Interne Verschlüsselte Festplatte nach booten einbinden

Autor

Sonntag, 18. Januar 2009 18:24:59

Hallo

Wie kann ich denn unter SuSE11.1 eine verschlüsselte interne Festplatte nach dem booten einbinden?
Ich möchte vermeiden, daß ich das Passwort wärend dem Bootvorgang eingeben mus.
Das macht bei einem Rechner der, für mehrere Nutzer bereit steht, keinen Sinn, weil dann zuviele das Passwort kennen.

Vielen Dank schon mal für Eure Antworten
vg, hannsi

Jörg Junghanns

5 Antworten


Antworten
Schritt für Schritt
Rico Rommel, Dienstag, 20. Januar 2009 19:46:16
Ein/Ausklappen

Hallo Jörg,

gehen wir es einfach mal Schritt für Schritt an. Ich nutze selbst kein opensuse, d.h. es kann eventuell zu kleinen Abweichungen z.B. in den Pfadnamen kommen.

Ich gehe einfach mal von folgenden Voraussetzungen aus:

zu verschlüsselende Partition: /dev/sdc1
Mountpunkt: /home
Mapping-Devie: GeheimeDaten

Alle Befehle müssen als root ausgeführt werden.

1. Alle Daten auf der zu verschlüsselnden Partition sichern, sonst ist alles weg.


2. Das Paket cryptsetup installieren. Dort müßte auch dieses ominöse Startscript drin sein.


3. Eine verschlüsslete Partition anlegen (Vorher nochmal prüfen, ob es wirklich die richtige Partition ist!):

cryptsetup luksFormat /dev/sdc1


4. Das Mapping-Device öffnen

cryptsetup luksOpen /dev/sdc1 GeheimeDaten

Die neue Gerätedatei für die Partition ist nun /dev/mapper/GeheimeDaten (kann unter Suse abweichen)


5. Dateisystem erstellen

mkfs.ext3 /dev/mapper/GeheimeDaten

Die Partition ist nun zur Benutzung bereit und kann z.B. mit

mount /dev/mapper/GeheimeDaten /home

eingehangen werden. Nun müssen wir dafür sorgen, dass sie schon beim Booten eingehangen wird.


6. In die Datei /etc/crypttab müssen nun folgende Einträge vorgenommen werden:

GeheimeDaten /dev/sdc1 none luks,check=ext2

(Zwischen den Feldern befinden sich Tabs, keine Ahnung wie ich dir hier darstellen kann)
Dies teilt dem Startscript mit, wie die verschlüsselte Partition gehandhabt werden soll.


7. In /etc/fstab muss folgende Zeile eingefügt werden.

/dev/mapper/GeheimeDaten /home auto defaults 1 1

Das sollte selbsterklärend sein.

Nun sollte bei jedem Start das oben eingegebene Passwort verlangt werden und die Partition unter /home verfügbar sein.

Soll das Ganze aber ohne Eingabe eines Passwortes geschehen, kann z.B. ein USB-Stick benutzt werden.
Also, weiter gehts.


8. Den USB-Stick formatieren und einen Namen für das Dateisystem vergeben, z.B. keymedium

mkfs.ext2 /dev/<Gerätename des Sticks>

tune2fs -L keymedium /dev/<Gerätename des Sticks>


9. Mountpunkt für den USB-Stick erzeugen und USB-Stick mounten

mkdir /media/keymedium

mount /dev/<Gerätename des Sticks> /media/keymedium


10. Ein Keyfile mit einem Schlüssel erzeugen:

dd if=/dev/urandom of=/media/keymedium/keyfile bs=1024 count=4

Nun existiert auf dem USB-Stick ein 4 KB großer, aus Zufallszahlen bestehender, Schlüssel mit dem Namen keyfile.

Zur Sicherheit darf nur root Zugriffsrechte haben:

chmod 0400 /media/keymedium/keyfile


11. Den Schlüssel zur Partition hinzufügen

cryptsetup luksAddKey /dev/sdc1 /medium/keymedium/keyfile


Nun besteht noch das Problem, den USB-Stick automatisch zu mounten. Dies soll udev beim Systemstart erledigen.


12. Udev-Regel erstellen

in das Verzeichnis mit den Regeln von udev wechseln:

cd /etc/udev/rules.d (kann wieder abweichen)

Neue Datei anlegen:

touch 99-keymedium.rules

und folgende Regel mit einem Editor in die Datei einfügen:

SUBSYSTEM=="block", ACTION=="add", ENV{ID_FS_LABEL}=="keymedium", RUN+="/bin/mount /dev/%k /media/keymedium"

d.h., sobald ein Datenspeicher mit dem Namen keymedium angeschlossen wird, wird es automatisch in /media/keymedium eingehangen.


13. /etc/crypttab anpassen

GeheimeDaten /dev/sdc1 none luks,check=ext2

ändern zu

GeheimeDaten /dev/sdc1 /media/keymedium/keyfile luks,check=ext2


Fertig, wenn ich nichts vergessen oder falsch beschrieben habe.

Der USB-Stick kann kopiert werden, so dass jeder Benutzer, der einen USB-Stick mit dem Namen keymedium, auf dem sich keyfile befindet hat, auf die Partition zugreifen kann.

Es gibt auch noch die Möglichkeit, die verschlüsselte Partition mittels pam direkt beim Anmelden eines Benutzes zu öffnen bzw. beim Abmelden zu schließen. Allerdings habe ich mich damit auch noch nicht beschäftigt.

Noch ein paar links, auf die ich mich gestützt habe:

http://de.gentoo-wiki.com/wiki/DM-Crypt
http://de.opensuse.org/Verschlüsselung_mit_LUKS
http://www.howtoforge.com/a...ncrypted-drives-with-a-keyfile

mfg
Rico


Bewertung: 170 Punkte bei 34 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Schritt für Schritt
Jörg Junghanns, Mittwoch, 21. Januar 2009 23:36:40
Ein/Ausklappen

Hallo Rico

Vielen Dank ersteinmal für Deine wirklich ausführliche Antwort.

Cryptsetup war bei mir schon installiert. Die Konsolenbefehle aus Deiner Anleitung haben bei mir nicht funktioniert. Ich bekam nur Fehlermeldungen, dass er das Verzeichnis oder die Datei nicht gefunden hat.

Ich habe dann nochmal im YAST herumgeschnüffelt und festgestellt, dass es eine Einstellung in den Fstab-Optionen gibt, die das einbinden beim Systemstart verhindert.
Das hat aber nur genau einmal geklappt. Nach dem Neustart habe ich die Platte mit " mount /home2" und Eingabe des Passwortes ins System eingebunden. Seit dem ist sie jetzt gemountet. Das hat sich auch durch mehrfaches Neustarten nicht geändert. In den Partitionsoptionen steht sie jetzt als nicht verschlüsselt drin.
Wenn ich die Platte mit "umount " aushängen möchte, bekomme ich folgende Meldung.

umount: /home2 ist laut „mtab“ nicht eingehängt

Obwohl ich vollen Zugriff auf das Laufwerk habe. Ich habe sogar die Zugriffsrechte ändern können.Mal sehen ob sich da noch was Drehen lässt.

Während ich das schreibe läuft mein Drucker mit der OpenSuSE- Anleitung zu LUKS. Damit werde ich mich mal Auseinandersetzen.

Nochmals vielen Dank für Deine Antwort. Damit hast Du mich schon mal auf die richtige Spur gebracht. Irgendwie werde ich das schon noch hinbekommen.

Viele Grüsse, Jörg



Bewertung: 190 Punkte bei 26 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Danke erstmal.
Jörg Junghanns, Dienstag, 20. Januar 2009 15:55:35
Ein/Ausklappen

Vielen Dank für Eure Hilfe, aber ich bin noch nicht so firm unter Linux.
Das mit dem boot.crypto-early hört sich gut an, muß ich aber noch ausknobeln.

Besagte Festplatte hat die Bezeichnung sdc1und beim Mountpunkt bin ich mir nicht sicher was ich da machen soll. Wenn ich die Festplatte mit YAST konfiguriere, kann ich keinen Mountpunkt eingeben, wenn ich anwähle, daß die Platte beim Booten nicht mit eingebunden werden soll.
Egal wie ich den Befehl boot.crypto-early auch eingegeben habe, kam immer die Fehlermeldung von der Bash "Verzeichnis nicht gefunden".

Momentan bin ich noch ein wenig Ratlos. Aber vielleicht bekomme ich von Euch noch einen Wink.

Die Lösung mit dem umgehen der Passworteingabe möchte ich nicht realisieren, das erscheint mir im Augenblick noch etwas zu umständlich.
Wenn sich mein Anliegen mit einem Konsolenbefehl umsetzen liese wäre ich schon Froh.

vg. hannsi




Bewertung: 222 Punkte bei 25 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Keyfile
Rico Rommel, Montag, 19. Januar 2009 19:27:01
Ein/Ausklappen

Um die Passworteingabe zu umgehen, kannst du ein Keyfile hinterlegen. Wie dies funktioniert findest du unter:

http://www.howtoforge.com/a...ncrypted-drives-with-a-keyfile

Das Keyfile könnte dann z.B. auf einem USB-Stick gespeichert sein, der allerdings vor dem Ausführen des Cryptsetup Init-Scripts (s. vorheriger Kommentar) eingehangen werden muss.
Z.B. udev könnte das erledigen.

Ist der USB-Stick beim Booten angesteckt, wird die verschlüsselte Partition automatisch geöffnet, ist er draußen, sind die Daten sicher bzw. der Benutzer muss ein zusätzlich vergebenes Passwort eingeben.

mfg
rico


Bewertung: 206 Punkte bei 21 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
boot.crypto-early
Marcel Hilzinger, Sonntag, 18. Januar 2009 20:06:08
Ein/Ausklappen

Als root:

/etc/init.d/boot.crypto-early restart




Bewertung: 167 Punkte bei 34 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Ähnliche Artikel

Tipp der Woche

Ubuntu 14.10 und VirtualBox
Ubuntu 14.10 und VirtualBox
Tim Schürmann, 08.11.2014 18:45, 0 Kommentare

Wer Ubuntu 14.10 in einer virtuellen Maschine unter VirtualBox startet, der landet unter Umständen in einem Fenster mit Grafikmüll. Zu einem korrekt ...

Aktuelle Fragen

PCLinuxOS Version 2014.08 "FullMonty" Umstellung auf deutsch
Karl-Heinz Welz, 19.12.2014 09:55, 2 Antworten
Hallo, liebe Community, ich bin 63 Jahre alt und möchte jetzt nach Jahrzehnten Windows zu Linux...
ICEauthority
Thomas Mann, 17.12.2014 14:49, 2 Antworten
Fehlermeldung beim Start von Linux Mint: Could not update ICEauthority file / home/user/.ICEauth...
Linux einrichten
Sigrid Bölke, 10.12.2014 10:46, 5 Antworten
Hallo, liebe Community, bin hier ganz neu,also entschuldigt,wenn ich hier falsch bin. Mein Prob...
Externe USB-Festplatte mit Ext4 formatiert, USB-Stick wird nicht mehr eingebunden
Wimpy *, 02.12.2014 16:31, 0 Antworten
Hallo, ich habe die externe USB-FP, die nur für Daten-Backup benutzt wird, mit dem YaST-Partition...
Steuern mit Linux
Siegfried Markner, 01.12.2014 11:56, 2 Antworten
Welches Linux eignet sich am besten für Steuerungen.

Jetzt auf den Mailinglisten

Re: [EasyLinux-Ubuntu] gftp
Joachim Puttkammer, 19.12.2014 13:37
Am Donnerstag, 18. Dezember 2014 schrieb Gerhard Blaschke: > Was ist die Alternative? hier Filezilla G...
Re: [EasyLinux-Ubuntu] gftp
Uwe Herrmuth, 19.12.2014 13:05
Hallo Gerhard, Gerhard Blaschke schrieb am 18.12.2014 um 20:18: > Was ist die Alternative? Ich nutze s...
[EasyLinux-Ubuntu] Bilder im Internet lagern
Gerhard Blaschke, 19.12.2014 10:47
aus gegebenem Anlass diese Frage: ich habe ein paar Fotos gemacht, die aus unserer Runde alle sehen sollen....
Re: [EasyLinux-Ubuntu] gftp
Stefan Lütje, 19.12.2014 08:46
Am 18. Dec 2014 um 20:18 CET schrieb Gerhard Blaschke: > Habe bis jetzt mit gftp erfolgreich gearbeitet, v...
Re: [EasyLinux-Ubuntu] Suchmaschine: Was ist das denn?
Gerhard Blaschke, 19.12.2014 07:02
Am 19.12.2014 um 01:15 schrieb Alfred Zahlten: > Am 18.12.2014 um 19:38 schrieb Karl-Heinz: >> Am...