erikro
Goto Top

USB-Stick zum DSGVO-konformen löschen der Platten und anschließender Ubuntu-Installation

Moin,

wir spenden demnächst ausgemusterte Rechner an ein Projekt in Afrika. Zu diesem Zweck werde ich im Ehrenamt die Rechner fertig machen. Dazu müssen die Daten im ersten Schritt sicher gelöscht werden. Es handelt sich um teilweise besonders schützenswerte Daten. Danach soll ein Standard-Ubuntu möglichst automatisiert installiert werden. Wie gesagt: Ehrenamt. Deshalb frage ich mal frech in die Runde, ohne vorher zu googeln: Weiß jemand, ob es sowas fertig gibt. Meine Idee ist: Stick rein, booten, evtl. userpassword eingeben, eine zeitlang warten, fertig. face-wink

Liebe Grüße

Erik

Content-ID: 603644

Url: https://administrator.de/forum/usb-stick-zum-dsgvo-konformen-loeschen-der-platten-und-anschliessender-ubuntu-installation-603644.html

Ausgedruckt am: 19.12.2024 um 15:12 Uhr

TK1987
TK1987 10.09.2020 aktualisiert um 20:52:18 Uhr
Goto Top
Moin,

also ich würde es so machen: Live-Ubuntu fertig machen, mit shred die Festplatte ein paar mal überschreiben lassen. Dann auf einem System eine Oem-Installation durchführen und auf die anderen Geräte klonen.

Dauert zwar eine Weile bis die einzelnen Dinge abgeschlossen sind, aber effektiver Arbeitsaufwand ist äußerst gering.

Gruß Thomas
ChriBo
ChriBo 10.09.2020 um 21:27:13 Uhr
Goto Top
Hi,
In der Überschrift schreibst du: .. zum DSGVO-konformen löschen ...
Frage euren Datenschutzbeauftragten, bzw. schaue in eurer Verfahrensanweisung wie mit alten Festplatten umzugehen ist und wie das zu dokumetieren ist.
Es handelt sich um teilweise besonders schützenswerte Daten
wer hat das definiert ?
"Besonders schützenswerte Daten" könne nur mit Methoden nach NIST PURGE gelöscht werden oder die Festplatte muß zerstört werden (H5).
beides ist nicht mit einem Ubuntu-Stick zu erreichen.

CH
max
max 11.09.2020 um 03:00:18 Uhr
Goto Top
Hi,

zum Löschen der Platten hilft DBAN - das ist ein Open-Source Tool das Festplatten sicher löscht (dauert aber ewig) und von einem USB-Stick geladen werden kann. Danach dann automatisiert Ubuntu installieren kann es aber nicht. Evtl. solltest du die Schritte aufteilen (erst alle Platten löschen und dann Ubuntu installieren).

Gruß
max
Dr.Bit
Dr.Bit 11.09.2020 um 07:37:35 Uhr
Goto Top
Ich lösche immer mit Minitool Partition Wizard, die Free Version reicht. Dann DoD 5220.28-STD (7Passes). Dauert bei einer 2 TB Platte aber auch schon mal 3Tage. Danach Ubuntu installieren und klonen.

🖖
ChriBo
ChriBo 11.09.2020 um 08:09:13 Uhr
Goto Top
FYI:
Du hast keinen Sicherheitsgewinn wenn du 7-fach überschreibst.
1-fach hat den gleichen Effekt und ist ausreichend. Wenn das Tool es zuläßt: Wähle 100% Verifikation, dies ist eine signifikannte Verbesserung und ein Sicherheitsgewinn.
CH
Inf1d3l
Inf1d3l 11.09.2020 um 08:55:55 Uhr
Goto Top
Wenn es OEM-Rechner mit mind. Windows 7 sind, kannst du auch Windows 10 kostenlos installieren.
Dilbert-MD
Dilbert-MD 11.09.2020 um 09:25:47 Uhr
Goto Top
Zitat von @Inf1d3l:

Wenn es OEM-Rechner mit mind. Windows 7 sind, kannst du auch Windows 10 kostenlos installieren.
auch in einer anderen Sprache?

"... ein Projekt in Afrika ...."

Gruß
Dr.Bit
Dr.Bit 11.09.2020 um 09:30:24 Uhr
Goto Top
Ich denke mal Erik hat sich schon auf Linux festgelegt.

🖖
chkdsk
chkdsk 11.09.2020 aktualisiert um 09:36:47 Uhr
Goto Top
Moin,

wie schon von @max erwähnt, definitv DBAN für das sichere Löschen der Daten
VGem-e
VGem-e 11.09.2020 um 10:16:17 Uhr
Goto Top
Moin,

evtl. von technischer Seite her interessant ein paralleler Beitrag hier im Forum unter Datenlöschung: Profi Programm!

Gruß
TomTomBon
TomTomBon 11.09.2020 um 10:36:37 Uhr
Goto Top
Hmm,
W10 ist von Haus aus MUI.

Wenn es Home Versionen sind,
Keine ahnung.
Aber mit Pro sollte man an eine entsprechende Version kommen.
Z.b. Heidoc net.
Oder halt die internationale W10 nehmen.
Ist zwar auf Englisch, aber man kann umstellen.

Screenshot aus W1903 Pro.

Und wenn du richtig freundlich sein willst ein Manual erstellen mit GANZ vielen Screenshots und umrahmungen und Pfeilen.
Wers dann nicht kann...
Pech.
Vorteil:
Man kann das auch anderen geben face-wink

PS:
Ich persönlich mag zum Bearbeiten von Screenshots Greenshot SEHR.
Zum "Schießen" von Screenshots eher ShareX.

Nur mein Senf
applicationframehost_yxynutqiyg
aqui
aqui 11.09.2020 aktualisiert um 10:41:34 Uhr
Goto Top
Danach soll ein Standard-Ubuntu möglichst automatisiert installiert werden.
Wer lesen kann...!!!
Aber heute ist ja auch Freitag !
fish
sabines
sabines 11.09.2020 um 10:49:58 Uhr
Goto Top
Moin,

wie viele PCs sind das und sind da SSDs verbaut?

Gruss
TomTomBon
TomTomBon 11.09.2020 um 11:59:39 Uhr
Goto Top
Es war ein Kommentar von Dilbert auf den Ich geantwortet habe.

Ich will damit NICHT die Entscheidung Ubuntu zu nehmen angehen!
Nachvollziehbar und unterstützenswert.

Aber Ich bin in der Win Welt zuhause und bis auf OEM Version erstellen und entsprechend klonen habe Ich keinen ansatz.
Bei Windows ist das dann anders.

Und Dilberts Punkt ist etwas das wichtig ist.
Deutsch Südafrika abgesehen würden viele mit einem Deutschen W10 nichts anfangen können.
Englisch ist nun einmal die Sprache der IT.
Aber lokale Sprache ist für Anwender wichtig.

Wenn man mit der Sprache unter W10 sich nicht beschäftigt hat ist dies ein Hindernis bis man sich damit beschäftigt.


Ich sehe das so:
Wenn die Lizenzen (W7 wird immer noch akzeptiert) pro Gerät vorhanden ist ist die Überlegung ob man nicht ein Internationales W10 Image mit Doku erstellt und nach entsprechendem Löschen der Systeme installiert entsprechend aufbügelt.

Auf der anderen Seite hat man Linux das man damit weiter verbreiten würde.

Für MICH wäre der wichtige Punkt wenn Win Lizenzen geklärt wären:
Wird unter der Linux Version alles unterstützt an Treibern?
Bzw laufen die wichtigen Teile.
Wenn ein Fingerprint Sensor nicht geht wäre das für mich nebensächlich.
Wird aber Sound nicht erkannt wäre es was ganz anderes.

Mein Senf.
aqui
aqui 11.09.2020 aktualisiert um 12:51:41 Uhr
Goto Top
Wird unter der Linux Version alles unterstützt an Treibern?
Ja, insbesondere bei älteren PCs ist generell alles komplett supportet. Linux bringt die Treiber alle im Kernel mit im Gegensatz zu Windows.
Und bei den Sprachen supportet es alles. Sogar Kisuaheli usw. Das Wort Ubuntu selber kommt aus den afrikanischen Sprachen der Zulu und der Xhosa und bedeutet in etwa „Menschlichkeit“, „Nächstenliebe“ und „Gemeinsinn“ !
Mehr muss man sicher zu dem Thema nicht kommentieren. Die Winblows Einwände sind also wenig zielführend für das was der TO vorhat...
Dr.Bit
Dr.Bit 11.09.2020 um 13:00:50 Uhr
Goto Top
Ich weiß gar nicht was hier über irgendwelche Betriebsysteme lamentiert wird.
Erik will Ubuntu!!
Er will nur wissen, was man zum Löschen der Platten nehmen soll.

🖖
erikro
erikro 11.09.2020 um 15:19:23 Uhr
Goto Top
Moin,

Zitat von @ChriBo:
In der Überschrift schreibst du: .. zum DSGVO-konformen löschen ...
Frage euren Datenschutzbeauftragten, bzw. schaue in eurer Verfahrensanweisung wie mit alten Festplatten umzugehen ist und wie das zu dokumetieren ist.

Das ist schon erledigt. Es geht um die Automatisierung des Verfahrens.

Es handelt sich um teilweise besonders schützenswerte Daten
wer hat das definiert ?

Der Gesetzgeber.

"Besonders schützenswerte Daten" könne nur mit Methoden nach NIST PURGE gelöscht werden oder die Festplatte muß zerstört werden (H5).
beides ist nicht mit einem Ubuntu-Stick zu erreichen.

Aha, afaik ist z. B. shred NIST-konform. Und warum sollte ein US-Standard für den deutschen Datenschutz relevant sein?

Liebe Grüße

Erik
erikro
erikro 11.09.2020 um 15:35:34 Uhr
Goto Top
Moin,

Zitat von @Dr.Bit:

Ich weiß gar nicht was hier über irgendwelche Betriebsysteme lamentiert wird.
Erik will Ubuntu!!

Klar will ich das. Ich kann doch nicht unsere Lizenzen nach Afrika verschicken. face-wink Und die da unten können sich keine leisten.

Er will nur wissen, was man zum Löschen der Platten nehmen soll.

Eigentlich wollte ich wissen, ob es was gibt, was das Ganze automatisiert. In etwa so:

1. Vom Stick booten
2. Mini-Linux startet
3. Alle Partitionen auf allen Platten suchen
4. shred oder ein anderes der unter Linux verfügbaren wipe-Tools für jede Partition ausführen
5. Partitionen löschen
6. Neu partitionieren und Ubuntu installieren, fertig.

Drei bis sechs sind vom Datenschutzbeauftragten schon abgenommen. Da ich so ca. 20 Rechner für den Versand fertig machen möchte, wollte ich das halt möglichst automatisch haben, so dass ich morgens vor Arbeitsbeginn in fünf Maschinen je einen Stick reinstecke, hochfahre und nach Arbeitsende gucke, ob alles gut ist. Ich hatte gehofft, dass es sowas als fertige Lösung irgendwo gibt. face-wink

Liebe Grüße

Erik
Inf1d3l
Inf1d3l 11.09.2020 aktualisiert um 15:44:45 Uhr
Goto Top
Was heißt, eure Lizenzen? OEM-Lizenzen sind an die Hardware gebunden. Die kannst du nicht "behalten". VOL-Lizenzen dagegen sind immer Upgrades und setzen OEM oder SB voraus. Oder habt ihr nur selbstgebastelte Rechner mit hoffentlich SB-Lizenzen?
aqui
aqui 11.09.2020 aktualisiert um 18:57:43 Uhr
Goto Top
Clonezilla wäre doch das Tool der Wahl. Du erstellst einen kompletten Ubuntu Rechner mit einer Standard Installation und bootest dann dort Clonezilla vom Stick.
Dann klonst du die ganze Platte auf ein NAS oder eine USB Festplatte von diesem Rechner und hast so eine Blaupause für die anderen Rechner.
Die dann immer nur mit Clonzilla via USB booten, Sicherung zurückspielen und fertisch.
ChriBo
ChriBo 11.09.2020 um 20:03:43 Uhr
Goto Top
Aha, afaik ist z. B. shred NIST-konform.
Nein, was fehlt ist z.B die Verifizierug nach NIST (10% + ausgewählte Bereiche), die automatisierte Dokumentation etc.
Es wird möglich sein mit etlichen Scripten drumherum einen Prozeß nach NIST zu erstellen und den Status NIST CLEAR zu erreichen. Ist aber nicht ausreichend. Mit schred werden nur alle adressierbaren Bereiche der Festplatten überschrieben.
Für besonders schützenswerte Daten nach DSGVO etc. müssen alle physikalisch vorhandenen Bereiche überschrieben oder nicht wieder herstellbar verändert werden. Wie dies funktioniert ist in NIST 800-88r1 als Prozeß NIST PURGE beschrieben.

Und warum sollte ein US-Standard für den deutschen Datenschutz relevant sein?
Weil es in DE keine vergleichbaren Prozeßbeschreibungen gibt und weil die Prozesse nach NIST 800-88r1 auch in DE annerkannt werden.
-
We du unbedingt nach deutschen Empfehlungen löschen willst:
lese den Grundschutzkatalog:
mind 1x Überschreiben aller physikalisch vorhandenen Bereiche
100% Verification
für besonders schützenswerte Daten : SSDs können nicht gelöscht werden.
Die Empfehlug ist halt schon was älter.

Gruß
CH
ziqz00ma
ziqz00ma 11.09.2020 um 21:12:59 Uhr
Goto Top
https://wiki.archlinux.org/index.php/Securely_wipe_disk

Ansonsten:
  • Sicherstellen, dass *ausschließlich* zu überschreibende Platten im Rechner sind
  • Live-Linux rein (Ubuntu o.ä.)
  • Live-Linux booten (dabei copy-to-ram auswählen)
  • Live-USB-Stick entfernen
  • Bei einzelner Platte:
    dd if=/dev/urandom of=/dev/sdX bs=4096 status=progress
    (sdX durch Namen der gewünschten Platte ersetzen)
  • Bei *allen* Platten im gleichen Gerät:
    for i in $(ls -1 /dev/sd[a-z]); do echo dd if=/dev/urandom of=/dev/sdX bs=4096 status=progress; done
    (das "echo" ist, um nochmal drübergucken zu können, ob dies wirklcih die gewünschten Platten sind)
george44
george44 14.09.2020 um 12:41:02 Uhr
Goto Top
Schon mal überlegt, denen eine neue und wahrscheinlich schnellere SSD zu spendieren? 120 GB gibt es inzwischen für wenig mehr als 20 EUR. Bei uns jedenfalls verlässt keine gebrauchte Festplatte das Haus.
erikro
erikro 14.09.2020 um 18:21:36 Uhr
Goto Top
Moin,

danke für die zahlreichen Tipps. Die Lösung wird dann wohl so aussehen, dass ich mir ein kleines Skript selbst basteln werde. Ich hasse die bash. face-wink Wenn es läuft, dann werde ich mich wieder melden. Ich lasse das mal auf ungelöst, falls noch jemandem was einfällt. face-wink

Liebe Grüße

Erik
erikro
erikro 14.09.2020 um 18:22:28 Uhr
Goto Top
Zitat von @george44:

Schon mal überlegt, denen eine neue und wahrscheinlich schnellere SSD zu spendieren?

Wenn Du jemanden findest, der sie zahlt und einbaut, dann gerne. face-wink
aliasc3b3ruz
Lösung aliasc3b3ruz 17.09.2020 aktualisiert um 19:42:46 Uhr
Goto Top
Eine praktikable und effiziente Lösung (IMHO) :


  1. Löschen der Daten

Ubuntu server mit isc-dhcpd, tftpd und pxeboot.

Ist wohl die einfachste und faulste Methode um schnell viele maschinen "DSGVO" konform zu wipen...

Welchen Modi man unter dwipe nimmt hängt davon ab wie lange die Rechner laufen sollen/können. DoD 5220.22-M ECE oder Gutmann Methode sollte jedoch ausreichend sein (dauert aber ewig - gefühlt)... da ist dann auch mit TSk oder autopsy nichts mehr zu retten.

Allerdings funktioniert es soweit ich weiß nur mit sich drehenden Platten....

Testweiser Aufbau läuft grad bei mir mit der DoD 5220.22-M Methode (short) aber dafür 2 Runden, Platte ist eine Samsung 250GB HDD HD250HJ 3.5" SATA mit 7200 RPM. Braucht laut Boot&Nuke ca.4 Stunden.

Der(18.04 BB) DHCP/TFTPd Server läuft auf nem Raspi 3+ problemlos und abgekapselt von jeglicher Netzwerkverbindung, bis auf den angeschlossenen Client...

  1. Installation der neuen Systeme

Denke da an UbiquityAutomation oder FAI, letzteres wäre aufgrund der Möglichkeiten was die Anpassungen der Sprachpakete und die netplan Geschichte angeht am besten.

Bissl lekrüre für interessierte:

https://fai-project.org/fai-guide/#_a_id_work_a_how_does_fai_work

https://dokuwiki.nausch.org/doku.php/centos:pxe:pxe_6

https://www.nang.io/pxe-boot-dban/ (ja alt aber funktioniert auf aufwärts von 14.0x, wie gesagt Testlauf unter 18.04)

Fast schon Plug&PLay....

Cheers!
erikro
erikro 17.09.2020 um 20:17:08 Uhr
Goto Top
Moin,

Zitat von @aliasc3b3ruz:

Eine praktikable und effiziente Lösung (IMHO) :


  1. Löschen der Daten

Ubuntu server mit isc-dhcpd, tftpd und pxeboot.

Ist wohl die einfachste und faulste Methode um schnell viele maschinen "DSGVO" konform zu wipen...

Welchen Modi man unter dwipe nimmt hängt davon ab wie lange die Rechner laufen sollen/können. DoD 5220.22-M ECE oder Gutmann Methode sollte jedoch ausreichend sein (dauert aber ewig - gefühlt)... da ist dann auch mit TSk oder autopsy nichts mehr zu retten.

Allerdings funktioniert es soweit ich weiß nur mit sich drehenden Platten....

Testweiser Aufbau läuft grad bei mir mit der DoD 5220.22-M Methode (short) aber dafür 2 Runden, Platte ist eine Samsung 250GB HDD HD250HJ 3.5" SATA mit 7200 RPM. Braucht laut Boot&Nuke ca.4 Stunden.

Der(18.04 BB) DHCP/TFTPd Server läuft auf nem Raspi 3+ problemlos und abgekapselt von jeglicher Netzwerkverbindung, bis auf den angeschlossenen Client...

Nur das oder auch der Installationsserver? Wieviel Speicher braucht man da? Kannst Du den Punkt, wie man wiped noch ein wenig erläutern. Am liebsten mit Links wie denen unten?

# Installation der neuen Systeme

Denke da an UbiquityAutomation oder FAI, letzteres wäre aufgrund der Möglichkeiten was die Anpassungen der Sprachpakete und die netplan Geschichte angeht am besten.

Bissl lekrüre für interessierte:

https://fai-project.org/fai-guide/#_a_id_work_a_how_does_fai_work

https://dokuwiki.nausch.org/doku.php/centos:pxe:pxe_6

https://www.nang.io/pxe-boot-dban/ (ja alt aber funktioniert auf aufwärts von 14.0x, wie gesagt Testlauf unter 18.04)

Das erste sieht ja schon sehr vielversprechend aus. Sowas in der Art habe ich gesucht. Und die Serverlösung finde ich sehr sympathisch. Die anderen beiden gucke ich mir morgen an. Vielen Dank.

Auf jeden Fall wird das viel mehr Spaß machen als stupide Sticks einzustöpseln und auf "Weiter" zu klicken. face-wink

Liebe Grüße

Erik

Fast schon Plug&PLay....

Cheers!
aliasc3b3ruz
aliasc3b3ruz 17.09.2020 aktualisiert um 21:09:21 Uhr
Goto Top
Hi Erik!

Das Löschen der Platten passiert über PXE boot -> Boot&Nuke (Live-System) mit voreingestellten Parametern wie z.B. der Methode, die verwendet werden soll, aber auch die Anzahl der "Runden" und die BlockSize kann man bestimmen. Leider gibts kein klassisches man oder ähnliches dazu...

Auf der offiziellen dban Seite lässt sich auch wenig bezüglich des dwipe Kommandos finden (https://dban.org/)

Kann aber nichts dazu sagen, inwiefern sich nwipe und dwipe unterscheiden.

Die relevantesten Infos sollten in den o.g. Links enthalten sein.


#Vielleicht noch interessant, ein Snippet aus der default config

Pfad: "/var/lib/tftpboot/pxelinux.cfg/default"

""
DEFAULT autonuke

LABEL autonuke
KERNEL dban.bzi
APPEND nuke="dwipe --autonuke --method<gewünschte methode>" silent
""

Prinzipiell nur noch den Rechner an den switch/Hub klemmen, per PXE booten und dann beginnt der Prozess automatisch ohne jegliche Interaktion.
(Sofern DHCP und Tftpd Server korrekt konfiguriert wurden)

Boot&Nuke.iso ist ~17MB groß (https://sourceforge.net/projects/dban/files/dban/dban-2.3.0/)

  1. OS Installation - Alles (*nix) ist möglich

Auch das lässt sich über den raspi realisieren.
Das "volle Image" ist fast 5GB groß, sollte also auch mit einer 16gib sd karte auf dem Raspi laufen.

Ein "richtiger" Server tuts natürlich auch, aber wie gesagt für die schnelle elgeante Lösung langt das allemal!

PS: Rest können wir ja am Monat besprechen ;)

Grüße m.w.b