Interne Verschlüsselte Festplatte nach booten einbinden

Autor

Sonntag, 18. Januar 2009 18:24:59

Hallo

Wie kann ich denn unter SuSE11.1 eine verschlüsselte interne Festplatte nach dem booten einbinden?
Ich möchte vermeiden, daß ich das Passwort wärend dem Bootvorgang eingeben mus.
Das macht bei einem Rechner der, für mehrere Nutzer bereit steht, keinen Sinn, weil dann zuviele das Passwort kennen.

Vielen Dank schon mal für Eure Antworten
vg, hannsi

Jörg Junghanns

5 Antworten


Antworten
Schritt für Schritt
Rico Rommel, Dienstag, 20. Januar 2009 19:46:16
Ein/Ausklappen

Hallo Jörg,

gehen wir es einfach mal Schritt für Schritt an. Ich nutze selbst kein opensuse, d.h. es kann eventuell zu kleinen Abweichungen z.B. in den Pfadnamen kommen.

Ich gehe einfach mal von folgenden Voraussetzungen aus:

zu verschlüsselende Partition: /dev/sdc1
Mountpunkt: /home
Mapping-Devie: GeheimeDaten

Alle Befehle müssen als root ausgeführt werden.

1. Alle Daten auf der zu verschlüsselnden Partition sichern, sonst ist alles weg.


2. Das Paket cryptsetup installieren. Dort müßte auch dieses ominöse Startscript drin sein.


3. Eine verschlüsslete Partition anlegen (Vorher nochmal prüfen, ob es wirklich die richtige Partition ist!):

cryptsetup luksFormat /dev/sdc1


4. Das Mapping-Device öffnen

cryptsetup luksOpen /dev/sdc1 GeheimeDaten

Die neue Gerätedatei für die Partition ist nun /dev/mapper/GeheimeDaten (kann unter Suse abweichen)


5. Dateisystem erstellen

mkfs.ext3 /dev/mapper/GeheimeDaten

Die Partition ist nun zur Benutzung bereit und kann z.B. mit

mount /dev/mapper/GeheimeDaten /home

eingehangen werden. Nun müssen wir dafür sorgen, dass sie schon beim Booten eingehangen wird.


6. In die Datei /etc/crypttab müssen nun folgende Einträge vorgenommen werden:

GeheimeDaten /dev/sdc1 none luks,check=ext2

(Zwischen den Feldern befinden sich Tabs, keine Ahnung wie ich dir hier darstellen kann)
Dies teilt dem Startscript mit, wie die verschlüsselte Partition gehandhabt werden soll.


7. In /etc/fstab muss folgende Zeile eingefügt werden.

/dev/mapper/GeheimeDaten /home auto defaults 1 1

Das sollte selbsterklärend sein.

Nun sollte bei jedem Start das oben eingegebene Passwort verlangt werden und die Partition unter /home verfügbar sein.

Soll das Ganze aber ohne Eingabe eines Passwortes geschehen, kann z.B. ein USB-Stick benutzt werden.
Also, weiter gehts.


8. Den USB-Stick formatieren und einen Namen für das Dateisystem vergeben, z.B. keymedium

mkfs.ext2 /dev/<Gerätename des Sticks>

tune2fs -L keymedium /dev/<Gerätename des Sticks>


9. Mountpunkt für den USB-Stick erzeugen und USB-Stick mounten

mkdir /media/keymedium

mount /dev/<Gerätename des Sticks> /media/keymedium


10. Ein Keyfile mit einem Schlüssel erzeugen:

dd if=/dev/urandom of=/media/keymedium/keyfile bs=1024 count=4

Nun existiert auf dem USB-Stick ein 4 KB großer, aus Zufallszahlen bestehender, Schlüssel mit dem Namen keyfile.

Zur Sicherheit darf nur root Zugriffsrechte haben:

chmod 0400 /media/keymedium/keyfile


11. Den Schlüssel zur Partition hinzufügen

cryptsetup luksAddKey /dev/sdc1 /medium/keymedium/keyfile


Nun besteht noch das Problem, den USB-Stick automatisch zu mounten. Dies soll udev beim Systemstart erledigen.


12. Udev-Regel erstellen

in das Verzeichnis mit den Regeln von udev wechseln:

cd /etc/udev/rules.d (kann wieder abweichen)

Neue Datei anlegen:

touch 99-keymedium.rules

und folgende Regel mit einem Editor in die Datei einfügen:

SUBSYSTEM=="block", ACTION=="add", ENV{ID_FS_LABEL}=="keymedium", RUN+="/bin/mount /dev/%k /media/keymedium"

d.h., sobald ein Datenspeicher mit dem Namen keymedium angeschlossen wird, wird es automatisch in /media/keymedium eingehangen.


13. /etc/crypttab anpassen

GeheimeDaten /dev/sdc1 none luks,check=ext2

ändern zu

GeheimeDaten /dev/sdc1 /media/keymedium/keyfile luks,check=ext2


Fertig, wenn ich nichts vergessen oder falsch beschrieben habe.

Der USB-Stick kann kopiert werden, so dass jeder Benutzer, der einen USB-Stick mit dem Namen keymedium, auf dem sich keyfile befindet hat, auf die Partition zugreifen kann.

Es gibt auch noch die Möglichkeit, die verschlüsselte Partition mittels pam direkt beim Anmelden eines Benutzes zu öffnen bzw. beim Abmelden zu schließen. Allerdings habe ich mich damit auch noch nicht beschäftigt.

Noch ein paar links, auf die ich mich gestützt habe:

http://de.gentoo-wiki.com/wiki/DM-Crypt
http://de.opensuse.org/Verschlüsselung_mit_LUKS
http://www.howtoforge.com/a...ncrypted-drives-with-a-keyfile

mfg
Rico


Bewertung: 179 Punkte bei 29 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Schritt für Schritt
Jörg Junghanns, Mittwoch, 21. Januar 2009 23:36:40
Ein/Ausklappen

Hallo Rico

Vielen Dank ersteinmal für Deine wirklich ausführliche Antwort.

Cryptsetup war bei mir schon installiert. Die Konsolenbefehle aus Deiner Anleitung haben bei mir nicht funktioniert. Ich bekam nur Fehlermeldungen, dass er das Verzeichnis oder die Datei nicht gefunden hat.

Ich habe dann nochmal im YAST herumgeschnüffelt und festgestellt, dass es eine Einstellung in den Fstab-Optionen gibt, die das einbinden beim Systemstart verhindert.
Das hat aber nur genau einmal geklappt. Nach dem Neustart habe ich die Platte mit " mount /home2" und Eingabe des Passwortes ins System eingebunden. Seit dem ist sie jetzt gemountet. Das hat sich auch durch mehrfaches Neustarten nicht geändert. In den Partitionsoptionen steht sie jetzt als nicht verschlüsselt drin.
Wenn ich die Platte mit "umount " aushängen möchte, bekomme ich folgende Meldung.

umount: /home2 ist laut „mtab“ nicht eingehängt

Obwohl ich vollen Zugriff auf das Laufwerk habe. Ich habe sogar die Zugriffsrechte ändern können.Mal sehen ob sich da noch was Drehen lässt.

Während ich das schreibe läuft mein Drucker mit der OpenSuSE- Anleitung zu LUKS. Damit werde ich mich mal Auseinandersetzen.

Nochmals vielen Dank für Deine Antwort. Damit hast Du mich schon mal auf die richtige Spur gebracht. Irgendwie werde ich das schon noch hinbekommen.

Viele Grüsse, Jörg



Bewertung: 193 Punkte bei 23 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Danke erstmal.
Jörg Junghanns, Dienstag, 20. Januar 2009 15:55:35
Ein/Ausklappen

Vielen Dank für Eure Hilfe, aber ich bin noch nicht so firm unter Linux.
Das mit dem boot.crypto-early hört sich gut an, muß ich aber noch ausknobeln.

Besagte Festplatte hat die Bezeichnung sdc1und beim Mountpunkt bin ich mir nicht sicher was ich da machen soll. Wenn ich die Festplatte mit YAST konfiguriere, kann ich keinen Mountpunkt eingeben, wenn ich anwähle, daß die Platte beim Booten nicht mit eingebunden werden soll.
Egal wie ich den Befehl boot.crypto-early auch eingegeben habe, kam immer die Fehlermeldung von der Bash "Verzeichnis nicht gefunden".

Momentan bin ich noch ein wenig Ratlos. Aber vielleicht bekomme ich von Euch noch einen Wink.

Die Lösung mit dem umgehen der Passworteingabe möchte ich nicht realisieren, das erscheint mir im Augenblick noch etwas zu umständlich.
Wenn sich mein Anliegen mit einem Konsolenbefehl umsetzen liese wäre ich schon Froh.

vg. hannsi




Bewertung: 221 Punkte bei 23 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Keyfile
Rico Rommel, Montag, 19. Januar 2009 19:27:01
Ein/Ausklappen

Um die Passworteingabe zu umgehen, kannst du ein Keyfile hinterlegen. Wie dies funktioniert findest du unter:

http://www.howtoforge.com/a...ncrypted-drives-with-a-keyfile

Das Keyfile könnte dann z.B. auf einem USB-Stick gespeichert sein, der allerdings vor dem Ausführen des Cryptsetup Init-Scripts (s. vorheriger Kommentar) eingehangen werden muss.
Z.B. udev könnte das erledigen.

Ist der USB-Stick beim Booten angesteckt, wird die verschlüsselte Partition automatisch geöffnet, ist er draußen, sind die Daten sicher bzw. der Benutzer muss ein zusätzlich vergebenes Passwort eingeben.

mfg
rico


Bewertung: 198 Punkte bei 20 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
boot.crypto-early
Marcel Hilzinger, Sonntag, 18. Januar 2009 20:06:08
Ein/Ausklappen

Als root:

/etc/init.d/boot.crypto-early restart




Bewertung: 192 Punkte bei 28 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Ähnliche Artikel

Tipp der Woche

Schnell Multi-Boot-Medien mit MultiCD erstellen
Schnell Multi-Boot-Medien mit MultiCD erstellen
Tim Schürmann, 24.06.2014 12:40, 0 Kommentare

Wer mehrere nützliche Live-Systeme auf eine DVD brennen möchte, kommt mit den Startmedienerstellern der Distributionen nicht besonders weit: Diese ...

Aktuelle Fragen

Artikelsuche
Erwin Ruitenberg, 09.10.2014 07:51, 1 Antworten
Ich habe seit einige Jahre ein Dugisub LinuxUser. Dann weiß ich das irgendwann ein bestimmtes Art...
Windows 8 startet nur mit externer Festplatte
Anne La, 10.09.2014 17:25, 4 Antworten
Hallo Leute, also, ich bin auf folgendes Problem gestoßen: Ich habe Ubuntu 14.04 auf meiner...
Videoüberwachung mit Zoneminder
Heinz Becker, 10.08.2014 17:57, 0 Antworten
Hallo, ich habe den ZONEMINDER erfolgreich installiert. Das Bild erscheint jedoch nicht,...
internes Wlan und USB-Wlan-Srick
Gerhard Blobner, 04.08.2014 15:20, 2 Antworten
Hallo Linux-Forum: ich bin ein neuer Linux-User (ca. 25 Jahre Windows) und bin von WIN 8 auf Mint...
Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 1 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...

Jetzt auf den Mailinglisten

Re: [EasyLinux-Ubuntu] pdf-Dateien_öffnen
Rainer, 24.10.2014 17:00
Am Fri, 24 Oct 2014 16:15:32 +0200 schrieb Richard Kraut : > Am Mittwoch, den 22.10.2014, 09:34 +0200 sc...
Re: [EasyLinux-Ubuntu] zukünftiger__Standard-Desktop_bei_Debian?
Richard Kraut, 24.10.2014 16:29
Am Dienstag, den 21.10.2014, 18:27 +0200 schrieb Uwe Herrmuth: > Aber gut zu wissen, dass es im Falle eine...
[EasyLinux-Ubuntu] Recoll: Fehler bei Indizierung
Rainer, 24.10.2014 16:27
Hallo zuammen, habe jetzt ein paar Anläufe hinter mir, Recoll indizieren zu lassen (Index-Update), aber es...
Re: [EasyLinux-Ubuntu] zukünftiger__Standard-Desktop_bei_Debian?
Richard Kraut, 24.10.2014 16:23
Am Mittwoch, den 22.10.2014, 23:19 +0200 schrieb Matthias Müller: > btw: Debian hatte von Anfang an Gnome...
Re: [EasyLinux-Ubuntu] pdf-Dateien_öffnen
Richard Kraut, 24.10.2014 16:15
Am Mittwoch, den 22.10.2014, 09:34 +0200 schrieb Rainer: > Klingt folgerichtig. Trotzdem: Die AR-Version 9...