Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- cryptsetup [2008/04/28 16:39] – gerald
+++ cryptsetup [2024/02/29 13:36] (aktuell) – Externe Bearbeitung 127.0.0.1
@@ Zeile 1: / Zeile 1: @@
-Debian: Daten verschlüsseln
+[[ecryptfs|Debian/Ubuntu Home-Directory-Verschlüsselung]]
+Ubuntu-Wiki:  [[http://wiki.ubuntuusers.de/System_verschl%C3%BCsseln]]
+==== Debian: Daten verschlüsseln ====
+[[cryptsetup:crypt system|Das ganze System verschlüsseln unter Ubuntu]]
+[[cryptsetup:usb-rules|Das Problem der eindeutigen Zuordnung bei ext. Laufwerken]]
+<code>
 apt-get install cryptsetup
-http://www.andreas-janssen.de/cryptodisk.html#a1
+</code>
+[[http://www.andreas-janssen.de/cryptodisk.html#a1]]
 LUKS-Partition vorbereiten
 Im Folgenden werde ich an einem Beispiel erklären, welche Befehle benötigt werden um eine verschlüsselte Partition mit dm-crypt/LUKS einzurichten und zu verwenden.
-Vorbereitung: Es wird eine verfügbare Partition oder ein leeres Logical Volume benötigt. Es ist *nicht* möglich, eine bestehende Partition ohne Verlust aller auf ihr gespeicherten Daten zu verschlüsseln. Vor der Initialisierung kann die Partition mit Zufallswerten überschrieben werden. Von außen kann man später die verschlüsselten Daten nicht von den leeren Bereichen mit Zufallswerten unterscheiden. Außerdem werden dabei alte noch vorhandene Datenreste überschrieben.
- Achtung: Nach einmaligem Überschreiben kann man nicht mehr über ein herkömmliches Datenrettungsprogramm an die Datenreste gelangen, aufwändigere Methoden (bei denen die Festplatte im allgemeinen zerlegt werden muss) können das unter Umständen immer noch! Um noch vorhandene Daten wirklich unwiderruflich zu löschen muss die Partition mehrmals überschrieben werden. Es gibt unterschiedliche Meinungen darüber wie oft das nötig ist, ich gehe hier nicht weiter auf dieses Thema ein.
+Vorbereitung: Es wird eine verfügbare Partition oder ein leeres Logical Volume benötigt. Es ist *nicht* möglich, eine bestehende Partition ohne Verlust aller auf ihr gespeicherten Daten zu verschlüsseln.\\
+Vor der Initialisierung kann die Partition mit Zufallswerten überschrieben werden. Von außen kann man später die verschlüsselten Daten nicht von den leeren Bereichen mit Zufallswerten unterscheiden. Außerdem werden dabei alte noch vorhandene Datenreste überschrieben.
+Achtung: Nach einmaligem Überschreiben kann man nicht mehr über ein herkömmliches Datenrettungsprogramm an die Datenreste gelangen, aufwändigere Methoden (bei denen die Festplatte im allgemeinen zerlegt werden muss) können das unter Umständen immer noch! Um noch vorhandene Daten wirklich unwiderruflich zu löschen muss die Partition mehrmals überschrieben werden. Es gibt unterschiedliche Meinungen darüber wie oft das nötig ist, ich gehe hier nicht weiter auf dieses Thema ein.
 In meinem Beispiel wird nun die Partition /dev/hda3 mit Zufallswerten überschrieben. Dazu dient /dev/urandom als Quelle:
+<code>
 dd if=/dev/urandom of=/dev/hda3 bs=10M
+</code>
 liest jeweils Blöcke von 10 Megabytes Größe aus /dev/urandom und schreibt diese dann auf die Platte, solange bis die Partition voll ist.
-Nachdem die Partition vorbereitet wurde muss sie nun über cryptsetup  initialisiert werden. Praktischerweise gibt es ein kleines Skript namens luksformat, welches dieses mit vernünftigen Voreinstellungen für die Verschlüsselung erledigt. Außerdem legt es zusätzlich noch ein Dateisystem auf der Partition an. Da die Partition nur unter Linux benutzt werden soll werde ich das ext3-Dateisystem verwenden:
+Nachdem die Partition vorbereitet wurde muss sie nun über cryptsetup  initialisiert werden. Praktischerweise gibt es ein kleines Skript namens luksformat, welches dieses mit vernünftigen Voreinstellungen für die Verschlüsselung erledigt.
+Außerdem legt es zusätzlich noch ein Dateisystem auf der Partition an. Da die Partition nur unter Linux benutzt werden soll werde ich das ext3-Dateisystem verwenden:
+<code>
 sirius:~# luksformat -t ext3 /dev/hda3
 creating encrypted device on /dev/hda3
@@ Zeile 20: / Zeile 40: @@
 Are you sure? (Type uppercase yes): YES
-luksformat fragt nach einem Passwort für die Partition, welches insgesamt dreimal eingegeben werden muss. Abschließend entsperrt es die Partition, legt ein ext3-Dateisystem an und sperrt sie dann wieder. Statt luksformat könnte man auch direkt cryptsetup benutzen, die entsprechenden Befehle wären:
+</code>
+luksformat fragt nach einem Passwort für die Partition, welches insgesamt dreimal eingegeben werden muss. Abschließend entsperrt es die Partition, legt ein ext3-Dateisystem an und sperrt sie dann wieder.
+Statt luksformat könnte man auch direkt cryptsetup benutzen, die entsprechenden Befehle wären:
+<code>
 cryptsetup luksFormat --cipher aes-cbc-essiv:sha256 /dev/hda3
 cryptsetup luksOpen /dev/hda3 luksformatxxx
 mkfs.ext3 /dev/mapper/luksformatxxx
 cryptsetup luksClose /dev/mapper/luksformatxxx
+</code>
 Damit sind die Vorbereitungen angeschlossen und die Partition kann verwendet werden.
-Nach oben
-Partition benutzen - cryptsetup und mount
+==== Partition benutzen - cryptsetup und mount ====
-Um die Partition nun zu mounten muss sie entsperrt werden. Dabei wird das Passwort oder der Schlüssel angegeben. cryptsetup konfiguriert den Device Mapper entsprechend, so daß dieser die verschlüsselte Partition mit einer Gerätedatei in /dev/mapper verknüpft, welche dann ganz normal mit mount eingehängt werden kann. Der Name dieser Datei ist frei wählbar, zur Übersichtlichkeit benutze ich hda3_crypt:
+Um die Partition nun zu mounten muss sie entsperrt werden. Dabei wird das Passwort oder der Schlüssel angegeben. cryptsetup konfiguriert den Device Mapper entsprechend, so daß dieser die verschlüsselte Partition mit einer Gerätedatei in /dev/mapper verknüpft, welche dann ganz normal mit mount eingehängt werden kann.
+Der Name dieser Datei ist frei wählbar, zur Übersichtlichkeit benutze ich hda3_crypt:
+<code>
 sirius:~# cryptsetup luksOpen /dev/hda3 hda3_crypt
 Enter LUKS passphrase:
@@ Zeile 35: / Zeile 63: @@
 sirius:~# ls /dev/mapper
 control hda3_crypt
+</code>
 Die Partition ist damit entsperrt. Alle Zugriffe auf /dev/mapper/hda3_crypt laufen nun durch den Device Mapper. Erfolgt ein Schreibzugriff auf hda3_crypt so werden die Daten verschlüsselt und dann auf hda3 gespeichert. Erfolgt ein Lesezugriff auf hda3_crypt wird der passende Datenblock von hda3 gelesen, entschlüsselt und dann ausgegeben. Die Partition kann mit mount eingehängt werden:
+<code>
 sirius:~# mount /dev/mapper/hda3_crypt /mnt
 sirius:~# mount | grep hda3
 /dev/mapper/hda3_crypt on /mnt type ext3 (rw)
+</code>
 Wie man sehen kann benötigt mount keine Informationen über die Verschlüsselung, es verwendet einfach das vom Device Mapper erstellte Gerät wie eine normale Partition.
-Nach dem Entsperren kann man über dieses Gerät auf alle Daten auf der Partition zugreifen. Möchte man die Partition vorübergehend nicht mehr verwenden kann man sie sperren - dazu wird sie ausgehängt und anschließend die Device-Mapper-Verknüpfung gelöscht:
+Nach dem Entsperren kann man über dieses Gerät auf alle Daten auf der Partition zugreifen.
+Möchte man die Partition vorübergehend nicht mehr verwenden kann man sie sperren - dazu wird sie ausgehängt und anschließend die Device-Mapper-Verknüpfung gelöscht:
+<code>
 sirius:~# umount /mnt
 sirius:~# cryptsetup luksClose /dev/mapper/hda3_crypt
 sirius:~# ls /dev/mapper
 control
-Nach oben
+</code>
-Einbinden automatisieren - crypttab
+==== Einbinden automatisieren - crypttab ====
-Auf die oben beschriebene Art und Weise kann man die verschlüsselten Partitionen von Hand aktivieren und deaktivieren. Auf die Dauer ist das aber sehr lästig. cryptsetup sieht allerdings eine Möglichkeit vor, Partitionen automatisch beim Hochfahren des Systems zu entsperren. Dazu trägt man diese in der Datei /etc/crypttab ein. Folgende Informationen können dort eingetragen werden:
+Auf die oben beschriebene Art und Weise kann man die verschlüsselten Partitionen von Hand aktivieren und deaktivieren. Auf die Dauer ist das aber sehr lästig.
+cryptsetup sieht allerdings eine Möglichkeit vor, Partitionen automatisch beim Hochfahren des Systems zu entsperren.
+Dazu trägt man diese in der Datei /etc/crypttab ein. Folgende Informationen können dort eingetragen werden:
 Der Name der Device-Mapper-Verknüpfung, hier also  hda3_crypt
 Der Name der verschlüsselten Partition, hier  /dev/hda3
 Der Pfad zu einer Schlüsseldatei, oder bei Verwendung eines Passwortes stattdessen none
 Angaben über die verwendete Verschlüsselung - da diese Informationen bei LUKS im Anfangsbereich der Partition gespeichert werden in diesem Fall einfach nur luks
 Die komplette Zeile für das oben genannte Beispiel würde also so aussehen:
+<code>
 # <target name> <source device>         <key file>      <options>
      hda3_crypt       /dev/hda3               none           luks
+</code>
 Beim nächsten Neustart des Systems wird cryptsetup automatisch die Partition entsperren und dabei nach dem Passwort fragen. Um die Partition beim Systemstart automatisch einzuhängen muss nur noch ein Eintrag in der /etc/fstab angelegt werden, zum Beispiel:
+<code>
 /dev/mapper/hda3_crypt    /mnt    ext3    auto,defaults    0    0
-Nach oben
+</code>
-Datei statt Passwort als Schlüssel
+Die Disk kann //nicht// auch über die UUID eingebunden werden. cryptsetup kennt kein UUID (das wird beim formatieren oder partitionieren des Laufwerks vergeben).
+Daher sollte man bei ext. USB-Laufwerken über die Hotplug-Rules anhand der Seriennummer gehen:  [[cryptsetup:usb-rules]] . Die Seriennummer ist unabhängig von der Partition und steht schon vor dem mounten fest.
+Die UUID (nicht Seriennummer) würde man so rausbekommen:
+<code>sudo blkid</code>
+==== Datei statt Passwort als Schlüssel ====
 Im vorangegangenen Beispiel wurde ein Passwort zum Entsperren der verschlüsselten Partition benutzt. Der Debian-Installer kann ebenfalls nur verschlüsselte Partitionen mit Passwörtern einrichten (oder, im Falle von Swap, mit Zufallsschlüsseln).
 Alternativ kann man aber auch eine Datei, zum Beispiel auf einem USB-Stick, als Schlüssel verwenden. Während man bei der Benutzung von Passwörtern diese (für jede verschlüsselte Partition) beim Hochfahren eintippen muss, bleibt einem bei Schlüsseldateien diese Arbeit erspart - man muss nur dafür sorgen, daß auf den Schlüssel zugegriffen werden kann (zum Beispiel indem der USB-Stick eingesteckt wird).
 Wie oben geschrieben kann man für eine LUKS-Partition bis zu acht Passwörter oder Schlüssel verwenden. Vom Debian-Installer oder von luksformat angelegte Partitionen können also mit einer Schlüsseldatei nachgerüstet werden. Die dazu nötigen Schritte lassen sich mit cryptsetup erledigen. Zunächst einmal muss aber eine Schlüsseldatei erstellt werden. Sie sollte nicht zu klein sein (unsicher), aber auch nicht zu groß (lange Dauer beim Entsperren). Ich verwende eine vier kilobyte große Datei:
+<code>
 sirius:~# dd if=/dev/urandom of=/media/usb/key bs=4k count=1
 +0 Datensätze ein
 +0 Datensätze aus
 Bytes (4,1 kB) kopiert, 0,0018383 Sekunden, 2,2 MB/s
+</code>
 Als nächstes muss der Schlüssel der LUKS-Partition hinzugefügt werden. Dabei wird das bestehende Passwort eingegeben und damit dann der Datenschlüssel dechiffriert. Dann wird er durch die Schlüsseldatei neu chiffriert und in einer freien Speicherstelle gesichert:
+<code>
 cryptsetup luksAddKey /dev/hda3 /media/usb/key
 Enter any LUKS passphrase:
 key slot 0 unlocked.
 Command successful
+</code>
 Nun kann testweise die Partition mit dem neuen Schlüssel statt dem Passwort entsperrt werden:
+<code>
 sirius:~# cryptsetup luksOpen /dev/hda3 hda3_crypt --key-file /media/usb/key
 key slot 1 unlocked.
 Command successful
-Damit kann die Partition ähnlich wie mit einem Passwort manuell entsperrt werden. Dieser Vorgang lässt sich aber auch über die crypttab automatisieren. An dieser Stelle kommt nun die keyfile-Option ins Spiel. Aus dem vorherigen Beispiel wird:
+</code>
+Damit kann die Partition ähnlich wie mit einem Passwort manuell entsperrt werden. Dieser Vorgang lässt sich aber auch über die crypttab automatisieren.
+An dieser Stelle kommt nun diekeyfile-Option ins Spiel. Aus dem vorherigen Beispiel wird:
+<code>
 # <target name> <source device>         <key file>      <options>
      hda3_crypt       /dev/hda3     /media/usb/key           luks
+</code>
 Das ist allerdings noch nicht alles. cryptsetup muss angewiesen werden, das Medium mit dem Schlüssel vor dem Abarbeiten der crypttab zu mounten. Dazu muss es einen Eintrag für das Medium in der /etc/fstab geben, außerdem muss die der Mountpunkt in /etc/default/cryptdisks eingetragen werden:
+<code>
 CRYPTDISKS_MOUNT="/media/usb"
+</code>
 Nach dem Entsperren aller verschlüsselten Partitionen wird das Medium automatischwieder ausgehängt. Zur Sicherheit kann nun noch die initial ram disk neu gebaut werden:
+<code>
 update-initramfs -u
-Das Passwort kann auch weiterhin als Ersatz beibehalten (oder mit cryptsetup luksDelKey entfernt) werden. Ist der USB-Stick mit dem Schlüssel eingesteckt, fährt das System ohne Benutzereingaben hoch und entsperrt alle in der crypttab eingetragenen Partitionen selbstständig. Diese Konfiguration funktioniert für alle Partitionen außer der Root-Partition. Da auf dieser Partition gerade die zum Entsperren notwendigen Programme liegen sind hier einige weitere Maßnahmen notwendig.
+</code>
+Das Passwort kann auch weiterhin als Ersatz beibehalten (oder mit cryptsetup luksDelKey entfernt) werden.
+Ist der USB-Stick mit dem Schlüssel eingesteckt, fährt das System ohne Benutzereingaben hoch und entsperrt alle in der crypttab eingetragenen Partitionen selbstständig.
+Diese Konfiguration funktioniert für alle Partitionen außer der Root-Partition.
+Da auf dieser Partition gerade die zum Entsperren notwendigen Programme liegen sind hier einige weitere Maßnahmen notwendig.
@@ Zeile 262: / Zeile 334: @@
+----
+Quelle((https://systemausfall.org/wikis/howto/CryptoPartitionHowTo))
+== Täglicher Gebrauch ==
+  * Trage deine Cryptopartition in /etc/crypttab ein, bspw:
+<code>
+      # <target device>  <source device>  <key file>  <options>
+      $CRYPTODEVICE      /dev/$DEVICE     none        luks,check=ext2,retry=5
+</code>
+  * Trage in /etc/fstab das Device (/dev/mapper/$CRYPTODEVICE $MOUNT) mit deinen Dateisystemoptionen ein:
+<code>      /dev/mapper/$CRYPTDEVICE     $MOUNT      auto        defaults    0   0</code>
+  * /etc/init.d/cryptdisks kümmert sich nun um die Initialisierung beim Booten. Bei Falscheingabe, wirst du mehrmals (siehe retry in der /etc/crypttab) erneut gefragt. Falls es weiterhin fehlschlägt, wird der Bootvorgang ohne mounten fortgesetzt.
+  * Luks ermöglicht es dir, mit verschiedenen Schlüsseln auf die Partition zuzugreifen. Mit folgendem Befehl fügst du einen weiteren hinzu:
+<code>      cryptsetup luksAddKey /dev/$DEVICE</code>
+      Dazu musst du das Passwort eines schon vorhandenen Schlüssels eingeben. Analog dazu kannst du mit luksDelKey ein Schlüssel wieder entfernen.
+== Paranoia ==
+Mit dmsetup info lassen sich benutzte devicemappings anzeigen. Taucht hier ein Teil als ACTIVE auf, so hat jedermensch darauf Zugriff (auch wenn es nicht gemountet ist, könnte - wer die nötigen Rechte hat - das Teil ohne passendes Cryptokennwort mounten) - es ist in diesem Zustand quasi entschlüsselt!
+Deswegen immer nach dem unmounten, das mapping entfernen:
+<code>
+umount $MOUNT
+cryptsetup luksClose $CRYPTODEVICE
+</code>
+Du kannst alle mappings gleichzeitig entfernen mit:
+<code>
+dmsetup remove_all
+</code>
+{{tag>cryptsetup luks "crypted data" "crypted partition"}}

Nach oben

cryptsetup.1209400790.txt.gz · Zuletzt geändert: 2024/02/29 13:35 (Externe Bearbeitung)

Übersicht Letzte Änderungen

Admin