Interne Verschlüsselte Festplatte nach booten einbinden

Jörg Junghanns - Sonntag, 18. Januar 2009 18:24:59 - 5 Antworten

Hallo

Wie kann ich denn unter SuSE11.1 eine verschlüsselte interne Festplatte nach dem booten einbinden?
Ich möchte vermeiden, daß ich das Passwort wärend dem Bootvorgang eingeben mus.
Das macht bei einem Rechner der, für mehrere Nutzer bereit steht, keinen Sinn, weil dann zuviele das Passwort kennen.

Vielen Dank schon mal für Eure Antworten
vg, hannsi

Antworten
Schritt für Schritt
Rico Rommel, Dienstag, 20. Januar 2009 19:46:16
Ein/Ausklappen

Hallo Jörg,

gehen wir es einfach mal Schritt für Schritt an. Ich nutze selbst kein opensuse, d.h. es kann eventuell zu kleinen Abweichungen z.B. in den Pfadnamen kommen.

Ich gehe einfach mal von folgenden Voraussetzungen aus:

zu verschlüsselende Partition: /dev/sdc1
Mountpunkt: /home
Mapping-Devie: GeheimeDaten

Alle Befehle müssen als root ausgeführt werden.

1. Alle Daten auf der zu verschlüsselnden Partition sichern, sonst ist alles weg.


2. Das Paket cryptsetup installieren. Dort müßte auch dieses ominöse Startscript drin sein.


3. Eine verschlüsslete Partition anlegen (Vorher nochmal prüfen, ob es wirklich die richtige Partition ist!):

cryptsetup luksFormat /dev/sdc1


4. Das Mapping-Device öffnen

cryptsetup luksOpen /dev/sdc1 GeheimeDaten

Die neue Gerätedatei für die Partition ist nun /dev/mapper/GeheimeDaten (kann unter Suse abweichen)


5. Dateisystem erstellen

mkfs.ext3 /dev/mapper/GeheimeDaten

Die Partition ist nun zur Benutzung bereit und kann z.B. mit

mount /dev/mapper/GeheimeDaten /home

eingehangen werden. Nun müssen wir dafür sorgen, dass sie schon beim Booten eingehangen wird.


6. In die Datei /etc/crypttab müssen nun folgende Einträge vorgenommen werden:

GeheimeDaten /dev/sdc1 none luks,check=ext2

(Zwischen den Feldern befinden sich Tabs, keine Ahnung wie ich dir hier darstellen kann)
Dies teilt dem Startscript mit, wie die verschlüsselte Partition gehandhabt werden soll.


7. In /etc/fstab muss folgende Zeile eingefügt werden.

/dev/mapper/GeheimeDaten /home auto defaults 1 1

Das sollte selbsterklärend sein.

Nun sollte bei jedem Start das oben eingegebene Passwort verlangt werden und die Partition unter /home verfügbar sein.

Soll das Ganze aber ohne Eingabe eines Passwortes geschehen, kann z.B. ein USB-Stick benutzt werden.
Also, weiter gehts.


8. Den USB-Stick formatieren und einen Namen für das Dateisystem vergeben, z.B. keymedium

mkfs.ext2 /dev/<Gerätename des Sticks>

tune2fs -L keymedium /dev/<Gerätename des Sticks>


9. Mountpunkt für den USB-Stick erzeugen und USB-Stick mounten

mkdir /media/keymedium

mount /dev/<Gerätename des Sticks> /media/keymedium


10. Ein Keyfile mit einem Schlüssel erzeugen:

dd if=/dev/urandom of=/media/keymedium/keyfile bs=1024 count=4

Nun existiert auf dem USB-Stick ein 4 KB großer, aus Zufallszahlen bestehender, Schlüssel mit dem Namen keyfile.

Zur Sicherheit darf nur root Zugriffsrechte haben:

chmod 0400 /media/keymedium/keyfile


11. Den Schlüssel zur Partition hinzufügen

cryptsetup luksAddKey /dev/sdc1 /medium/keymedium/keyfile


Nun besteht noch das Problem, den USB-Stick automatisch zu mounten. Dies soll udev beim Systemstart erledigen.


12. Udev-Regel erstellen

in das Verzeichnis mit den Regeln von udev wechseln:

cd /etc/udev/rules.d (kann wieder abweichen)

Neue Datei anlegen:

touch 99-keymedium.rules

und folgende Regel mit einem Editor in die Datei einfügen:

SUBSYSTEM=="block", ACTION=="add", ENV{ID_FS_LABEL}=="keymedium", RUN+="/bin/mount /dev/%k /media/keymedium"

d.h., sobald ein Datenspeicher mit dem Namen keymedium angeschlossen wird, wird es automatisch in /media/keymedium eingehangen.


13. /etc/crypttab anpassen

GeheimeDaten /dev/sdc1 none luks,check=ext2

ändern zu

GeheimeDaten /dev/sdc1 /media/keymedium/keyfile luks,check=ext2


Fertig, wenn ich nichts vergessen oder falsch beschrieben habe.

Der USB-Stick kann kopiert werden, so dass jeder Benutzer, der einen USB-Stick mit dem Namen keymedium, auf dem sich keyfile befindet hat, auf die Partition zugreifen kann.

Es gibt auch noch die Möglichkeit, die verschlüsselte Partition mittels pam direkt beim Anmelden eines Benutzes zu öffnen bzw. beim Abmelden zu schließen. Allerdings habe ich mich damit auch noch nicht beschäftigt.

Noch ein paar links, auf die ich mich gestützt habe:

http://de.gentoo-wiki.com/wiki/DM-Crypt
http://de.opensuse.org/Verschlüsselung_mit_LUKS
http://www.howtoforge.com/a...ncrypted-drives-with-a-keyfile

mfg
Rico


Bewertung: 142 Punkte bei 117 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Schritt für Schritt
Jörg Junghanns, Mittwoch, 21. Januar 2009 23:36:40
Ein/Ausklappen

Hallo Rico

Vielen Dank ersteinmal für Deine wirklich ausführliche Antwort.

Cryptsetup war bei mir schon installiert. Die Konsolenbefehle aus Deiner Anleitung haben bei mir nicht funktioniert. Ich bekam nur Fehlermeldungen, dass er das Verzeichnis oder die Datei nicht gefunden hat.

Ich habe dann nochmal im YAST herumgeschnüffelt und festgestellt, dass es eine Einstellung in den Fstab-Optionen gibt, die das einbinden beim Systemstart verhindert.
Das hat aber nur genau einmal geklappt. Nach dem Neustart habe ich die Platte mit " mount /home2" und Eingabe des Passwortes ins System eingebunden. Seit dem ist sie jetzt gemountet. Das hat sich auch durch mehrfaches Neustarten nicht geändert. In den Partitionsoptionen steht sie jetzt als nicht verschlüsselt drin.
Wenn ich die Platte mit "umount " aushängen möchte, bekomme ich folgende Meldung.

umount: /home2 ist laut „mtab“ nicht eingehängt

Obwohl ich vollen Zugriff auf das Laufwerk habe. Ich habe sogar die Zugriffsrechte ändern können.Mal sehen ob sich da noch was Drehen lässt.

Während ich das schreibe läuft mein Drucker mit der OpenSuSE- Anleitung zu LUKS. Damit werde ich mich mal Auseinandersetzen.

Nochmals vielen Dank für Deine Antwort. Damit hast Du mich schon mal auf die richtige Spur gebracht. Irgendwie werde ich das schon noch hinbekommen.

Viele Grüsse, Jörg



Bewertung: 263 Punkte bei 53 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Danke erstmal.
Jörg Junghanns, Dienstag, 20. Januar 2009 15:55:35
Ein/Ausklappen

Vielen Dank für Eure Hilfe, aber ich bin noch nicht so firm unter Linux.
Das mit dem boot.crypto-early hört sich gut an, muß ich aber noch ausknobeln.

Besagte Festplatte hat die Bezeichnung sdc1und beim Mountpunkt bin ich mir nicht sicher was ich da machen soll. Wenn ich die Festplatte mit YAST konfiguriere, kann ich keinen Mountpunkt eingeben, wenn ich anwähle, daß die Platte beim Booten nicht mit eingebunden werden soll.
Egal wie ich den Befehl boot.crypto-early auch eingegeben habe, kam immer die Fehlermeldung von der Bash "Verzeichnis nicht gefunden".

Momentan bin ich noch ein wenig Ratlos. Aber vielleicht bekomme ich von Euch noch einen Wink.

Die Lösung mit dem umgehen der Passworteingabe möchte ich nicht realisieren, das erscheint mir im Augenblick noch etwas zu umständlich.
Wenn sich mein Anliegen mit einem Konsolenbefehl umsetzen liese wäre ich schon Froh.

vg. hannsi




Bewertung: 245 Punkte bei 65 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Keyfile
Rico Rommel, Montag, 19. Januar 2009 19:27:01
Ein/Ausklappen

Um die Passworteingabe zu umgehen, kannst du ein Keyfile hinterlegen. Wie dies funktioniert findest du unter:

http://www.howtoforge.com/a...ncrypted-drives-with-a-keyfile

Das Keyfile könnte dann z.B. auf einem USB-Stick gespeichert sein, der allerdings vor dem Ausführen des Cryptsetup Init-Scripts (s. vorheriger Kommentar) eingehangen werden muss.
Z.B. udev könnte das erledigen.

Ist der USB-Stick beim Booten angesteckt, wird die verschlüsselte Partition automatisch geöffnet, ist er draußen, sind die Daten sicher bzw. der Benutzer muss ein zusätzlich vergebenes Passwort eingeben.

mfg
rico


Bewertung: 249 Punkte bei 55 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
boot.crypto-early
Marcel Hilzinger, Sonntag, 18. Januar 2009 20:06:08
Ein/Ausklappen

Als root:

/etc/init.d/boot.crypto-early restart




Bewertung: 148 Punkte bei 120 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Ähnliche Artikel

Aktuelle Fragen

Probleme mit der Maus
Thomas Roch, 21.02.2017 13:43, 1 Antworten
Nach 20 Jahren Windows habe ich mich zu Linux Ubuntu probeweise durchgerungen!!! Installation - k...
KWin stürzt ab seit Suse Leap 42.2
Wimpy *, 21.02.2017 09:47, 3 Antworten
OpenSuse 42.2 KDE 5.8.3 Framework 5.26.0 QT 5.6.1 Kernel 4.4.46-11-default 64-bit Open-GL 2....
Shell-Befehl zur Installation von Scanner-Treiber
Achim Zerrer, 15.02.2017 12:13, 10 Antworten
Hallo, ich habe Einen Brother Drucker mit Scanner. Nachdem ich mit Hilfe der Community den Druck...
kiwix öffnet ZIM Datei nicht
Adrian Meyer, 13.02.2017 18:23, 1 Antworten
Hi, ich nutze Zim Desktop für mein privates Wiki. Fürs Handy habe ich mir kiwix heruntergelade...
registration
Brain Stuff, 10.02.2017 16:39, 1 Antworten
Hallo, Das Capatcha auf der Registrierungsseite von linux-community ist derartig schlecht gema...

Jetzt auf den Mailinglisten

Re: [EasyLinux-Ubuntu] Mint 18.1 neu installieren
Heiko, 22.02.2017 18:04
Am Mittwoch, 22. Februar 2017, 16:42:22 CET schrieb Uwe Herrmuth: Hallo Gerhard, > > Gerhard schri...
Re: [EasyLinux-Ubuntu] Mint 18.1 neu installieren
Uwe Herrmuth, 22.02.2017 16:42
Hallo Gerhard, Gerhard schrieb am 22.02.2017 um 16:24: > Ich habe gerade gesucht, ob jemand Mint auf ein...
Re: [EasyLinux-Ubuntu] Mint 18.1 neu installieren
Gerhard Eilers, 22.02.2017 16:24
Am .02.2017, 10:26 Uhr, schrieb Gerhard Blaschke : Hallo Willi und Gerhard >> ich kann mir nicht vors...
Re: [EasyLinux-Ubuntu] Mint 18.1 neu installieren
Alfred Zahlten, 22.02.2017 11:41
Am 22.02.2017 um 10:26 schrieb Gerhard Blaschke: Hallo zusammen, > Am 22.02.2017 um 10:13 schrieb Willi...
Re: [EasyLinux-Ubuntu] Aliase [war: Von Linux Mint 15 Olivia zu Linux Mint 18.1 Serena]
Alfred Zahlten, 22.02.2017 11:06
Am 22.02.2017 um 09:18 schrieb Uwe Herrmuth: Hallo Uwe, >>>> >>>> Zugegriffen: 20...