Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen

Verschlüsselung - verschlüsselte Partition erstellen

 

Es gibt mehrere Gründe, seine Festplatte zu verschlüsseln:

  • man hat Daten auf dem Notebook, die man bei Dienstahl oder vergessen des Notebooks nicht veröffentlicht sehen möchte

  • man muss eine Festplatte oder ein Notebook zur Reperatur senden, möchte aber, dass die Daten sicher sind

  • man hat einfach Geheimnisse, unter Umständen auch vor anderen, die den gleichen Rechner nutzen

  • uvm.

Während es mehrere Lösungen zu diesem Thema gibt und auch fertige Produkte, wie Truecrypt, ist es bei Linux sehr einfach das alles mit den bereits vorhandenen Mitteln zu erledigen.

 

Erstellen einer verschlüsselten Partition

Die Software dmcrypt, welche im in einer einfach zu bedienenden Form in luks enthalten ist, ist mein Mittel der Wahl:

1. Die Installation geht am einfachsten über cryptsetup über den jeweiligen Paketmanager (yum, yast, apt etc.):

bei Debian z.B.: apt-get update && apt-get install cryptsetup

 

Nun muss man entscheiden, was verschlüsselt werden soll, eine USB-Platte, ein Stick oder eine Partition der Festplatte.
Bei mir soll es einfach eine neue Festplatte sein, die ich disk2 nenne. Ich möchte sie in das /home Verzeichis mounten.

2. Ich wähle eine freie Partition. in meinem Beispiel /dev/sdc1

3. Formatieren und chiffrieren (crypten): luksformat -t ext4 /dev/sdc1

Es kommen ein paar Nachfragen, unter anderem muss man mit YES i Großbuchstabe bestätigen, das man weiß, dass die Partition gelöscht wird. Dann muss man dreimal (!) das Passwort eingeben! 

 

Verwenden einer verschlüsselten Partition

Damit die Partition nun beschrieben, gelesen und verändert werden kann, muss man sie in das Dateisystem einbinden.


1. Öffnen der Partition und zuweisen eines Names (dieser ist wichtig, denn unter diesem Namen kann die Partition eindeutig vom System erkannt und zugeordnet werden. Dies geschieht über /dev/mapper

cryptsetup luksOpen /dev/sdx1 disk2

Es wird nach dem Passwort gefragt. Damit ist die disk im devicemapper (dm) eingetragen  (/dev/mapper)

Eine Kontrolle ist möglich mit: ls /dev/mapper 

2. Das eigentliche Mounten: mount /dev/mapper/disk2 /home/disk2 

Zum Löschen der Verbindung: cryptsetup luksClose /dev/mapper/disk2

 

Wenn man nn die Platte aber dauerhaft mounten möchte, dann kann man dies auch gleich beim Hochfahren erledigen:
 

Automatischens Mounten verschlüsselter Festplatten beim Hochfahren:

Zum automatischen Mounten müssen zwei Dateien editiert werden: 

1. In die Datei /etc/crytab wird folgendes eingetragen: 

disk2 /dev/sdc2 none luks  

Besser ist es, gleich eine UUID zu verwenden. diese kann man mit dem Befehl blkid auslesen. Die Crypttab sieht dann so aus:

disk2 UUID=c48a42e6-ba32-4aae-fa37-99a0fc24ad72 none luks

 

2. In die Datei fstab wird folgendes zugefügt:

/dev/mapper/disk2 /home/disk2 ext4 auto,defaults 0 0

Wichtig ist es, am Ende der fstab eine Freizeile zu lassen!

 

Nach einem Neustart dürfte alles reibungslos funktionieren! Die Passwortabfrage geschieht beim Hochfahren!

 

Tipps im Umgang mit luks:

Auch verschlüsslte Platten können mal Lesefehler haben oder es pasieren andere ungeplante Dinge. Eine Rekonstruktion der Daten ist nur möglich, wenn der Header der Festplatte vorhanden und intakt ist:

 

Header sichern:

cryptsetup luksHeaderBackup --header-backup-file <filename> <device>      

in unserem Beispiel wäre das:

cryptsetup luksHeaderBackup --header-backup-file header-disk2 /dev/sdc1

 

Den Header zurückspielen (vorsicht, es sollte der zur Platte passende sein!):

cryptsetup luksHeaderRestore --header-backup-file <filename> <device>     

 

 

Wenn Euch meine Artikel gefallen, bitte verlinkt mich und teilt meine Artikel bei euren bevorzugten sozialen Networks - Danke!

 

 

Links:

Sehr gute Anleitungen zum weitergehenden Einsatz vonLuks/ Cryptsetup, z.B. in Verbindung mit LVM:

Verschlüsseltes_System_mit_LUKS/dm-crypt_und_LVM_aufsetzen

Installation_auf_einer_verschlüsselten_Festplatte