Interne Verschlüsselte Festplatte nach booten einbinden

Autor

Sonntag, 18. Januar 2009 18:24:59

Hallo

Wie kann ich denn unter SuSE11.1 eine verschlüsselte interne Festplatte nach dem booten einbinden?
Ich möchte vermeiden, daß ich das Passwort wärend dem Bootvorgang eingeben mus.
Das macht bei einem Rechner der, für mehrere Nutzer bereit steht, keinen Sinn, weil dann zuviele das Passwort kennen.

Vielen Dank schon mal für Eure Antworten
vg, hannsi

Jörg Junghanns

5 Antworten


Antworten
Schritt für Schritt
Rico Rommel, Dienstag, 20. Januar 2009 19:46:16
Ein/Ausklappen

Hallo Jörg,

gehen wir es einfach mal Schritt für Schritt an. Ich nutze selbst kein opensuse, d.h. es kann eventuell zu kleinen Abweichungen z.B. in den Pfadnamen kommen.

Ich gehe einfach mal von folgenden Voraussetzungen aus:

zu verschlüsselende Partition: /dev/sdc1
Mountpunkt: /home
Mapping-Devie: GeheimeDaten

Alle Befehle müssen als root ausgeführt werden.

1. Alle Daten auf der zu verschlüsselnden Partition sichern, sonst ist alles weg.


2. Das Paket cryptsetup installieren. Dort müßte auch dieses ominöse Startscript drin sein.


3. Eine verschlüsslete Partition anlegen (Vorher nochmal prüfen, ob es wirklich die richtige Partition ist!):

cryptsetup luksFormat /dev/sdc1


4. Das Mapping-Device öffnen

cryptsetup luksOpen /dev/sdc1 GeheimeDaten

Die neue Gerätedatei für die Partition ist nun /dev/mapper/GeheimeDaten (kann unter Suse abweichen)


5. Dateisystem erstellen

mkfs.ext3 /dev/mapper/GeheimeDaten

Die Partition ist nun zur Benutzung bereit und kann z.B. mit

mount /dev/mapper/GeheimeDaten /home

eingehangen werden. Nun müssen wir dafür sorgen, dass sie schon beim Booten eingehangen wird.


6. In die Datei /etc/crypttab müssen nun folgende Einträge vorgenommen werden:

GeheimeDaten /dev/sdc1 none luks,check=ext2

(Zwischen den Feldern befinden sich Tabs, keine Ahnung wie ich dir hier darstellen kann)
Dies teilt dem Startscript mit, wie die verschlüsselte Partition gehandhabt werden soll.


7. In /etc/fstab muss folgende Zeile eingefügt werden.

/dev/mapper/GeheimeDaten /home auto defaults 1 1

Das sollte selbsterklärend sein.

Nun sollte bei jedem Start das oben eingegebene Passwort verlangt werden und die Partition unter /home verfügbar sein.

Soll das Ganze aber ohne Eingabe eines Passwortes geschehen, kann z.B. ein USB-Stick benutzt werden.
Also, weiter gehts.


8. Den USB-Stick formatieren und einen Namen für das Dateisystem vergeben, z.B. keymedium

mkfs.ext2 /dev/<Gerätename des Sticks>

tune2fs -L keymedium /dev/<Gerätename des Sticks>


9. Mountpunkt für den USB-Stick erzeugen und USB-Stick mounten

mkdir /media/keymedium

mount /dev/<Gerätename des Sticks> /media/keymedium


10. Ein Keyfile mit einem Schlüssel erzeugen:

dd if=/dev/urandom of=/media/keymedium/keyfile bs=1024 count=4

Nun existiert auf dem USB-Stick ein 4 KB großer, aus Zufallszahlen bestehender, Schlüssel mit dem Namen keyfile.

Zur Sicherheit darf nur root Zugriffsrechte haben:

chmod 0400 /media/keymedium/keyfile


11. Den Schlüssel zur Partition hinzufügen

cryptsetup luksAddKey /dev/sdc1 /medium/keymedium/keyfile


Nun besteht noch das Problem, den USB-Stick automatisch zu mounten. Dies soll udev beim Systemstart erledigen.


12. Udev-Regel erstellen

in das Verzeichnis mit den Regeln von udev wechseln:

cd /etc/udev/rules.d (kann wieder abweichen)

Neue Datei anlegen:

touch 99-keymedium.rules

und folgende Regel mit einem Editor in die Datei einfügen:

SUBSYSTEM=="block", ACTION=="add", ENV{ID_FS_LABEL}=="keymedium", RUN+="/bin/mount /dev/%k /media/keymedium"

d.h., sobald ein Datenspeicher mit dem Namen keymedium angeschlossen wird, wird es automatisch in /media/keymedium eingehangen.


13. /etc/crypttab anpassen

GeheimeDaten /dev/sdc1 none luks,check=ext2

ändern zu

GeheimeDaten /dev/sdc1 /media/keymedium/keyfile luks,check=ext2


Fertig, wenn ich nichts vergessen oder falsch beschrieben habe.

Der USB-Stick kann kopiert werden, so dass jeder Benutzer, der einen USB-Stick mit dem Namen keymedium, auf dem sich keyfile befindet hat, auf die Partition zugreifen kann.

Es gibt auch noch die Möglichkeit, die verschlüsselte Partition mittels pam direkt beim Anmelden eines Benutzes zu öffnen bzw. beim Abmelden zu schließen. Allerdings habe ich mich damit auch noch nicht beschäftigt.

Noch ein paar links, auf die ich mich gestützt habe:

http://de.gentoo-wiki.com/wiki/DM-Crypt
http://de.opensuse.org/Verschlüsselung_mit_LUKS
http://www.howtoforge.com/a...ncrypted-drives-with-a-keyfile

mfg
Rico


Bewertung: 167 Punkte bei 38 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Schritt für Schritt
Jörg Junghanns, Mittwoch, 21. Januar 2009 23:36:40
Ein/Ausklappen

Hallo Rico

Vielen Dank ersteinmal für Deine wirklich ausführliche Antwort.

Cryptsetup war bei mir schon installiert. Die Konsolenbefehle aus Deiner Anleitung haben bei mir nicht funktioniert. Ich bekam nur Fehlermeldungen, dass er das Verzeichnis oder die Datei nicht gefunden hat.

Ich habe dann nochmal im YAST herumgeschnüffelt und festgestellt, dass es eine Einstellung in den Fstab-Optionen gibt, die das einbinden beim Systemstart verhindert.
Das hat aber nur genau einmal geklappt. Nach dem Neustart habe ich die Platte mit " mount /home2" und Eingabe des Passwortes ins System eingebunden. Seit dem ist sie jetzt gemountet. Das hat sich auch durch mehrfaches Neustarten nicht geändert. In den Partitionsoptionen steht sie jetzt als nicht verschlüsselt drin.
Wenn ich die Platte mit "umount " aushängen möchte, bekomme ich folgende Meldung.

umount: /home2 ist laut „mtab“ nicht eingehängt

Obwohl ich vollen Zugriff auf das Laufwerk habe. Ich habe sogar die Zugriffsrechte ändern können.Mal sehen ob sich da noch was Drehen lässt.

Während ich das schreibe läuft mein Drucker mit der OpenSuSE- Anleitung zu LUKS. Damit werde ich mich mal Auseinandersetzen.

Nochmals vielen Dank für Deine Antwort. Damit hast Du mich schon mal auf die richtige Spur gebracht. Irgendwie werde ich das schon noch hinbekommen.

Viele Grüsse, Jörg



Bewertung: 185 Punkte bei 27 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Danke erstmal.
Jörg Junghanns, Dienstag, 20. Januar 2009 15:55:35
Ein/Ausklappen

Vielen Dank für Eure Hilfe, aber ich bin noch nicht so firm unter Linux.
Das mit dem boot.crypto-early hört sich gut an, muß ich aber noch ausknobeln.

Besagte Festplatte hat die Bezeichnung sdc1und beim Mountpunkt bin ich mir nicht sicher was ich da machen soll. Wenn ich die Festplatte mit YAST konfiguriere, kann ich keinen Mountpunkt eingeben, wenn ich anwähle, daß die Platte beim Booten nicht mit eingebunden werden soll.
Egal wie ich den Befehl boot.crypto-early auch eingegeben habe, kam immer die Fehlermeldung von der Bash "Verzeichnis nicht gefunden".

Momentan bin ich noch ein wenig Ratlos. Aber vielleicht bekomme ich von Euch noch einen Wink.

Die Lösung mit dem umgehen der Passworteingabe möchte ich nicht realisieren, das erscheint mir im Augenblick noch etwas zu umständlich.
Wenn sich mein Anliegen mit einem Konsolenbefehl umsetzen liese wäre ich schon Froh.

vg. hannsi




Bewertung: 210 Punkte bei 27 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Keyfile
Rico Rommel, Montag, 19. Januar 2009 19:27:01
Ein/Ausklappen

Um die Passworteingabe zu umgehen, kannst du ein Keyfile hinterlegen. Wie dies funktioniert findest du unter:

http://www.howtoforge.com/a...ncrypted-drives-with-a-keyfile

Das Keyfile könnte dann z.B. auf einem USB-Stick gespeichert sein, der allerdings vor dem Ausführen des Cryptsetup Init-Scripts (s. vorheriger Kommentar) eingehangen werden muss.
Z.B. udev könnte das erledigen.

Ist der USB-Stick beim Booten angesteckt, wird die verschlüsselte Partition automatisch geöffnet, ist er draußen, sind die Daten sicher bzw. der Benutzer muss ein zusätzlich vergebenes Passwort eingeben.

mfg
rico


Bewertung: 201 Punkte bei 24 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
boot.crypto-early
Marcel Hilzinger, Sonntag, 18. Januar 2009 20:06:08
Ein/Ausklappen

Als root:

/etc/init.d/boot.crypto-early restart




Bewertung: 164 Punkte bei 38 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Ähnliche Artikel

Tipp der Woche

Ubuntu 14.10 und VirtualBox
Ubuntu 14.10 und VirtualBox
Tim Schürmann, 08.11.2014 18:45, 2 Kommentare

Wer Ubuntu 14.10 in einer virtuellen Maschine unter VirtualBox startet, der landet unter Umständen in einem Fenster mit Grafikmüll. Zu einem korrekt ...

Aktuelle Fragen

Rootpasswort
Jutta Naumann, 29.01.2015 09:14, 1 Antworten
Ich habe OpenSuse 13.2 installiert und leider nur das Systempasswort eingerichtet. Um Änderungen,...
Neue SuSE-Literatur
Roland Welcker, 14.01.2015 14:10, 1 Antworten
Verehrte Linux-Freunde, seit Hans-Georg Essers Buch "LINUX" und Stefanie Teufels "Jetzt lerne ich...
DVD abspielen unter openSUSE 13.1
Michael Pfaffe, 12.01.2015 11:48, 6 Antworten
Hallo Linuxer, Bisher habe ich meine DVD´s mit linDVD unter openSUSE abgespielt. Mit der Versi...
Kontrollleiste SuSE 12.3 gestalten
Roland Welcker, 31.12.2014 14:06, 1 Antworten
Wie bekomme ich das Icon eines beliebigen Programms (aktuell DUDEN) in die Kontrollleiste und kan...
flash-player
roland reiner, 27.12.2014 15:24, 7 Antworten
Mein Flashplayer funktioniert nicht mehr-Plug in wird nicht mehr unterstütz,auch über google chro...

Jetzt auf den Mailinglisten

Re: [EasyLinux-Ubuntu] HTML
Frank, 29.01.2015 21:51
> > Siehe da, es hat geholfen. > Seitdem gibt es vernüftige formatierte Text-Mails mit einen Link...
Re: [EasyLinux-Ubuntu] HTML
Rainer, 29.01.2015 20:51
Am Thu, 29 Jan 2015 20:23:04 +0100 schrieb Karl-Heinz : > > mich hat es ziemlich genervt das ein R...
Re: [EasyLinux-Ubuntu] HTML
Karl-Heinz, 29.01.2015 20:23
Am Thu, 29 Jan 2015 19:08:12 +0100 schrieb Frank : Hallo Frank, mich hat es ziemlich genervt das ein Reif...
Re: [EasyLinux-Ubuntu] [gelöst] Claws-Malíl Empfangsbestätigung
Karl-Heinz, 29.01.2015 20:11
Am Thu, 29 Jan 2015 08:58:20 +0100 schrieb Uwe Herrmuth : Hallo Uwe, Test per PM funktioniert so wie es s...
Re: [EasyLinux-Ubuntu] Maillingliste
Karl-Heinz, 29.01.2015 19:54
Am Thu, 29 Jan 2015 14:22:54 +0100 schrieb Werner und Dagmar Engelhardt : > Ja ich möchte in die Mailing...