Archiv

Posts Tagged ‘LUKS’

LUKS-verschlüsselte Partitionen und logische Volumes erstellen und so konfigurieren, dass beim Start nach dem Kennwort gefragt und das entschlüsselte Dateisystem eingehängt wird

2010/12/26 Kommentare aus

Erstellen einer LUKS-verschlüsselten Partition

Linux Unified Key Setup oder LUKS ist eine Spezifikation zur Festplattenverschlüsselung für Linux. Es lassen sich damit sehr einfach verschlüsselte Partitionen erstellen.

Der erste Schritt ist eine Partition zu erstellen (mittels fdisk, cfdisk oder parted). Diese wird dann nach einem Aufruf von cryptsetup wie gewohnt formatiert.

cryptsetup luksFormat /dev/sdb1

Dieser Befehl löscht alle Daten auf /dev/sdb1 unwiederruflich. Um fortzufahren wird die Eingabe „YES“ verlangt. Es folgt daraufhin die Aufforderung, einen Passsatz einzugeben.

Achtung! Falls Sie den Passsatz vergessen gibt es keine Möglichkeit die Daten wiederherzustellen.

Öffnen der LUKS verschlüsselten Partition mit Hilfe von cryptsetup:

cryptsetup luksOpen /dev/sdb1 luks

Hiermit wird die verschlüsselte Partition unter Eingabe des Passsatzes geöffnet und das Gerät /dev/mapper/luks erstellt. Auf diesem kann nun ein Dateisystem angelegt werden:

mkfs.ext4 /dev/mapper/luks

Die Partition wird mit dem ext4 Dateisystem formatiert und kann nun wie gewohnt verwendet werden. Die Verschlüsselung erfolgt vollkommen transparent für den Benutzer.

Das Verschlüsselte Dateisystem bei Systemstart einbinden

Um eine vorhandene LUKS-verschlüsselte Partition automatisch bei Systemstart einzuhängen ist ein Eintrag in der Datei /etc/crypttab erforderlich.

Das erste Feld bezeichnet den Namen des resultierenden verschlüsselten Block-Devices. Dieses wird unter /dev/mapper/Name zur Verfügung gestellt. Das zweite Feld enthält den Pfad zu dem darunter liegenden Block-Device, z.B. /dev/sdb1. Im dritten Feld kann des Passwort eingetragen werden, das zur Verschüsselung verwendet wird. Feld Nummer vier kann weitere Optionen enthalten, die mittels Komma separiert werden. Notwendig sind nur Feld eins und zwei.

Ein gültiger Eintrag in /etc/crypttab würde also so aussehen:

luks        /dev/sdb1

Die LUKS-verschlüsselte Partition /dev/sdb1 wird hiermit unter /dev/mapper/luks bereitgestellt. Das Passwort wird von der Kommandozeile abgefragt, da keine weiteren Optionen gegeben sind.

Zum automatischen mounten beim Startvorgang ist noch ein Eintrag in /etc/fstab notwendig:

/dev/mapper/luks     /mnt/myLuksFs     ext4      defaults    0 2

Hiermit wird /dev/mapper/luks unter /mnt/myLuksFs als ext4 Dateisystem mit default-Optionen in das Dateisystem eingebunden. Das Passwort wird dabei beim Bootvorgang abgefragt.

Advertisements
Kategorien:RHCSA Schlagwörter: , , , ,

LUKS-verschlüsselte Dateisysteme manuell öffnen, einhängen, aushängen und schließen

2010/12/26 Kommentare aus

LUKS-verschlüsselte Dateisysteme manuell öffnen und einhängen

Das manuelle Öffnen und Einhängen einer LUKS verschlüsselten Partition erfolgt durch den Aufruf von cryptsetup und mount. cryptsetup erstellt dabei unter dem Verzeichnis /dev/mapper ein Block-Device mit dem angegebenen Namen, das dann via mount wie gewohnt in das Dateisystem eingehängt werden kann:

cryptsetup luksOpen /dev/sdb1 luks

Die LUKS-verschlüsselte Partition /dev/sdb1 wird nach Angabe des Passsatzes geöffnet und unter /dev/mapper/luks bereitgestellt.

mount /dev/mapper/luks /mnt/mountpoint

Das durch cryptsetup erstellte Block-Device /dev/mapper/luks lässt sich darauf wie jedes andere Block-Device in das Dateisystem einhängen.

Das verschlüsselte Dateisystem aushängen und schließen

umount /mnt/mountpoint

Bevor die verschlüsselte Partition geschlossen werden kann ist das Dateisystem wieder auszuhängen.

cryptsetup luksClose /dev/mapper/luks

Schließt die geöffnete Partition wieder.

Kategorien:RHCSA Schlagwörter: , , ,