Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- linux:allgemein:system:dm-crypt_mit_luks [24.12.2012 12:31]
127.0.0.1 Externe Bearbeitung
+++ linux:allgemein:system:dm-crypt_mit_luks [07.05.2021 07:17] (aktuell)
marc
@@ Zeile 1: / Zeile 1: @@
 ====== dm-crypt mit LUKS ======
+===== Links =====
+https://wiki.debianforum.de/Benchmark_f%C3%BCr_Festplattenverschl%C3%BCsselung
+https://wiki.gentoo.org/wiki/Dm-crypt
+https://wiki.gentoo.org/wiki/Dm-crypt_full_disk_encryption
+==== Einführung ====
 Der Linux-Devicemapper ist eine Softwareschicht, die man zwischen der Dateisystemebene und den darunterliegenden Geräten und Partitionen einschieben kann. Er kann nicht nur für Verschlüsselung verwendet werden, sondern bildet auch die Grundlage für DM-RAID und den Logical Volume Manager (LVM) \\ \\
@@ Zeile 11: / Zeile 21: @@
 ===== Vorbereitungen =====
-Am sichersten ist es die zu verschlüsselnde Partition vorher mit Zufallswerten zu überschreiben. Dies erschwert später von außen Rückschlüsse auf die Verschlüsselung ziehen zu können. Hier wird urandom als Quelle benutzt. Der Befehl läuft solange, bis die Partition voll ist. \\
+Am sichersten ist es die zu verschlüsselnde Partition vorher mit Zufallswerten zu überschreiben. Dies erschwert später von außen Rückschlüsse auf die Verschlüsselung ziehen zu können. Hier wird urandom als Quelle benutzt. Der Befehl läuft solange, bis die Partition voll ist.
-''# dd if=/dev/urandom of=/dev/sdaX bs=10M''
+  # dd if=/dev/urandom of=/dev/sdaX bs=10M
 ===== Verschlüsselung einrichten =====
-Nachdem die Partition vorbereitet wurde muss sie nun über cryptsetup initialisiert werden. Praktischerweise gibt es ein kleines Skript namens luksformat, welches dieses mit vernünftigen Voreinstellungen für die Verschlüsselung erledigt. Außerdem legt es zusätzlich noch ein Dateisystem auf der Partition an, in diesem Fall ext3. \\
+Nachdem die Partition vorbereitet wurde muss sie nun über cryptsetup initialisiert werden. Der Standard key-size (-s) ist 256 (Stand 2021).
-''# luksformat -t ext3 /dev/sdaX'' \\
-luksformat fragt nach einem Passwort für die Partition, welches insgesamt dreimal eingegeben werden muss. Abschließend entsperrt es die Partition, legt ein ext3-Dateisystem an und sperrt sie dann wieder. Damit ist die Verschlüsselung eingerichtet und kann verwendet werden.
+  # cryptsetup -c aes-xts-plain -s 512 luksFormat <Gerät>
+  bzw.
+  # cryptsetup -s 512 luksFormat --type luks2 /dev/sdc2
+cryptsetup fragt nach einem Passwort für die Partition, welches insgesamt dreimal eingegeben werden muss. Abschließend entsperrt es die Partition, legt ein ext3-Dateisystem an und sperrt sie dann wieder. Damit ist die Verschlüsselung eingerichtet und kann verwendet werden.
+Weitere Passphrase hinzufügen:
+  cryptsetup luksAddKey /dev/sdaX
+===== Verschlüsseltes LVM mit mehreren Partitionen in einer Volume Group einrichten =====
+  # pvcreate /dev/mapper/cryptsda2
+  # vgcreate Magrathea /dev/mapper/cryptsda2
+  # lvcreate -n Wurzel -L 40G Magrathea
+  # lvcreate -n Swap -L 8G Magrathea
+  # lvcreate -n Home -L 80G Magrathea
+  # lvcreate -n Daten -L 2G Magrathea
+  # mkfs.ext4 /dev/Magrathea/Wurzel
+  # mkfs.ext4 /dev/Magrathea/Home
+  # mkfs.ext4 /dev/Magrathea/Daten
+  # mkswap /dev/Magrathea/Swap
+==== Volume Group umbenennen ====
+  # vgrename <alter Name> <neuer Name>
+==== Informationen zur Verschlüsselung ====
+  # cryptsetup luksDump /dev/sda2
-Weitere Passphrase hinzufügen:\\
-''cryptsetup luksAddKey /dev/sdaX''
 ===== Partition benutzen =====
@@ Zeile 26: / Zeile 69: @@
 === Einzelne Partition ===
-Die Partition wird manuell folgendermaßen mit cryptsetup entschlüsselt \\
+Die Partition wird manuell folgendermaßen mit cryptsetup entschlüsselt
-''# cryptsetup luksOpen /dev/sdaX sdaX_crypt'' \\
-Nach Eingabe des Schlüssels werden alle Aufrufe von /dev/mapper/sdaX_crypt durch den device-mapper geleitet. Daher kann sie wie gewohnt eingehängt werden. \\
+  # cryptsetup luksOpen /dev/sdaX sdaX_crypt
-''# mount /dev/mapper/sdaX_crypt /mnt/custom'' \\
-Nach der Benutzung wird sie mit \\
+Nach Eingabe des Schlüssels werden alle Aufrufe von /dev/mapper/sdaX_crypt durch den device-mapper geleitet. Daher kann sie wie gewohnt eingehängt werden.
-''# umount /mnt/custom'' \\
-ausgehangen und mit \\
+  # mount /dev/mapper/sdaX_crypt /mnt/custom
-''# cryptsetup luksClose /dev/mapper/sdaX_crypt'' \\
+Nach der Benutzung wird sie mit
+  # umount /mnt/custom
+ausgehangen und mit
+  # cryptsetup luksClose /dev/mapper/sdaX_crypt
 wieder gesperrt.
@@ Zeile 39: / Zeile 90: @@
   * Entschlüsseln des Laufwerks:
-''# cryptsetup luksOpen /dev/sdaX sdaX_crypt''
+  # cryptsetup luksOpen /dev/sdaX sdaX_crypt
   *  Bekanntmachen der Volume_Group:
-''# vgchange -a y NAME_VOLUME_GROUP''
+  # vgchange -a y NAME_VOLUME_GROUP
   * Einhängen der Partitionen nach Bedarf:
-''# mount /dev/mapper/VOLUME_GROUP-NAME /mnt/backup''
+  # mount /dev/mapper/VOLUME_GROUP-NAME /mnt/backup
 ==== Einbinden mit crypttab automatisieren ====

Marc's Linux-Wiki (Gentoo, Debian)

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Unterschiede

Seiten-Werkzeuge