Dieses Tutorial zeigt Ihnen Schritt für Schritt, wie Sie ein vollständiges Laufwerk mit Cryptsetup unter Debian 9.4 oder Ubuntu 18.04 LTS (Bionic Beaver) verschlüsseln. Das Laufwerk, das verschlüsselt wird, ist möglicherweise nicht Teil eines LVM-Volumes.
Annahmen
1. Das zu verschlüsselnde Laufwerk ist nicht Teil von LVM.
2. cryptsetup wurde bereits installiert
3. Sie kennen bereits das Gerät, das Sie verschlüsseln möchten (in diesem Beispiel verwende ich /dev/sdb1)
4. Sie haben bereits alle Daten auf dem Laufwerk gespeichert, das Sie verschlüsseln möchten sonst gehen alle Daten verloren
5. Sie müssen wissen, wie man sudo oder su -
verwendetHinweise und Warnungen
Sie haben bereits alle Daten auf dem Laufwerk gespeichert, das Sie verschlüsseln möchten, ansonsten gehen alle Daten verloren
Der Prozess, den ich vorstelle, hat bei mir funktioniert - YMMV
Bitte sehen Sie sich die verweisenden Links am Ende an, um einen vollständigen Überblick über andere Optionen und Prozesse zu erhalten, da dieses Tutorial eine Zusammenstellung aus diesen Links ist, um meine Anforderungen zu erfüllen.
... und schließlich haben Sie bereits alle Daten auf dem Laufwerk gespeichert, das Sie verschlüsseln möchten andernfalls verlieren Sie alles
Und nun zu etwas ganz anderem... Der Prozess:
Erstellen Sie eine Schlüsseldatei für die Authentifizierung - Sie werden dies benötigen, wenn Sie beabsichtigen, das automatische Mounten beim Booten zu verwenden:
dd if=/dev/urandom of=/root/drive_key bs=1024 count=4
Schützen Sie die Schlüsseldatei so, dass sie nur von root gelesen werden kann:
chmod 0400 /root/drive_key
Initialisieren Sie das LUKS-Dateisystem und verwenden Sie die Schlüsseldatei zur Authentifizierung anstelle eines Passworts:
cryptsetup -d=/root/drive_key -v luksFormat /dev/sdb1
Erstellen Sie die LUKS-Zuordnung mit der Schlüsseldatei:
cryptsetup -d=/root/drive_key luksOpen /dev/sdb1 data
Erstellen Sie Ihr Dateisystem (ich verwende ext4):
mkfs.ext4 /dev/mapper/data
Erstellen Sie Ihren Einhängepunkt auf dem System (einige Leute verwenden /media):
mkdir /mnt/data
Hängen Sie das neue Dateisystem am Einhängepunkt ein:
mount /dev/mapper/data /mnt/data
Erstellen Sie den Mapper, den fstab verwenden soll, indem Sie die folgende Zeile zu /etc/crypttab hinzufügen:
data /dev/sdb1 /root/drive_key luks
Fügen Sie den Einhängepunkt zu /etc/fstab hinzu:
/dev/mapper/data /mnt/data ext4 defaults 0 2
An diesem Punkt müssen Sie nur noch neu starten oder mount -a verwenden. Ich selbst finde es viel sauberer, das System einfach neu zu starten.
Dieses Setup funktioniert sehr gut mit Debian oder Ubuntu. Ich habe auch dieses Setup zwischen den beiden ausgetauscht.
Das bedeutet, wenn Sie ein oben beschriebenes verschlüsseltes Laufwerk in Debian erstellen (wie ich es mit 9.4 getan habe), kann ich dasselbe Laufwerk unter Ubuntu 18.04 mounten, solange ich denselben Prozess und dieselbe Schlüsseldatei verwende, die oben beschrieben wurden.
Der Schlüssel dazu ist sicherzustellen, dass Sie zumindest Ihr Root-Verzeichnis (oder zumindest die Schlüsseldatei) tarballiert und an denselben Ort mit denselben Rechten wie unter dem vorherigen Betriebssystem verschoben haben.
Verweisende Links zum Weiterlesen:
-
Linux-Festplattenverschlüsselung mit LUKS
-
Automatisches Entsperren von LUKS-verschlüsselten Laufwerken mit einer Schlüsseldatei
-
So stellen Sie eine LUKS-verschlüsselte Festplatte wieder her