Verschlüsseln von Datenpartitionen mit LUKS

Veröffentlicht von Thomas K am

Voraussetzung zum Zugriff auf verschlüsselte LUKS-Datenträger ist das Paket „cryptsetup“, das wir installieren. Damit kann man dann eine ganze Festplatte, eine Partition, einen USB-Stick oder auch nur einen Container verschlüsseln. In diesem Beispiel werde ich eine ganze Festplatte mit LUKS verschlüsseln.

apt-get install cryptsetup

Mit fdisk -l lasse ich mir alle angeschlossenen Festplatten anzeigen.

# fdisk -l

Das sieht dann für meine zweite Festplatte so aus:

Disk /dev/sdb: 8 GiB, 8589934592 bytes, 16777216 sectors
Disk model: VBOX HARDDISK
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes

Wer statt der eingebauten Festplatte einen USB-Stick verschlüsseln will, kann den Befehl

lsblk -Sfo +size

verwenden, um die Bezeichung bzw. Kennung des USB-Sticks festzustellen. Im nächsten Schritt verschlüsseln wir dann unsere Festplatte/USB-Stick. Vorsicht ist beim letzten Parameter geboten (/dev/sdb oder eben etwas anders, abhängig von eurem System), der das Device angibt. Die Passphrase sollte entsprechend gewählt werden.

/sbin/cryptsetup --iter-time 5000 --use-random luksFormat --type luks2 /dev/sdb

Im nächsten Schritt öffnen wir mit einem virtuellen Mapping unser Device. 

/sbin/cryptsetup open /dev/sdb /local_storage

Jetzt fehlt noch die Formatierung unseres Devices.

/sbin/mkfs.ext4 /dev/mapper/local_storage

Und die Einbindung in das Dateisystem

mount /dev/mapper/local_storage /mnt

Natürlich ist es möglich die Festplatte/Partition/USB-Stick auch wie fstab einbinden zu lassen. Dazu speichern wir in einem keyfile einen Schlüssel zum Öffnen.

touch /root/.keyfile
/sbin/cryptsetup luksAddKey /dev/sdb /root/.keyfile
chmod 400 /root/.keyfile

Es besteht auch die Möglichkeit den Schlüssel nicht lokal zu speichern, sondern z.B via https von einem Remote-Server herunterzuladen. Mehr dazu hier. https://github.com/stupidpupil/https-keyscript

In der Datei /etc/crypttab machen wir noch folgenden Eintrag. UUID entsprechend anpassen. 

local_storage UUID=fc9b3180-f35a-4760-a027-223049e0d3ec /root/.keyfile luks

Die /etc/fstab könnte dann mit folgender Zeile ergänzt werden.

/dev/mapper/local_storage /mnt ext4

Nach einem Reboot sollte dann die verschlüsselte Festplatte automatisch eingebunden sein. Praktisch ist LUKS für Backups auf externen Festplatten oder USB-Sticks, auf denen vertrauenswürdige Daten transportiert werden können.

Weiterführende Links:

https://www.ibm.com/docs/en/order-management-sw/10.0?topic=considerations-encrypting-data-partitions-using-luks

https://wiki.ubuntuusers.de/System_verschluesseln/
https://www.cyberciti.biz/security/howto-linux-hard-disk-encryption-with-luks-cryptsetup-command/
https://www.kuketz-blog.de/dm-crypt-luks-daten-unter-linux-sicher-verschluesseln/

Kategorien: HowToSoftwareTools
Schlagwörter:

0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Verwandte Beiträge

Software

DokuWiki

DokuWiki ist eine Open-Source-Wiki-Software, die auf PHP basiert und auf einfache und intuitive Weise die Erstellung von Inhalten ermöglicht. Im Vergleich zu anderen Wiki-Plattformen zeichnet sich DokuWiki durch seine Einfachheit, Flexibilität und Benutzerfreundlichkeit aus. Die Weiterlesen…

HowTo

Mit FOG zum effizienten Image-Management: Einfach, schnell, kostenlos

Die agile Alternative zu WDS für das Netzwerk-Image-Rollout ist schnell, sicher und zudem betriebsystem-agnostisch. Windows, Linux oder dualboot Systeme können mit einem FOG Server kosteneffektiv ausgespielt werden. Schulen werden oft wie große Firmen behandelt und Weiterlesen…

Apps

StreetComplete App

StreetComplete ist eine revolutionäre Anwendung, die OpenStreetMaps (OSM) zu einem spannenden und leistungsstarken Erlebnis macht. Durch die Möglichkeit, fehlende Daten oder ungenaue Informationen in Stadtplänen zu korrigieren und zu ergänzen, bietet StreetComplete eine einzigartige Gelegenheit, Weiterlesen…