ähnlich wie "Bash-Skripte mit MS Word schreiben" oder "Linux-User mit Azure Active Directory managen" oder so. Bei Datenträger-Verschlüsselung unter Linux denke ich, wie die anderen Zuhausis, auch zuerst an LUKS. Keine Ahnung, ob die Hartware dafür dann das TPM verwenden will, ist mir eig egal. Sicher ist es direkt bei der Installation viel unkomplizierter einzurichten als nachträglich
Der Grund wieso ich das mache ist, dass ich eine Laptopausleihe an der Uni (vom Fachschaftsrat aus) einrichte und wir die Vorgabe haben "Bitlocker" zu verwenden (also LUKS mit TPM unter Linux). Das hat durchaus auch Sicherheitstechnische Vorteile und nein, TPM ist nicht "nur eine Erfindung von MS". Das hat durchaus seine Daseinsberechtigung.
Für die die es genau interessiert (Achtung ich werde auf Zangendeutsch verzichten):
Das eine Tutorial meinte, dass ich einen key und einen Keyslot für die Verschlüsselung erstellen soll und den Key anschließend an das TPM binde.
# Create a new key slot
sudo cryptsetup luksAddKey /dev/sda1 /root/tpm_key
\# Seal the key to the TPM
sudo tpm2_createprimary -C o -c primary.ctx
sudo tpm2_create -C primary.ctx -u key.pub -r key.priv -a "fixedtpm|fixedparent|sensitivedataorigin|userwithauth|restricted|decrypt" -L "sha256:0000000000000000000000000000000000000000000000000000000000000000" -i /root/tpm_key -o sealed_key
tpm2_create will nach der Dokumentation für den -L Parameter entweder einen HEX-String oder eine pcr.policy haben und hat sich beschwert, dass es mit der sha256 summe nicht klar kam. Das hat ein ziemlich tiefes Hasenloch geöffnet, wie ich an so eine räudige policy drankomme. Wie so etwas funktionieren soll wird hier beschrieben, Problemchen war nur, dass tpm2.policycreate sich beschwert hat, dass es nicht mit den pcr beispielen klarkam.
Falls jemand von euch weiß, wie ich das ganze doch noch hinbekomme würde ich mich freuen.
Würde mich auch darüber freuen, wenn mir wer sagen kann, wie ich längere code blöcke hier einfügen und formatieren kann, ohne dass entweder die Formatierung zerschossen wird (wenn ich den code in \´ setze) oder bis zum Ende des Kommentars geht (wenn ich den code in ``` setze)
Du kannst
Codeblöcke auch wieder mit
drei Backticks beenden.
Wenn du systemd verwendest, ist das recht einfach: https://wiki.archlinux.org/title/Dm-crypt/Encrypting_an_entire_system#LUKS_on_a_partition_with_TPM2_and_Secure_Boot (für andere Distros als Arch müssen Schritte wie Initramfs anpassen abgewandelt werden). Ich hab's nach der Anleitung schon mehrfach so aufgesetzt und eigentlich nur beim ersten Mal länger als ne Stunde für alles gebraucht.
In opensuse konnte ich das beim installieren auswählen - funktioniert einwandfrei, nur muss ich den tpm2 key beim booten fünf Mal eingeben, kp warum.
Ich spar mir die >5h das zu fixen und geb lieber alle paar Wochen das Passwort fünfmal ein :)
Schau dir doch auch noch dieses Video dazu an: https://media.ccc.de/v/froscon2025-3279-festplattenverschlusselung_mithilfe_vom_tpm_2_0