Was ist das hier
Diese Anleitung beschreibt die Erstellung und Nutzung einer verschluesselten Datei unter Debian/GNU Linux.
Begriffe und Variablen
Variable |
Bedeutung |
Beispiel |
$DATEI |
beliebiger Dateiname |
plastikpackung |
$MB |
Groesse der Datei in Megabyte |
100 |
$CRYPTODATEI |
Name deiner Cryptodatei |
gauda |
$MOUNT |
beliebiges Verzeichnis |
/mnt/kuehlschrank |
Start
Die Verschluesselung baut auf dem sogenannten Device Mapping auf, welches ab Kernel 2.6.4 implementiert ist. Laut deren Entwickler ist es um einiges besser fuer Crypto-Zwecke geeignet als die [http://www.tldp.org/HOWTO/Cryptoloop-HOWTO/ Cryptoloop-Variante].
Kernel-Optionen
Device Drivers -> Multiple-device support (RAID and LVM): Device mapper support & Crypt target support auswaehlen
Device Drivers -> Block devices: Loopback device support auswaehlen
Cryptograpic options -> algorithmus auswaehlen (aes, twofish, ...)
Falls du Module verwendest, solltest du sie nun laden (als root):
modprobe loop modprobe dm_crypt
Packete installieren
apt-get install cryptsetup
Cryptodatei einrichten
Als erstes erstellst du eine neue Datei. Du kannst /dev/urandom benutzen, um zufaellige Werte in diese Datei zu schreiben:
dd if=/dev/urandom of=$DATEI bs=1M count=$MB
Anschliessend richtest du das loop-device ein (wahrscheinlich benoetigst du root-Rechte):
losetup /dev/loop0 $Datei
Jezt wird aus dem loop-device eine Cryptodatei:
cryptsetup -c aes -y create $CRYPTODATEI /dev/loop0
Noch schnell die Datei mit einem Dateisystem formatieren:
mkfs.ext3 /dev/mapper/$CRYPTODATEI
Mounten und fertig:
mount /dev/mapper/$CRYPTODATEI $MOUNT
Taeglicher Gebrauch
Nach einem crypsetup remove $CRYPTODATEI musst du folgendes ausfuehren um wieder Zugriff auf die Datei zu erhalten:
cryptsetup create $CRYPTODATEI /dev/loop0 mount /dev/mapper/$CRYPTODATEI $MOUNT
Nach einem Neustart muss du folgendes ausfuehren um wieder Zugriff auf die Datei zu erhalten:
losetup /dev/loop0 $Datei cryptsetup create $CRYPTODATEI /dev/loop0 mount /dev/mapper/$CRYPTODATEI $MOUNT
Den cryptsetup- und remount-Vorgang führt [wiki:SubVersion/admin-tools/spielspass/cryptdisks diese angepasste Version] von /etc/init.d/cryptdisks aus, die du im [https://systemausfall.org/websvn/admin-tools admin-tools svn] findest (hilfreich, wenn du dich oefter bei der Passworteingabe vertippst ;).
Paranoia
Mit dmsetup info lassen sich benutzte devicemappings anzeigen. Taucht hier ein Teil als ACTIVE auf, so hat jedermensch darauf Zugriff (auch wenn es nicht gemountet ist, koennte - wer die noetigen Rechte hat - das Teil ohne passendes Cryptokennwort mounten) - es ist in diesem Zustand quasi entschluesselt!
Deswegen immer nach dem unmounten, das mapping entfernen (sonst gibt's (erfahrene Beamte vorausgesetzt) evtl. Stress bei der Hausdurchsuchung):
umount $MOUNT cryptsetup remove $CRYPTODEVICE
Du kannst alle mappings gleichzeitig entfernen mit:
dmsetup remove_all
! Denk dran: cryptsetup remove niemals nicht vergessen oder aber Stecker ziehen !
Hinweise
weitere informationen und Tipps: http://www.saout.de/tikiwiki/tiki-index.php