Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- cryptsetup [2009/07/08 13:20] – gerald
+++ cryptsetup [2024/02/29 13:36] (aktuell) – Externe Bearbeitung 127.0.0.1
@@ Zeile 1: / Zeile 1: @@
+[[ecryptfs|Debian/Ubuntu Home-Directory-Verschlüsselung]]
+Ubuntu-Wiki:  [[http://wiki.ubuntuusers.de/System_verschl%C3%BCsseln]]
 ==== Debian: Daten verschlüsseln ====
@@ Zeile 99: / Zeile 104: @@
 </code>
-Die Disk kann auch über die UUID eingebunden werden:
+Die Disk kann //nicht// auch über die UUID eingebunden werden. cryptsetup kennt kein UUID (das wird beim formatieren oder partitionieren des Laufwerks vergeben).
-z.B:
+Daher sollte man bei ext. USB-Laufwerken über die Hotplug-Rules anhand der Seriennummer gehen:  [[cryptsetup:usb-rules]] . Die Seriennummer ist unabhängig von der Partition und steht schon vor dem mounten fest.
-<code>
-# <target name> <source device>         <key file>      <options>
-sda3_crypt      /dev/sda3               none            liks
-backup_crypt_old        UUID=c6acd2e6-56da-48d8-9b32-dfc3ace89ee8       none    liks
-backup_crypt    UUID=c0216026-ae8a-40bb-ad4c-ff5384a63850       none    liks
-Daten_crypt_old UUID=425aac91-5f2f-4ead-b82e-14ef49bab5e6       none    liks
-Daten_crypt     UUID=a319f3a3-ae63-4ae8-8d36-de636964ef1c       none    liks
-</code>
-Die UUID rausbekommen:
+Die UUID (nicht Seriennummer) würde man so rausbekommen:
 <code>sudo blkid</code>
@@ Zeile 335: / Zeile 332: @@
  Die Partition "/dev/hda4" wird nicht beim Booten geöffnet, sondern wenn sich ein User am System anmeldet (siehe Container öffnen/schließen (Login) ->). Die Login-Passwörter der User sind auch als Schlüssel zum Öffnen der Partition "/dev/hda4" hinzuzufügen (siehe Passwörter verwalten ->). Damit ist die Zahl der möglichen User auf 8 begrenzt, das sollte in der Regel kein Problem sein.
+----
+Quelle((https://systemausfall.org/wikis/howto/CryptoPartitionHowTo))
+== Täglicher Gebrauch ==
+  * Trage deine Cryptopartition in /etc/crypttab ein, bspw:
+<code>
+      # <target device>  <source device>  <key file>  <options>
+      $CRYPTODEVICE      /dev/$DEVICE     none        luks,check=ext2,retry=5
+</code>
+  * Trage in /etc/fstab das Device (/dev/mapper/$CRYPTODEVICE $MOUNT) mit deinen Dateisystemoptionen ein:
+<code>      /dev/mapper/$CRYPTDEVICE     $MOUNT      auto        defaults    0   0</code>
+  * /etc/init.d/cryptdisks kümmert sich nun um die Initialisierung beim Booten. Bei Falscheingabe, wirst du mehrmals (siehe retry in der /etc/crypttab) erneut gefragt. Falls es weiterhin fehlschlägt, wird der Bootvorgang ohne mounten fortgesetzt.
+  * Luks ermöglicht es dir, mit verschiedenen Schlüsseln auf die Partition zuzugreifen. Mit folgendem Befehl fügst du einen weiteren hinzu:
+<code>      cryptsetup luksAddKey /dev/$DEVICE</code>
+      Dazu musst du das Passwort eines schon vorhandenen Schlüssels eingeben. Analog dazu kannst du mit luksDelKey ein Schlüssel wieder entfernen.
+== Paranoia ==
+Mit dmsetup info lassen sich benutzte devicemappings anzeigen. Taucht hier ein Teil als ACTIVE auf, so hat jedermensch darauf Zugriff (auch wenn es nicht gemountet ist, könnte - wer die nötigen Rechte hat - das Teil ohne passendes Cryptokennwort mounten) - es ist in diesem Zustand quasi entschlüsselt!
+Deswegen immer nach dem unmounten, das mapping entfernen:
+<code>
+umount $MOUNT
+cryptsetup luksClose $CRYPTODEVICE
+</code>
+Du kannst alle mappings gleichzeitig entfernen mit:
+<code>
+dmsetup remove_all
+</code>
+{{tag>cryptsetup luks "crypted data" "crypted partition"}}

Nach oben

cryptsetup.1247059223.txt.gz · Zuletzt geändert: 2024/02/29 13:35 (Externe Bearbeitung)

Übersicht Letzte Änderungen

Admin