LUKS-verschlüsselte Partitionen und logische Volumes erstellen und so konfigurieren, dass beim Start nach dem Kennwort gefragt und das entschlüsselte Dateisystem eingehängt wird

Erstellen einer LUKS-verschlüsselten Partition

Linux Unified Key Setup oder LUKS ist eine Spezifikation zur Festplattenverschlüsselung für Linux. Es lassen sich damit sehr einfach verschlüsselte Partitionen erstellen.

Der erste Schritt ist eine Partition zu erstellen (mittels fdisk, cfdisk oder parted). Diese wird dann nach einem Aufruf von cryptsetup wie gewohnt formatiert.

cryptsetup luksFormat /dev/sdb1

Dieser Befehl löscht alle Daten auf /dev/sdb1 unwiederruflich. Um fortzufahren wird die Eingabe „YES“ verlangt. Es folgt daraufhin die Aufforderung, einen Passsatz einzugeben.

Achtung! Falls Sie den Passsatz vergessen gibt es keine Möglichkeit die Daten wiederherzustellen.

Öffnen der LUKS verschlüsselten Partition mit Hilfe von cryptsetup:

cryptsetup luksOpen /dev/sdb1 luks

Hiermit wird die verschlüsselte Partition unter Eingabe des Passsatzes geöffnet und das Gerät /dev/mapper/luks erstellt. Auf diesem kann nun ein Dateisystem angelegt werden:

mkfs.ext4 /dev/mapper/luks

Die Partition wird mit dem ext4 Dateisystem formatiert und kann nun wie gewohnt verwendet werden. Die Verschlüsselung erfolgt vollkommen transparent für den Benutzer.

Das Verschlüsselte Dateisystem bei Systemstart einbinden

Um eine vorhandene LUKS-verschlüsselte Partition automatisch bei Systemstart einzuhängen ist ein Eintrag in der Datei /etc/crypttab erforderlich.

Das erste Feld bezeichnet den Namen des resultierenden verschlüsselten Block-Devices. Dieses wird unter /dev/mapper/Name zur Verfügung gestellt. Das zweite Feld enthält den Pfad zu dem darunter liegenden Block-Device, z.B. /dev/sdb1. Im dritten Feld kann des Passwort eingetragen werden, das zur Verschüsselung verwendet wird. Feld Nummer vier kann weitere Optionen enthalten, die mittels Komma separiert werden. Notwendig sind nur Feld eins und zwei.

Ein gültiger Eintrag in /etc/crypttab würde also so aussehen:

luks        /dev/sdb1

Die LUKS-verschlüsselte Partition /dev/sdb1 wird hiermit unter /dev/mapper/luks bereitgestellt. Das Passwort wird von der Kommandozeile abgefragt, da keine weiteren Optionen gegeben sind.

Zum automatischen mounten beim Startvorgang ist noch ein Eintrag in /etc/fstab notwendig:

/dev/mapper/luks     /mnt/myLuksFs     ext4      defaults    0 2

Hiermit wird /dev/mapper/luks unter /mnt/myLuksFs als ext4 Dateisystem mit default-Optionen in das Dateisystem eingebunden. Das Passwort wird dabei beim Bootvorgang abgefragt.