1. Foren
  2. Kommentare
  3. OpenSource-Forum
  4. Alle Kommentare zum Artikel
  5. › Mantic Minotaur: Ubuntu 23.10…

TPM wird schon lange unterstützt...

  1. Thema

Neues Thema


  1. TPM wird schon lange unterstützt...

    Autor: Truster 13.10.23 - 13:23

    ...dafür zuständig ist im wesentlichen System-D - und der Kernel natürlich.

    Unter Fedora den Schlüssel zu generieren und ins TPM zu heben ist ein dreizeiler in der Konsole (bei einer Standard-Luks installation):
    > 1. systemd-cryptenroll /dev/nvme0n1p3 --tpm2-device=auto
    > 2. {your-favorite-editor} /etc/crypttab
    >am Ende der Zeile wird das letzte Wort "discard" ersetzt durch "discard,tpm2-device=auto" ersetzt
    > 3. dracut --force

    Reboot
    Danach kann man noch mittels cryptsetup bzw. mit systemd-cryptenroll das Passwort komplett entfernen und stattdessen einen Recovery Key erstellen:
    > systemd-cryptenroll /dev/nvme0n1p3 --wipe-slot password

    Das geht unter Fedora - und unter vielen anderen Distris schon seit gefühlt Jahren, ich müsste nachsehen, wann die Unterstützung dazu tatsächlich kam.

    Bleibt unterm Strich übrig, dass Canonical das in seiner Setup-Gui automatisiert hat. Welch eine Leistung ;-)

    Verifizierter Top 500 Poster!

    Signatur von quineloe geklaut!

    Signatur von Gunslinger Gary geraubmordkopiert!0

    Special thanks to Muhaha, the Raubmordneonazi-Modder



    1 mal bearbeitet, zuletzt am 13.10.23 13:24 durch Truster.

  2. Re: TPM wird schon lange unterstützt...

    Autor: katze_sonne 13.10.23 - 13:57

    > Bleibt unterm Strich übrig, dass Canonical das in seiner Setup-Gui automatisiert hat. Welch eine Leistung ;-)

    Und deswegen wird Linux einfach niemals in der breiten Masse eingesetzt werden. Es *ist* eine unglaubliche Leistung, so etwas so umzusetzen, dass die breite Masse es nutzen kann. Offenbar haben die anderen es ja bisher nicht hinbekommen.

  3. Re: TPM wird schon lange unterstützt...

    Autor: eisbaer82 13.10.23 - 14:53

    Nee, Canonical geht da einen kleinen Sonderweg über Snaps, weil die das irgendwie von Ubuntu Core übernommen haben:

    https://ubuntu.com/blog/tpm-backed-full-disk-encryption-is-coming-to-ubuntu

    Hat wohl den Vorteil, dass Kernel und das initramfs zusammen signiert sind. Somit sollte es nicht mehr möglich sein, die Platte zu entfernen, das initramfs zu manipulieren um damit die Verschlüsselung auszuhebeln.

    Leider gibt es noch nirgendwo eine Beschreibung, wie man ein bestehendes System dahin migriert... Aber vielleicht ist das auch ohne Neuinstallation auch nicht möglich...



    1 mal bearbeitet, zuletzt am 13.10.23 15:07 durch eisbaer82.

  4. Re: TPM wird schon lange unterstützt...

    Autor: TheUnichi 13.10.23 - 15:27

    Linuxer so:

    > Unter Fedora den Schlüssel zu generieren und ins TPM zu heben ist ein
    > dreizeiler in der Konsole (bei einer Standard-Luks installation):
    > > 1. systemd-cryptenroll /dev/nvme0n1p3 --tpm2-device=auto
    > > 2. {your-favorite-editor} /etc/crypttab
    > >am Ende der Zeile wird das letzte Wort "discard" ersetzt durch
    > "discard,tpm2-device=auto" ersetzt
    > > 3. dracut --force
    >
    > Reboot
    > Danach kann man noch mittels cryptsetup bzw. mit systemd-cryptenroll das
    > Passwort komplett entfernen und stattdessen einen Recovery Key erstellen:
    > > systemd-cryptenroll /dev/nvme0n1p3 --wipe-slot password
    >
    > Das geht unter Fedora - und unter vielen anderen Distris schon seit
    > gefühlt Jahren, ich müsste nachsehen, wann die Unterstützung dazu
    > tatsächlich kam.
    >
    > Bleibt unterm Strich übrig, dass Canonical das in seiner Setup-Gui
    > automatisiert hat. Welch eine Leistung ;-)

    Auch Linuxer so:

    > Windows voll doof wääh alle sollten Linux nutzen so dumme Menschen wääh

    Ich weiß nicht, fehlt es da an Selbtreflektion oder was ist da das exakte Problem?
    Unter Windows gehe ich in die Einstellungen ins System, sage "Festplatte verschlüsseln", kriege einen Key, kann den direkt an Orte wie ein AD syncen und fertig.
    Keine 60 Commands, keine Vergleiche mit anderen Distris

    Ja, da hat Canonical eine gute Leistung erzielt. Eine, die Linux mal irgendwann real an so etwas wie ein Windows auf dem Consumer Markt bringen wird. Wer das nicht sieht, ist blind.

  5. Re: TPM wird schon lange unterstützt...

    Autor: flow77 14.10.23 - 00:15

    Truster schrieb:
    --------------------------------------------------------------------------------
    > ...dafür zuständig ist im wesentlichen System-D - und der Kernel
    > natürlich.
    >
    > Unter Fedora den Schlüssel zu generieren und ins TPM zu heben ist ein
    > dreizeiler in der Konsole (bei einer Standard-Luks installation):
    > > 1. systemd-cryptenroll /dev/nvme0n1p3 --tpm2-device=auto
    > > 2. {your-favorite-editor} /etc/crypttab
    > >am Ende der Zeile wird das letzte Wort "discard" ersetzt durch
    > "discard,tpm2-device=auto" ersetzt
    > > 3. dracut --force
    >
    > Reboot
    > Danach kann man noch mittels cryptsetup bzw. mit systemd-cryptenroll das
    > Passwort komplett entfernen und stattdessen einen Recovery Key erstellen:
    > > systemd-cryptenroll /dev/nvme0n1p3 --wipe-slot password
    >
    > Das geht unter Fedora - und unter vielen anderen Distris schon seit
    > gefühlt Jahren, ich müsste nachsehen, wann die Unterstützung dazu
    > tatsächlich kam.
    >
    > Bleibt unterm Strich übrig, dass Canonical das in seiner Setup-Gui
    > automatisiert hat. Welch eine Leistung ;-)

    Also gerade weil es via Gui läuft und damit auch für Noobs geeignet ist, ist das eine Leistung. Deine Anleitung finde ich tausendfach im Netz und ist daher wohl wirklich keine Leistung ;-)

  6. Re: TPM wird schon lange unterstützt...

    Autor: Tom01 14.10.23 - 12:55

    Truster schrieb:
    --------------------------------------------------------------------------------
    > Bleibt unterm Strich übrig, dass Canonical das in seiner Setup-Gui
    > automatisiert hat. Welch eine Leistung ;-)

    Ja, kein Gefremele im Terminal mehr. Ist ja schließlich nicht mehr 1970.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Lead Basis Software Entwickler - Fahrwerkssysteme (m/w/d)
    Schaeffler Technologies AG & Co. KG, Herzogenaurach
  2. Technikerin / Techniker (w/m/d) im operativen Betrieb der Rechenzentren
    Informationstechnikzentrum Bund (ITZBund), Berlin
  3. Mitarbeiter*in Training / Helpdesk (m/w/d)
    Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  4. SAP Entwickler - Inhouse FI/CO Experte (m/w/d)
    Jumo GmbH & Co. KG, Fulda

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 219€ (Vergleichspreis ca. 260€)
  2. 110,90€
  3. 49,95€ nach Einlösen des 50%-Coupons (Vergleichspreis ca. 100€)
  4. u. a. Thermaltake ToughPower GF3 750W für 89,90€ + 6,99€ Versand statt 107,86€ im Vergleich...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Fake-Jobanzeigen: Wir stellen ein - nicht
Fake-Jobanzeigen
Wir stellen ein - nicht

Wenn auf die Bewerbung eine Absage folgt, ist das ärgerlich genug. Bleibt die Stelle trotzdem weiterhin ausgeschrieben, steckt dahinter womöglich ein Geisterjob. Darauf sollten Bewerber achten.
Von Torsten Landsberg

  1. Fristlose Kündigung Gericht entscheidet über Entlassung wegen Stromdiebstahls
  2. Große Firma, flache Hierarchie Wer Talente finden will, muss sich auch nach ihnen richten
  3. Anruf beim Arzt Telefonische Krankschreibung wieder erlaubt

Carol & the End of the World: In 7 Monaten und 13 Tagen geht die Welt unter
Carol & the End of the World
In 7 Monaten und 13 Tagen geht die Welt unter

Die Welt wird enden, und das in gut einem halben Jahr. Das ist die Ausgangslage einer klugen neuen Miniserie, die davon handelt, wie die Menschen diese Endzeit verbringen.
Eine Rezension von Peter Osteried

  1. Doctor Who Die Geburt des Doctorverse
  2. Alex Garlands neuer Film Civil War Die USA im Bürgerkrieg
  3. Stargate: SG 1 & Atlantis & Universe Der Film, der alle Serien verbunden hätte - aber nicht kam

Sci-Fi-Film T.I.M.: Wenn der Hausroboter ein Faible für die Hausherrin hat
Sci-Fi-Film T.I.M.
Wenn der Hausroboter ein Faible für die Hausherrin hat

Wer wünscht sich keinen Hausroboter, der die unangenehmen Aufgaben übernimmt. Aber was, wenn das Ding eine ungesunde Obsession entwickelt?
Eine Rezension von Peter Osteried

  1. The Six Billion Dollar Man Mark Wahlberg ist sicher, dass das Remake bald kommt
  2. Dune Messiah Denis Villeneuve gibt Update zum dritten Kinofilm
  3. Doctor Who Russell T. Davies über die Zukunft des Tennant-Doktors