Debian: Fesplatten/Partitions-Verschlüsselung mit LUKS
Aus TecArt-CRM Developer-Wiki
Dieses HOWTO beschreibt, wie man verschlüsselte Partitionen in Debian erstellt. (es sollte unter Debian Lenny und Debian Squizze funktionieren.)
Annahmen dieses HOWTOs:
- ein Blockgerät welches verschlüsselt werden soll: /dev/sdb (kann auch eine Partition sein, z.B. /dev/sdb1)
- Verschlüsselungs-Algorithmus: AES mit einer Schlüssellänge von 256bit
Inhaltsverzeichnis |
Benötigte Pakete installieren
Dieser Schritt zeigt, wie die benötigten Pakete für die Verschlüsselung installiert werden.
root@backup:~# apt-cache search cryptsetup ... cryptsetup - configures encrypted block devices ... root@backup:~# apt-get install cryptsetup
Festplatte für die Verschlüsselung vorbereiten
ACHTUNG: Dieser Schritt löscht alle Daten auf dem Gerät /dev/sdb
root@backup:~# cryptsetup luksFormat --cipher aes-cbc-essiv:sha256 -y /dev/sdb
"aes-cbc-essiv:sha256" wird als Standardverschlüsselung mit 256 bit genutzt
Sie werden gefragt ob Sie wirklich sicher sind:
WARNING! ======== Hiermit überschreiben Sie Daten auf /dev/sdb unwiderruflich. Are you sure? (Type uppercase yes):
Nach dem Eintippen von YES werden Sie zwei mal nach dem anfänglichen Passwort gefragt.
ACHTUNG: Wenn Sie das Passwort verlieren gibt es keinen Weg, um es zurückzusetzen.
LUKS nutzt ein Schlüsselmanagementsystem, welches es ermöglicht, bis zu 6 Schlüssel zu verwalten (Passwörter oder Schlüsseldateien).
Ein verschlüsseltes Gerät öffnen
Um ein verschlüsseltes Gerät zu öffnen, nutzen Sie den folgenden Befehl:
root@backup:~# cryptsetup luksOpen /dev/sdb decrypted Geben Sie den Passsatz für /dev/sdb ein:
Nachdem Sie das korrekte Passwort eingegeben haben wird ein neues Blockgerät mit dem selben Namen wie der letzte Parameter (z.B. decrypted) in /dev/mapper/ angelegt. Dieses neu angelegte Blockgerät kann als normale Festplatte/Partition verwendet werden.
Anlegen eines Dateisystems
Um ein entschlüsseltes Gerät zu mounten, ist es wichtig, vorher ein Dateisystem zu erstellen.
Wenn Sie z.B. ext4 als Dateisystem nutzen möchten, geben Sie folgenden Befehl ein:
root@backup:~# mkfs.ext4 /dev/mapper/decrypted
Entschlüsseltes Gerät mounten
root@backup:~# mount /dev/mapper/decrypted /backup
Alle in /backup erstellten Dateien werden auf der verschlüsselten Festplatte/Partition gespeichert und sind nach einem Neustart/Herunterfahren nicht lesbar.
Nach einem Neustart
Das verschlüsselte Gerät muss entschlüsselt und gemounted werden:
root@backup:~# cryptsetup luksOpen /dev/sdb decrypted Geben Sie den Passsatz für /dev/sdb ein: root@backup:~# mount /dev/mapper/decrypted /backup
