USB-Stick zum DSGVO-konformen löschen der Platten und anschließender Ubuntu-Installation
Moin,
wir spenden demnächst ausgemusterte Rechner an ein Projekt in Afrika. Zu diesem Zweck werde ich im Ehrenamt die Rechner fertig machen. Dazu müssen die Daten im ersten Schritt sicher gelöscht werden. Es handelt sich um teilweise besonders schützenswerte Daten. Danach soll ein Standard-Ubuntu möglichst automatisiert installiert werden. Wie gesagt: Ehrenamt. Deshalb frage ich mal frech in die Runde, ohne vorher zu googeln: Weiß jemand, ob es sowas fertig gibt. Meine Idee ist: Stick rein, booten, evtl. userpassword eingeben, eine zeitlang warten, fertig.
Liebe Grüße
Erik
wir spenden demnächst ausgemusterte Rechner an ein Projekt in Afrika. Zu diesem Zweck werde ich im Ehrenamt die Rechner fertig machen. Dazu müssen die Daten im ersten Schritt sicher gelöscht werden. Es handelt sich um teilweise besonders schützenswerte Daten. Danach soll ein Standard-Ubuntu möglichst automatisiert installiert werden. Wie gesagt: Ehrenamt. Deshalb frage ich mal frech in die Runde, ohne vorher zu googeln: Weiß jemand, ob es sowas fertig gibt. Meine Idee ist: Stick rein, booten, evtl. userpassword eingeben, eine zeitlang warten, fertig.
Liebe Grüße
Erik
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 603644
Url: https://administrator.de/forum/usb-stick-zum-dsgvo-konformen-loeschen-der-platten-und-anschliessender-ubuntu-installation-603644.html
Ausgedruckt am: 19.12.2024 um 15:12 Uhr
28 Kommentare
Neuester Kommentar
Moin,
also ich würde es so machen: Live-Ubuntu fertig machen, mit shred die Festplatte ein paar mal überschreiben lassen. Dann auf einem System eine Oem-Installation durchführen und auf die anderen Geräte klonen.
Dauert zwar eine Weile bis die einzelnen Dinge abgeschlossen sind, aber effektiver Arbeitsaufwand ist äußerst gering.
Gruß Thomas
also ich würde es so machen: Live-Ubuntu fertig machen, mit shred die Festplatte ein paar mal überschreiben lassen. Dann auf einem System eine Oem-Installation durchführen und auf die anderen Geräte klonen.
Dauert zwar eine Weile bis die einzelnen Dinge abgeschlossen sind, aber effektiver Arbeitsaufwand ist äußerst gering.
Gruß Thomas
Hi,
In der Überschrift schreibst du: .. zum DSGVO-konformen löschen ...
Frage euren Datenschutzbeauftragten, bzw. schaue in eurer Verfahrensanweisung wie mit alten Festplatten umzugehen ist und wie das zu dokumetieren ist.
"Besonders schützenswerte Daten" könne nur mit Methoden nach NIST PURGE gelöscht werden oder die Festplatte muß zerstört werden (H5).
beides ist nicht mit einem Ubuntu-Stick zu erreichen.
CH
In der Überschrift schreibst du: .. zum DSGVO-konformen löschen ...
Frage euren Datenschutzbeauftragten, bzw. schaue in eurer Verfahrensanweisung wie mit alten Festplatten umzugehen ist und wie das zu dokumetieren ist.
Es handelt sich um teilweise besonders schützenswerte Daten
wer hat das definiert ?"Besonders schützenswerte Daten" könne nur mit Methoden nach NIST PURGE gelöscht werden oder die Festplatte muß zerstört werden (H5).
beides ist nicht mit einem Ubuntu-Stick zu erreichen.
CH
Hi,
zum Löschen der Platten hilft DBAN - das ist ein Open-Source Tool das Festplatten sicher löscht (dauert aber ewig) und von einem USB-Stick geladen werden kann. Danach dann automatisiert Ubuntu installieren kann es aber nicht. Evtl. solltest du die Schritte aufteilen (erst alle Platten löschen und dann Ubuntu installieren).
Gruß
max
zum Löschen der Platten hilft DBAN - das ist ein Open-Source Tool das Festplatten sicher löscht (dauert aber ewig) und von einem USB-Stick geladen werden kann. Danach dann automatisiert Ubuntu installieren kann es aber nicht. Evtl. solltest du die Schritte aufteilen (erst alle Platten löschen und dann Ubuntu installieren).
Gruß
max
Zitat von @Inf1d3l:
Wenn es OEM-Rechner mit mind. Windows 7 sind, kannst du auch Windows 10 kostenlos installieren.
auch in einer anderen Sprache?Wenn es OEM-Rechner mit mind. Windows 7 sind, kannst du auch Windows 10 kostenlos installieren.
"... ein Projekt in Afrika ...."
Gruß
Moin,
evtl. von technischer Seite her interessant ein paralleler Beitrag hier im Forum unter Datenlöschung: Profi Programm!
Gruß
evtl. von technischer Seite her interessant ein paralleler Beitrag hier im Forum unter Datenlöschung: Profi Programm!
Gruß
Hmm,
W10 ist von Haus aus MUI.
Wenn es Home Versionen sind,
Keine ahnung.
Aber mit Pro sollte man an eine entsprechende Version kommen.
Z.b. Heidoc net.
Oder halt die internationale W10 nehmen.
Ist zwar auf Englisch, aber man kann umstellen.
Screenshot aus W1903 Pro.
Und wenn du richtig freundlich sein willst ein Manual erstellen mit GANZ vielen Screenshots und umrahmungen und Pfeilen.
Wers dann nicht kann...
Pech.
Vorteil:
Man kann das auch anderen geben
PS:
Ich persönlich mag zum Bearbeiten von Screenshots Greenshot SEHR.
Zum "Schießen" von Screenshots eher ShareX.
Nur mein Senf
W10 ist von Haus aus MUI.
Wenn es Home Versionen sind,
Keine ahnung.
Aber mit Pro sollte man an eine entsprechende Version kommen.
Z.b. Heidoc net.
Oder halt die internationale W10 nehmen.
Ist zwar auf Englisch, aber man kann umstellen.
Screenshot aus W1903 Pro.
Und wenn du richtig freundlich sein willst ein Manual erstellen mit GANZ vielen Screenshots und umrahmungen und Pfeilen.
Wers dann nicht kann...
Pech.
Vorteil:
Man kann das auch anderen geben
PS:
Ich persönlich mag zum Bearbeiten von Screenshots Greenshot SEHR.
Zum "Schießen" von Screenshots eher ShareX.
Nur mein Senf
Es war ein Kommentar von Dilbert auf den Ich geantwortet habe.
Ich will damit NICHT die Entscheidung Ubuntu zu nehmen angehen!
Nachvollziehbar und unterstützenswert.
Aber Ich bin in der Win Welt zuhause und bis auf OEM Version erstellen und entsprechend klonen habe Ich keinen ansatz.
Bei Windows ist das dann anders.
Und Dilberts Punkt ist etwas das wichtig ist.
Deutsch Südafrika abgesehen würden viele mit einem Deutschen W10 nichts anfangen können.
Englisch ist nun einmal die Sprache der IT.
Aber lokale Sprache ist für Anwender wichtig.
Wenn man mit der Sprache unter W10 sich nicht beschäftigt hat ist dies ein Hindernis bis man sich damit beschäftigt.
Ich sehe das so:
Wenn die Lizenzen (W7 wird immer noch akzeptiert) pro Gerät vorhanden ist ist die Überlegung ob man nicht ein Internationales W10 Image mit Doku erstellt und nach entsprechendem Löschen der Systeme installiert entsprechend aufbügelt.
Auf der anderen Seite hat man Linux das man damit weiter verbreiten würde.
Für MICH wäre der wichtige Punkt wenn Win Lizenzen geklärt wären:
Wird unter der Linux Version alles unterstützt an Treibern?
Bzw laufen die wichtigen Teile.
Wenn ein Fingerprint Sensor nicht geht wäre das für mich nebensächlich.
Wird aber Sound nicht erkannt wäre es was ganz anderes.
Mein Senf.
Ich will damit NICHT die Entscheidung Ubuntu zu nehmen angehen!
Nachvollziehbar und unterstützenswert.
Aber Ich bin in der Win Welt zuhause und bis auf OEM Version erstellen und entsprechend klonen habe Ich keinen ansatz.
Bei Windows ist das dann anders.
Und Dilberts Punkt ist etwas das wichtig ist.
Deutsch Südafrika abgesehen würden viele mit einem Deutschen W10 nichts anfangen können.
Englisch ist nun einmal die Sprache der IT.
Aber lokale Sprache ist für Anwender wichtig.
Wenn man mit der Sprache unter W10 sich nicht beschäftigt hat ist dies ein Hindernis bis man sich damit beschäftigt.
Ich sehe das so:
Wenn die Lizenzen (W7 wird immer noch akzeptiert) pro Gerät vorhanden ist ist die Überlegung ob man nicht ein Internationales W10 Image mit Doku erstellt und nach entsprechendem Löschen der Systeme installiert entsprechend aufbügelt.
Auf der anderen Seite hat man Linux das man damit weiter verbreiten würde.
Für MICH wäre der wichtige Punkt wenn Win Lizenzen geklärt wären:
Wird unter der Linux Version alles unterstützt an Treibern?
Bzw laufen die wichtigen Teile.
Wenn ein Fingerprint Sensor nicht geht wäre das für mich nebensächlich.
Wird aber Sound nicht erkannt wäre es was ganz anderes.
Mein Senf.
Wird unter der Linux Version alles unterstützt an Treibern?
Ja, insbesondere bei älteren PCs ist generell alles komplett supportet. Linux bringt die Treiber alle im Kernel mit im Gegensatz zu Windows.Und bei den Sprachen supportet es alles. Sogar Kisuaheli usw. Das Wort Ubuntu selber kommt aus den afrikanischen Sprachen der Zulu und der Xhosa und bedeutet in etwa „Menschlichkeit“, „Nächstenliebe“ und „Gemeinsinn“ !
Mehr muss man sicher zu dem Thema nicht kommentieren. Die Winblows Einwände sind also wenig zielführend für das was der TO vorhat...
Clonezilla wäre doch das Tool der Wahl. Du erstellst einen kompletten Ubuntu Rechner mit einer Standard Installation und bootest dann dort Clonezilla vom Stick.
Dann klonst du die ganze Platte auf ein NAS oder eine USB Festplatte von diesem Rechner und hast so eine Blaupause für die anderen Rechner.
Die dann immer nur mit Clonzilla via USB booten, Sicherung zurückspielen und fertisch.
Dann klonst du die ganze Platte auf ein NAS oder eine USB Festplatte von diesem Rechner und hast so eine Blaupause für die anderen Rechner.
Die dann immer nur mit Clonzilla via USB booten, Sicherung zurückspielen und fertisch.
Aha, afaik ist z. B. shred NIST-konform.
Nein, was fehlt ist z.B die Verifizierug nach NIST (10% + ausgewählte Bereiche), die automatisierte Dokumentation etc.Es wird möglich sein mit etlichen Scripten drumherum einen Prozeß nach NIST zu erstellen und den Status NIST CLEAR zu erreichen. Ist aber nicht ausreichend. Mit schred werden nur alle adressierbaren Bereiche der Festplatten überschrieben.
Für besonders schützenswerte Daten nach DSGVO etc. müssen alle physikalisch vorhandenen Bereiche überschrieben oder nicht wieder herstellbar verändert werden. Wie dies funktioniert ist in NIST 800-88r1 als Prozeß NIST PURGE beschrieben.
Und warum sollte ein US-Standard für den deutschen Datenschutz relevant sein?
Weil es in DE keine vergleichbaren Prozeßbeschreibungen gibt und weil die Prozesse nach NIST 800-88r1 auch in DE annerkannt werden.-
We du unbedingt nach deutschen Empfehlungen löschen willst:
lese den Grundschutzkatalog:
mind 1x Überschreiben aller physikalisch vorhandenen Bereiche
100% Verification
für besonders schützenswerte Daten : SSDs können nicht gelöscht werden.
Die Empfehlug ist halt schon was älter.
Gruß
CH
https://wiki.archlinux.org/index.php/Securely_wipe_disk
Ansonsten:
Ansonsten:
- Sicherstellen, dass *ausschließlich* zu überschreibende Platten im Rechner sind
- Live-Linux rein (Ubuntu o.ä.)
- Live-Linux booten (dabei copy-to-ram auswählen)
- Live-USB-Stick entfernen
- Bei einzelner Platte: (sdX durch Namen der gewünschten Platte ersetzen)
dd if=/dev/urandom of=/dev/sdX bs=4096 status=progress
- Bei *allen* Platten im gleichen Gerät: (das "echo" ist, um nochmal drübergucken zu können, ob dies wirklcih die gewünschten Platten sind)
for i in $(ls -1 /dev/sd[a-z]); do echo dd if=/dev/urandom of=/dev/sdX bs=4096 status=progress; done
Eine praktikable und effiziente Lösung (IMHO) :
Ubuntu server mit isc-dhcpd, tftpd und pxeboot.
Ist wohl die einfachste und faulste Methode um schnell viele maschinen "DSGVO" konform zu wipen...
Welchen Modi man unter dwipe nimmt hängt davon ab wie lange die Rechner laufen sollen/können. DoD 5220.22-M ECE oder Gutmann Methode sollte jedoch ausreichend sein (dauert aber ewig - gefühlt)... da ist dann auch mit TSk oder autopsy nichts mehr zu retten.
Allerdings funktioniert es soweit ich weiß nur mit sich drehenden Platten....
Testweiser Aufbau läuft grad bei mir mit der DoD 5220.22-M Methode (short) aber dafür 2 Runden, Platte ist eine Samsung 250GB HDD HD250HJ 3.5" SATA mit 7200 RPM. Braucht laut Boot&Nuke ca.4 Stunden.
Der(18.04 BB) DHCP/TFTPd Server läuft auf nem Raspi 3+ problemlos und abgekapselt von jeglicher Netzwerkverbindung, bis auf den angeschlossenen Client...
Denke da an UbiquityAutomation oder FAI, letzteres wäre aufgrund der Möglichkeiten was die Anpassungen der Sprachpakete und die netplan Geschichte angeht am besten.
Bissl lekrüre für interessierte:
https://fai-project.org/fai-guide/#_a_id_work_a_how_does_fai_work
https://dokuwiki.nausch.org/doku.php/centos:pxe:pxe_6
https://www.nang.io/pxe-boot-dban/ (ja alt aber funktioniert auf aufwärts von 14.0x, wie gesagt Testlauf unter 18.04)
Fast schon Plug&PLay....
Cheers!
- Löschen der Daten
Ubuntu server mit isc-dhcpd, tftpd und pxeboot.
Ist wohl die einfachste und faulste Methode um schnell viele maschinen "DSGVO" konform zu wipen...
Welchen Modi man unter dwipe nimmt hängt davon ab wie lange die Rechner laufen sollen/können. DoD 5220.22-M ECE oder Gutmann Methode sollte jedoch ausreichend sein (dauert aber ewig - gefühlt)... da ist dann auch mit TSk oder autopsy nichts mehr zu retten.
Allerdings funktioniert es soweit ich weiß nur mit sich drehenden Platten....
Testweiser Aufbau läuft grad bei mir mit der DoD 5220.22-M Methode (short) aber dafür 2 Runden, Platte ist eine Samsung 250GB HDD HD250HJ 3.5" SATA mit 7200 RPM. Braucht laut Boot&Nuke ca.4 Stunden.
Der(18.04 BB) DHCP/TFTPd Server läuft auf nem Raspi 3+ problemlos und abgekapselt von jeglicher Netzwerkverbindung, bis auf den angeschlossenen Client...
- Installation der neuen Systeme
Denke da an UbiquityAutomation oder FAI, letzteres wäre aufgrund der Möglichkeiten was die Anpassungen der Sprachpakete und die netplan Geschichte angeht am besten.
Bissl lekrüre für interessierte:
https://fai-project.org/fai-guide/#_a_id_work_a_how_does_fai_work
https://dokuwiki.nausch.org/doku.php/centos:pxe:pxe_6
https://www.nang.io/pxe-boot-dban/ (ja alt aber funktioniert auf aufwärts von 14.0x, wie gesagt Testlauf unter 18.04)
Fast schon Plug&PLay....
Cheers!
Hi Erik!
Das Löschen der Platten passiert über PXE boot -> Boot&Nuke (Live-System) mit voreingestellten Parametern wie z.B. der Methode, die verwendet werden soll, aber auch die Anzahl der "Runden" und die BlockSize kann man bestimmen. Leider gibts kein klassisches man oder ähnliches dazu...
Auf der offiziellen dban Seite lässt sich auch wenig bezüglich des dwipe Kommandos finden (https://dban.org/)
Kann aber nichts dazu sagen, inwiefern sich nwipe und dwipe unterscheiden.
Die relevantesten Infos sollten in den o.g. Links enthalten sein.
#Vielleicht noch interessant, ein Snippet aus der default config
Pfad: "/var/lib/tftpboot/pxelinux.cfg/default"
""
DEFAULT autonuke
LABEL autonuke
KERNEL dban.bzi
APPEND nuke="dwipe --autonuke --method<gewünschte methode>" silent
""
Prinzipiell nur noch den Rechner an den switch/Hub klemmen, per PXE booten und dann beginnt der Prozess automatisch ohne jegliche Interaktion.
(Sofern DHCP und Tftpd Server korrekt konfiguriert wurden)
Boot&Nuke.iso ist ~17MB groß (https://sourceforge.net/projects/dban/files/dban/dban-2.3.0/)
Auch das lässt sich über den raspi realisieren.
Das "volle Image" ist fast 5GB groß, sollte also auch mit einer 16gib sd karte auf dem Raspi laufen.
Ein "richtiger" Server tuts natürlich auch, aber wie gesagt für die schnelle elgeante Lösung langt das allemal!
PS: Rest können wir ja am Monat besprechen ;)
Grüße m.w.b
Das Löschen der Platten passiert über PXE boot -> Boot&Nuke (Live-System) mit voreingestellten Parametern wie z.B. der Methode, die verwendet werden soll, aber auch die Anzahl der "Runden" und die BlockSize kann man bestimmen. Leider gibts kein klassisches man oder ähnliches dazu...
Auf der offiziellen dban Seite lässt sich auch wenig bezüglich des dwipe Kommandos finden (https://dban.org/)
Kann aber nichts dazu sagen, inwiefern sich nwipe und dwipe unterscheiden.
Die relevantesten Infos sollten in den o.g. Links enthalten sein.
#Vielleicht noch interessant, ein Snippet aus der default config
Pfad: "/var/lib/tftpboot/pxelinux.cfg/default"
""
DEFAULT autonuke
LABEL autonuke
KERNEL dban.bzi
APPEND nuke="dwipe --autonuke --method<gewünschte methode>" silent
""
Prinzipiell nur noch den Rechner an den switch/Hub klemmen, per PXE booten und dann beginnt der Prozess automatisch ohne jegliche Interaktion.
(Sofern DHCP und Tftpd Server korrekt konfiguriert wurden)
Boot&Nuke.iso ist ~17MB groß (https://sourceforge.net/projects/dban/files/dban/dban-2.3.0/)
- OS Installation - Alles (*nix) ist möglich
Auch das lässt sich über den raspi realisieren.
Das "volle Image" ist fast 5GB groß, sollte also auch mit einer 16gib sd karte auf dem Raspi laufen.
Ein "richtiger" Server tuts natürlich auch, aber wie gesagt für die schnelle elgeante Lösung langt das allemal!
PS: Rest können wir ja am Monat besprechen ;)
Grüße m.w.b