Interne Verschlüsselte Festplatte nach booten einbinden

Jörg Junghanns - Sonntag, 18. Januar 2009 18:24:59 - 5 Antworten

Hallo

Wie kann ich denn unter SuSE11.1 eine verschlüsselte interne Festplatte nach dem booten einbinden?
Ich möchte vermeiden, daß ich das Passwort wärend dem Bootvorgang eingeben mus.
Das macht bei einem Rechner der, für mehrere Nutzer bereit steht, keinen Sinn, weil dann zuviele das Passwort kennen.

Vielen Dank schon mal für Eure Antworten
vg, hannsi

Antworten
Schritt für Schritt
Rico Rommel, Dienstag, 20. Januar 2009 19:46:16
Ein/Ausklappen

Hallo Jörg,

gehen wir es einfach mal Schritt für Schritt an. Ich nutze selbst kein opensuse, d.h. es kann eventuell zu kleinen Abweichungen z.B. in den Pfadnamen kommen.

Ich gehe einfach mal von folgenden Voraussetzungen aus:

zu verschlüsselende Partition: /dev/sdc1
Mountpunkt: /home
Mapping-Devie: GeheimeDaten

Alle Befehle müssen als root ausgeführt werden.

1. Alle Daten auf der zu verschlüsselnden Partition sichern, sonst ist alles weg.


2. Das Paket cryptsetup installieren. Dort müßte auch dieses ominöse Startscript drin sein.


3. Eine verschlüsslete Partition anlegen (Vorher nochmal prüfen, ob es wirklich die richtige Partition ist!):

cryptsetup luksFormat /dev/sdc1


4. Das Mapping-Device öffnen

cryptsetup luksOpen /dev/sdc1 GeheimeDaten

Die neue Gerätedatei für die Partition ist nun /dev/mapper/GeheimeDaten (kann unter Suse abweichen)


5. Dateisystem erstellen

mkfs.ext3 /dev/mapper/GeheimeDaten

Die Partition ist nun zur Benutzung bereit und kann z.B. mit

mount /dev/mapper/GeheimeDaten /home

eingehangen werden. Nun müssen wir dafür sorgen, dass sie schon beim Booten eingehangen wird.


6. In die Datei /etc/crypttab müssen nun folgende Einträge vorgenommen werden:

GeheimeDaten /dev/sdc1 none luks,check=ext2

(Zwischen den Feldern befinden sich Tabs, keine Ahnung wie ich dir hier darstellen kann)
Dies teilt dem Startscript mit, wie die verschlüsselte Partition gehandhabt werden soll.


7. In /etc/fstab muss folgende Zeile eingefügt werden.

/dev/mapper/GeheimeDaten /home auto defaults 1 1

Das sollte selbsterklärend sein.

Nun sollte bei jedem Start das oben eingegebene Passwort verlangt werden und die Partition unter /home verfügbar sein.

Soll das Ganze aber ohne Eingabe eines Passwortes geschehen, kann z.B. ein USB-Stick benutzt werden.
Also, weiter gehts.


8. Den USB-Stick formatieren und einen Namen für das Dateisystem vergeben, z.B. keymedium

mkfs.ext2 /dev/<Gerätename des Sticks>

tune2fs -L keymedium /dev/<Gerätename des Sticks>


9. Mountpunkt für den USB-Stick erzeugen und USB-Stick mounten

mkdir /media/keymedium

mount /dev/<Gerätename des Sticks> /media/keymedium


10. Ein Keyfile mit einem Schlüssel erzeugen:

dd if=/dev/urandom of=/media/keymedium/keyfile bs=1024 count=4

Nun existiert auf dem USB-Stick ein 4 KB großer, aus Zufallszahlen bestehender, Schlüssel mit dem Namen keyfile.

Zur Sicherheit darf nur root Zugriffsrechte haben:

chmod 0400 /media/keymedium/keyfile


11. Den Schlüssel zur Partition hinzufügen

cryptsetup luksAddKey /dev/sdc1 /medium/keymedium/keyfile


Nun besteht noch das Problem, den USB-Stick automatisch zu mounten. Dies soll udev beim Systemstart erledigen.


12. Udev-Regel erstellen

in das Verzeichnis mit den Regeln von udev wechseln:

cd /etc/udev/rules.d (kann wieder abweichen)

Neue Datei anlegen:

touch 99-keymedium.rules

und folgende Regel mit einem Editor in die Datei einfügen:

SUBSYSTEM=="block", ACTION=="add", ENV{ID_FS_LABEL}=="keymedium", RUN+="/bin/mount /dev/%k /media/keymedium"

d.h., sobald ein Datenspeicher mit dem Namen keymedium angeschlossen wird, wird es automatisch in /media/keymedium eingehangen.


13. /etc/crypttab anpassen

GeheimeDaten /dev/sdc1 none luks,check=ext2

ändern zu

GeheimeDaten /dev/sdc1 /media/keymedium/keyfile luks,check=ext2


Fertig, wenn ich nichts vergessen oder falsch beschrieben habe.

Der USB-Stick kann kopiert werden, so dass jeder Benutzer, der einen USB-Stick mit dem Namen keymedium, auf dem sich keyfile befindet hat, auf die Partition zugreifen kann.

Es gibt auch noch die Möglichkeit, die verschlüsselte Partition mittels pam direkt beim Anmelden eines Benutzes zu öffnen bzw. beim Abmelden zu schließen. Allerdings habe ich mich damit auch noch nicht beschäftigt.

Noch ein paar links, auf die ich mich gestützt habe:

http://de.gentoo-wiki.com/wiki/DM-Crypt
http://de.opensuse.org/Verschlüsselung_mit_LUKS
http://www.howtoforge.com/a...ncrypted-drives-with-a-keyfile

mfg
Rico


Bewertung: 143 Punkte bei 107 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Schritt für Schritt
Jörg Junghanns, Mittwoch, 21. Januar 2009 23:36:40
Ein/Ausklappen

Hallo Rico

Vielen Dank ersteinmal für Deine wirklich ausführliche Antwort.

Cryptsetup war bei mir schon installiert. Die Konsolenbefehle aus Deiner Anleitung haben bei mir nicht funktioniert. Ich bekam nur Fehlermeldungen, dass er das Verzeichnis oder die Datei nicht gefunden hat.

Ich habe dann nochmal im YAST herumgeschnüffelt und festgestellt, dass es eine Einstellung in den Fstab-Optionen gibt, die das einbinden beim Systemstart verhindert.
Das hat aber nur genau einmal geklappt. Nach dem Neustart habe ich die Platte mit " mount /home2" und Eingabe des Passwortes ins System eingebunden. Seit dem ist sie jetzt gemountet. Das hat sich auch durch mehrfaches Neustarten nicht geändert. In den Partitionsoptionen steht sie jetzt als nicht verschlüsselt drin.
Wenn ich die Platte mit "umount " aushängen möchte, bekomme ich folgende Meldung.

umount: /home2 ist laut „mtab“ nicht eingehängt

Obwohl ich vollen Zugriff auf das Laufwerk habe. Ich habe sogar die Zugriffsrechte ändern können.Mal sehen ob sich da noch was Drehen lässt.

Während ich das schreibe läuft mein Drucker mit der OpenSuSE- Anleitung zu LUKS. Damit werde ich mich mal Auseinandersetzen.

Nochmals vielen Dank für Deine Antwort. Damit hast Du mich schon mal auf die richtige Spur gebracht. Irgendwie werde ich das schon noch hinbekommen.

Viele Grüsse, Jörg



Bewertung: 263 Punkte bei 49 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Danke erstmal.
Jörg Junghanns, Dienstag, 20. Januar 2009 15:55:35
Ein/Ausklappen

Vielen Dank für Eure Hilfe, aber ich bin noch nicht so firm unter Linux.
Das mit dem boot.crypto-early hört sich gut an, muß ich aber noch ausknobeln.

Besagte Festplatte hat die Bezeichnung sdc1und beim Mountpunkt bin ich mir nicht sicher was ich da machen soll. Wenn ich die Festplatte mit YAST konfiguriere, kann ich keinen Mountpunkt eingeben, wenn ich anwähle, daß die Platte beim Booten nicht mit eingebunden werden soll.
Egal wie ich den Befehl boot.crypto-early auch eingegeben habe, kam immer die Fehlermeldung von der Bash "Verzeichnis nicht gefunden".

Momentan bin ich noch ein wenig Ratlos. Aber vielleicht bekomme ich von Euch noch einen Wink.

Die Lösung mit dem umgehen der Passworteingabe möchte ich nicht realisieren, das erscheint mir im Augenblick noch etwas zu umständlich.
Wenn sich mein Anliegen mit einem Konsolenbefehl umsetzen liese wäre ich schon Froh.

vg. hannsi




Bewertung: 243 Punkte bei 59 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Keyfile
Rico Rommel, Montag, 19. Januar 2009 19:27:01
Ein/Ausklappen

Um die Passworteingabe zu umgehen, kannst du ein Keyfile hinterlegen. Wie dies funktioniert findest du unter:

http://www.howtoforge.com/a...ncrypted-drives-with-a-keyfile

Das Keyfile könnte dann z.B. auf einem USB-Stick gespeichert sein, der allerdings vor dem Ausführen des Cryptsetup Init-Scripts (s. vorheriger Kommentar) eingehangen werden muss.
Z.B. udev könnte das erledigen.

Ist der USB-Stick beim Booten angesteckt, wird die verschlüsselte Partition automatisch geöffnet, ist er draußen, sind die Daten sicher bzw. der Benutzer muss ein zusätzlich vergebenes Passwort eingeben.

mfg
rico


Bewertung: 244 Punkte bei 52 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
boot.crypto-early
Marcel Hilzinger, Sonntag, 18. Januar 2009 20:06:08
Ein/Ausklappen

Als root:

/etc/init.d/boot.crypto-early restart




Bewertung: 142 Punkte bei 109 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Ähnliche Artikel

Aktuelle Fragen

Drucker Epson XP-332 unter ubuntu 14.04 einrichten
Andrea Wagenblast, 30.11.2016 22:07, 2 Antworten
Hallo, habe vergeblich versucht mein Multifunktionsgerät Epson XP-332 als neuen Drucker unter...
Apricity Gnome unter Win 10 via VirtualBox
André Driesel, 30.11.2016 06:28, 2 Antworten
Halo Leute, ich versuche hier schon seit mehreren Tagen Apricity OS Gnome via VirtualBox zum l...
EYE of Gnome
FRank Schubert, 15.11.2016 20:06, 2 Antworten
Hallo, EOG öffnet Fotos nur in der Größenordnung 4000 × 3000 Pixel. Größere Fotos werden nic...
Kamera mit Notebook koppeln
Karl Spiegel, 12.11.2016 15:02, 2 Antworten
Hi, Fotografen ich werde eine SONY alpha 77ii bekommen, und möchte die LifeView-Möglichkeit nu...
Linux auf externe SSD installieren
Roland Seidl, 28.10.2016 20:44, 1 Antworten
Bin mit einem Mac unterwegs. Mac Mini 2012 i7. Würde gerne Linux parallel betreiben. Aber auf e...

Jetzt auf den Mailinglisten

Re: [EasyLinux-Ubuntu] Ubuntu Nachrichtensammlung, Band 129, Eintrag 4
Hans, 08.12.2016 13:30
Hallo Scharam, einmal Tante Guurgel und da habe ich Pooka Email Client gefunden. Gruß Jörg Am 8. Dezem...
[EasyLinux-Ubuntu] Ein Mailprogramm in Java
Schahram Sanawi Garrousi, 07.12.2016 23:02
Hallo Liste Gibt es ein Mailprogramm in Java? Gruß Schahram -- 4.4.0-53-generic x86_64 * Kubuntu 16.04...
Re: [EasyLinux-Ubuntu] WLAN Adressenbereich
"Michael R. Moschner", 02.12.2016 17:54
Am Samstag, 26. November 2016, 00:54:07 schrieb Richard Kraut: Hallo Richard und alle anderen Danke für die...
Re: [EasyLinux-Ubuntu] [erledigt?] xubuntu 16.04: unvollständige_Aktualisierung
Hartmut Haase, 30.11.2016 18:16
Hallo Liste, > 0% [Verbindung mit security.ubuntu.com (2001:67c:1560:8001::11)] wenn man das Ganze lang...
Re: [EasyLinux-Ubuntu] xubuntu_16.04:_unvollständige_Aktualisierung
Hartmut Haase, 30.11.2016 16:28
Hallo Frank, > Habe ich auch gerade? > Root hat noch 3GB frei. ich habe noch knapp 10GB frei. Dara...