Das HowTo-Wiki|
Größe: 4058
Kommentar: missing edit-log entry for this revision
|
← Revision 55 vom 2012-10-01 08:39:10 ⇥
Größe: 8549
Kommentar:
|
| Gelöschter Text ist auf diese Art markiert. | Hinzugefügter Text ist auf diese Art markiert. |
| Zeile 1: | Zeile 1: |
| == zwei versch. Anleitungen zur Erzeugung eines verschluesselten Dateisystems == | ## page was renamed from CryptoDateisystemHowTo ## page was renamed from CryptoLoopKernelHowTo <<TableOfContents>> ---- = Was ist das hier = Diese Anleitung beschreibt die Erstellung und Nutzung einer verschlüsselten Partition unter Linux. Dabei wird ''dm-crypt'' bzw. ''cryptsetup'' verwendet. Die Installation des cryptsetup Paketes wird am Beispiel von Debian GNU/Linux beschrieben. |
| Zeile 3: | Zeile 8: |
| === ab kernel 2.6.4 === ab dieser version ist sog. "device mapping" stable implementiert, laut deren entwickler ist es um einiges besser (nicht nur) fuer crypto zwecke geeignet als die "lousy hacked" cryptoloop variante. ein grosser vorteil ist die dateisystem-unabhaengigkeit (bei cryptoloop geht kein journaling fs) |
= Begriffe und Variablen = ||''Variable''||''Bedeutung''||''Beispiel''|| ||$CRYPTODEVICE||Name deines Cryptodevices||scheibenkaese|| ||$DEVICE||Bezeichnung des Laufwerkes||sda2 (also /dev/sda2)|| ||$MOUNT||beliebiges Verzeichnis||/mnt/tiefkuehlfach|| |
| Zeile 6: | Zeile 14: |
| ausfuehrliche anleitungen: * http://www.saout.de/misc/dm-crypt/ * http://deb.riseup.net/storage/encrypted/ -> debian-like |
---- = Start = Die Verschluesselung baut auf dem sogenannten ''Device Mapper'' auf, welcher ab Kernel 2.6.4 implementiert ist. Laut deren Entwickler ist es um einiges besser fuer Crypto-Zwecke geeignet als die [[http://www.tldp.org/HOWTO/Cryptoloop-HOWTO/|Cryptoloop-Variante]]. |
| Zeile 10: | Zeile 18: |
| kernel optionen: * "device driver" -> "multiple device driver": "device mapper" & "dm crypt" auswaehlen * "cryptograpic options" -> algorithmus auswaehlen (aes, twofish, ...) |
== Kernel-Optionen == * ''Device Drivers'' -> ''Multiple-device support (RAID and LVM)'': ''Device mapper support'' & ''Crypt target support'' auswaehlen * ''Cryptograpic options'' -> algorithmus auswaehlen (aes, twofish, ...) |
| Zeile 14: | Zeile 22: |
| debian package installieren: * {{{apt-get install dmsetup hashalot}}} |
Falls du Module verwendest, solltest du sie nun laden (bzw. füge sie in ''/etc/modules'' ein). |
| Zeile 17: | Zeile 24: |
| device einrichten: * {{{cryptsetup}}} starten: 1. {{{cryptsetup -y [-h plain|-h sha512] -c twofish create kammerspiel /dev/hdaX}}} 1. {{{mkfs.ext3 /dev/mapper/kammerspiel}}} 1. {{{mount /dev/mapper/kammerspiel /mnt/autsch}}} |
== Variante I - pures cryptsetup (alt) == |
| Zeile 23: | Zeile 26: |
| nach jedem neustart muss crypsetup erneut ausgefuehrt werden. das script {{{/ect/init.d/cryptinit}}} automatisiert diese aufgabe: <pre> ` if [ -b /dev/mapper/kammerspiel ]; then` ` /sbin/cryptsetup remove kammerspiel` ` fi` ` /sbin/cryptsetup [-h plain|-h sha512] -c twofish create kammerspiel /dev/hdaX` </pre> |
=== Pakete installieren === {{{ apt-get install cryptsetup hashalot }}} |
| Zeile 31: | Zeile 31: |
| das ganze in {{{/etc/rcS.d}}} verlinken: * {{{ln -s /etc/init.d/cryptinit S08cryptinit}}} |
=== Cryptopartition einrichten === Als Erstes benötigst du eine freie Partition<<FootNote(Wenn du eine bereits bestehende Partition verschlüsseln willst, solltest du zuerst deine Daten sichern. Dies ist wichtig, denn im Verlauf der Umwandlung muss die Partion neu formatiert werden.)>> <<FootNote(Wenn du die Partition neu anlegst, nimm eine normale Linux (83) Partition.)>>. |
| Zeile 34: | Zeile 34: |
| und {{{/etc/fstab}}} mit einem entsprechenden eintrag versehen. | Mit dem Aufruf von {{{cryptsetup}}} wird die neue Cryptopartition angelegt: {{{ cryptsetup -y -c aes-cbc-essiv:sha256 create $CRYPTODEVICE /dev/$DEVICE }}} |
| Zeile 36: | Zeile 39: |
| beim booten wird nun das passwort abgefragt. bei falscheingabe wird das device eben nicht gemountet; in dem fall ist das script nach dem einloggen manuell zu starten. | Das neue device formatieren: {{{ mkfs.ext3 /dev/mapper/$CRYPTODEVICE }}} Und schliesslich noch mounten: {{{ mount /dev/mapper/$CRYPTODEVICE $MOUNT }}} |
| Zeile 38: | Zeile 48: |
| ==== paranoia ==== | === Täglicher Gebrauch === * Trage deine Cryptopartition in ''/etc/crypttab'' ein, bspw:{{{ # target_device source_device key_file options $CRYPTODEVICE /dev/$DEVICE none cipher=aes-cbc-essiv:sha256 }}} * Trage in ''/etc/fstab'' das Device ({{{/dev/mapper/$CRYPTODEVICE $MOUNT}}}) mit deinen Dateisystemoptionen ein. * ''/etc/init.d/cryptdisks'' kuemmert sich um die Initialisierung beim Booten. Bei Falscheingabe, kannst du nach dem login mit{{{ /etc/init.d/cryptdisks start }}} die Partition manuell initialisieren. |
| Zeile 40: | Zeile 58: |
| mit "dmsetup status" lassen sich benutzte devicemappings anzeigen. taucht hier ein teil als "ACTIVE" auf, so hat jedermensch darauf zugriff (auch wenn es nicht gemountet ist, koennte -wer mit die noetigen rechte hat- das teil ohne passendes cryptokennwort mounten) - es ist in diesem zustand quasi entschluesselt! | === Paranoia === |
| Zeile 42: | Zeile 60: |
| deswegen immer nach dem unmounten, das mapping entfernen: (sonst gibt's (erfahrene beamte vorausgesetzt) evtl. stress bei der hausdurchsuchung) |
Mit {{{dmsetup info}}} lassen sich benutzte devicemappings anzeigen. Taucht hier ein Teil als ''ACTIVE'' auf, so hat jedermensch darauf Zugriff (auch wenn es nicht gemountet ist, koennte - wer die noetigen Rechte hat - das Teil ohne passendes Cryptokennwort mounten) - es ist in diesem Zustand quasi entschluesselt! |
| Zeile 45: | Zeile 62: |
| 1. umount /mnt/autsch 1. cryptsetup -h plain remove kammerspiel (oder auch remove_all ohne mapnamen dahinter) |
Deswegen immer nach dem unmounten, das mapping entfernen (sonst gibt's (erfahrene Beamte vorausgesetzt) evtl. Stress bei der Hausdurchsuchung): {{{ umount $MOUNT cryptsetup remove $CRYPTODEVICE }}} |
| Zeile 48: | Zeile 69: |
| ! denk dran: "cryptsetup remove" niemals nicht vergessen oder stecker ziehen ;) ! | Du kannst alle mappings gleichzeitig entfernen mit: {{{ dmsetup remove_all }}} ! Denk dran: {{{cryptsetup remove}}} niemals nicht vergessen oder aber Stecker ziehen ;) ! == Variante II - cryptsetup-luks (neu ) == === Pakete installieren === {{{ apt-get -t testing install cryptsetup hashalot }}} (cryptsetup-luks ist derzeit (Juni 02006) nicht in Debian/stable verfügbar) === Cryptopartition einrichten === Als Erstes benötigst du eine freie Partition. Alle Daten auf der Partition gehen verloren! Mit dem Aufruf von {{{cryptsetup}}} wird die neue Cryptopartition angelegt (die Cryptopartition darf dabei nicht gemountet sein): {{{ cryptsetup luksFormat /dev/$DEVICE }}} Danach kannst du die neue Partition mappen: {{{ cryptsetup luksOpen /dev/$DEVICE $CRYPTDEVICE }}} Das neue Device formatieren: {{{ mkfs.ext3 /dev/mapper/$CRYPTODEVICE }}} Und schliesslich probeweise mounten (per Hand): {{{ mount /dev/mapper/$CRYPTODEVICE $MOUNT }}} === Täglicher Gebrauch === * Trage deine Cryptopartition in ''/etc/crypttab'' ein, bspw:{{{ # <target device> <source device> <key file> <options> $CRYPTODEVICE /dev/$DEVICE none luks,check=ext2,retry=5 }}} * Trage in ''/etc/fstab'' das Device ({{{/dev/mapper/$CRYPTODEVICE $MOUNT}}}) mit deinen Dateisystemoptionen ein: {{{ /dev/mapper/$CRYPTDEVICE $MOUNT auto defaults 0 0 }}} * ''/etc/init.d/cryptdisks'' kümmert sich nun um die Initialisierung beim Booten. Bei Falscheingabe, wirst du mehrmals (siehe ''retry'' in der ''/etc/crypttab'') erneut gefragt. Falls es weiterhin fehlschlägt, wird der Bootvorgang ohne mounten fortgesetzt. * Luks ermöglicht es dir, mit verschiedenen Schlüsseln auf die Partition zuzugreifen. Mit folgendem Befehl fügst du einen weiteren hinzu: {{{ cryptsetup luksAddKey /dev/$DEVICE }}} Dazu musst du das Passwort eines schon vorhandenen Schlüssels eingeben. Analog dazu kannst du mit ''luksDelKey'' ein Schlüssel wieder entfernen. === Paranoia === Mit {{{dmsetup info}}} lassen sich benutzte devicemappings anzeigen. Taucht hier ein Teil als ''ACTIVE'' auf, so hat jedermensch darauf Zugriff (auch wenn es nicht gemountet ist, könnte - wer die nötigen Rechte hat - das Teil ohne passendes Cryptokennwort mounten) - es ist in diesem Zustand quasi entschlüsselt! Deswegen immer nach dem unmounten, das mapping entfernen (sonst gibt's (erfahrene Beamte vorausgesetzt) evtl. Stress bei der Hausdurchsuchung): {{{ umount $MOUNT cryptsetup luksClose $CRYPTODEVICE }}} Du kannst alle mappings gleichzeitig entfernen mit: {{{ dmsetup remove_all }}} ! Denk dran: {{{cryptsetup luksClose}}} niemals nicht vergessen oder aber Stecker ziehen (bzw. den Rechner herunterfahren) ;) ! |
| Zeile 52: | Zeile 140: |
| ---- | = Hinweise = * Wir haben ein Webfrontend für cryptsetup-luks entwickelt. Ist es einmal eingerichtet können damit auch unerfahrene !AnwenderInnen Festplatten verschlüsseln, was sich besonders bei externen USB-Laufwerken gut macht. Es ist als Serverpaket und Live-CD erhältlich und nennt sich [[http://cryptobox.org|CryptoBox]]. Auf der Projektwebseite findest du eine englische Dokumentation. Als deutschsprachige Einsteigshilfe dient die CryptoBoxServerInstallation Seite und die darin verlinkten Unterseiten. * Da die CryptoBox/CryptoNAS nicht mehr weiterentwickelt wird (Stand: 2011) gibt es ein Miniprojekt mit ähnlicher Zielsetzung: CryptoBottle * weitere Informationen und Tipps: http://www.saout.de/tikiwiki/tiki-index.php * noch eine ausführliche Anleitung: http://deb.riseup.net/storage/encryption/dmcrypt/ |
| Zeile 54: | Zeile 146: |
| === die unschoenere Variante === 1. es ist ein Kernel ab 2.4.22 erforderlich (crypto ist integriert) 1. sourcen ziehen: http://www.kernel.org/pub/linux/kernel/v2.4/ 1. auspacken 1. dann (beispielsweise folgenden) cryptoloop-patch holen: http://www.kernel.org/pub/linux/kernel/crypto/v2.4/testing/patch-cryptoloop-jari-2.4.22.0 1. im kernel-source-Verzeichnis: '''patch -p1 <???/patch-cryptoloop-jari-2.4.22.0''' 1. unter "Block Devices" findest du den neuen cryptoloop-Eintrag beim konfigurieren des Kernels 1. kompilieren und installieren ... 1. falls Du cryptoloop als Modul geawehlt hast, kannst Du in das Verzeichnis /etc/modutils eine Datei mit analogem Inhalt legen: `pre-install twofish modprobe cryptoloop` nun noch '''update-modules''' ab jetzt einfach das Modul '''twofish''' (oder aehnliches) laden und fertig ... ---- === misc === * warum bei der ersten variante keine module verwendet werden sollten: * das automatisierten erstellen des devices beim booten geschiehtm bevor die entsprechenden module geladen werden und schlaegt demnach fehl. * cryptoloop (variante 2) kann nur ohne ein journaling fs genutzt werden * inwiefern laueft kein jfs? - die crypto-Geschichte ist ja eigentlich vollstaendig transparent, oder? [i] * du sagst es "eigentlich", ich hatte auf dem ibook nur aerger damit und eine netzsuche hat meinen unmut bestaetigt. allerdings habe ich eben bei dem versuch ein paar links zu bieten, den entschluss gefasst freebsd zu testen und das war's nun.. * hier doch noch was gegenteiliges vom cryptoloop howto: "Create a file system. You can chose whatever file system you like." |
= FAQ = * Wie kann ich Dateien/Skripte auf der verschluesselten Partition ausfuehren? * In {{{/etc/fstab}}} wurde der Partition die Option ''user'' uebergeben. Fuege hinter ''user'' ''exec'' ein:{{{ # <file system> <mount point> <type> <options> /dev/mapper/$CRYPTODEVICE $MOUNT ext3 defaults,user,exec }}} * Wie kann ich das Passwort aendern? * http://www.saout.de/tikiwiki/tiki-index.php?page=ChangePassword * beim Start von Gnome werde ich nach dem Passwort für die (bereits gemountete) Home-Partition gefragt * Das Problem liegt bei 'hal' - der Status ''gemounted'' wird bei luks-Partitionen derzeit (April 02006) nicht korrekt erkannt. Füge folgende Zeilen in die Datei ''/etc/hal/fdi/policy/preferences.fdi'' ein: {{{ <device> <match key="block.device" string="$DEVICE"> <merge key="volume.is_mounted" type="bool">true</merge> </match> </device> }}} * vielleicht hilft folgende [[[http://www.flyn.org/easycrypto/easycrypto.html|Anleitung]]], die ein Auszug [[[http://www.redhat.com/magazine/012oct05/features/hal/|hiervon]]] ist * Wie kann ich die Verschlüsselung so einrichten, dass eine verschlüsselte Datei bei Login des users automatisch gemounted wird, also das Systempassword des users dazu benutzt wird, um seine verschlüsselten daten einzubinden? Ich finde, die ganzen Szenarien mit einer verschlüsselten Partition sind überhaupt nicht praxistauglich auf rechnern, auf denen mehrere Leute arbeiten sollen (Internetcafe, Clubhaus, Schule etc.). DANKE! * Eine Möglichkeit wäre, einen verschlüsselten Dateiserver einzurichten, auf den alle im Netzwerk zugreifen können. Schau dir dazu mal die [[http://cryptobox.org|CryptoBox]] an. |
Inhaltsverzeichnis
Was ist das hier
Diese Anleitung beschreibt die Erstellung und Nutzung einer verschlüsselten Partition unter Linux. Dabei wird dm-crypt bzw. cryptsetup verwendet. Die Installation des cryptsetup Paketes wird am Beispiel von Debian GNU/Linux beschrieben.
Begriffe und Variablen
Variable |
Bedeutung |
Beispiel |
$CRYPTODEVICE |
Name deines Cryptodevices |
scheibenkaese |
$DEVICE |
Bezeichnung des Laufwerkes |
sda2 (also /dev/sda2) |
$MOUNT |
beliebiges Verzeichnis |
/mnt/tiefkuehlfach |
Start
Die Verschluesselung baut auf dem sogenannten Device Mapper auf, welcher ab Kernel 2.6.4 implementiert ist. Laut deren Entwickler ist es um einiges besser fuer Crypto-Zwecke geeignet als die Cryptoloop-Variante.
Kernel-Optionen
Device Drivers -> Multiple-device support (RAID and LVM): Device mapper support & Crypt target support auswaehlen
Cryptograpic options -> algorithmus auswaehlen (aes, twofish, ...)
Falls du Module verwendest, solltest du sie nun laden (bzw. füge sie in /etc/modules ein).
Variante I - pures cryptsetup (alt)
Pakete installieren
apt-get install cryptsetup hashalot
Cryptopartition einrichten
Als Erstes benötigst du eine freie Partition1 2.
Mit dem Aufruf von cryptsetup wird die neue Cryptopartition angelegt:
cryptsetup -y -c aes-cbc-essiv:sha256 create $CRYPTODEVICE /dev/$DEVICE
Das neue device formatieren:
mkfs.ext3 /dev/mapper/$CRYPTODEVICE
Und schliesslich noch mounten:
mount /dev/mapper/$CRYPTODEVICE $MOUNT
Täglicher Gebrauch
Trage deine Cryptopartition in /etc/crypttab ein, bspw:
# target_device source_device key_file options $CRYPTODEVICE /dev/$DEVICE none cipher=aes-cbc-essiv:sha256
Trage in /etc/fstab das Device (/dev/mapper/$CRYPTODEVICE $MOUNT) mit deinen Dateisystemoptionen ein.
/etc/init.d/cryptdisks kuemmert sich um die Initialisierung beim Booten. Bei Falscheingabe, kannst du nach dem login mit
/etc/init.d/cryptdisks start
die Partition manuell initialisieren.
Paranoia
Mit dmsetup info lassen sich benutzte devicemappings anzeigen. Taucht hier ein Teil als ACTIVE auf, so hat jedermensch darauf Zugriff (auch wenn es nicht gemountet ist, koennte - wer die noetigen Rechte hat - das Teil ohne passendes Cryptokennwort mounten) - es ist in diesem Zustand quasi entschluesselt!
Deswegen immer nach dem unmounten, das mapping entfernen (sonst gibt's (erfahrene Beamte vorausgesetzt) evtl. Stress bei der Hausdurchsuchung):
umount $MOUNT cryptsetup remove $CRYPTODEVICE
Du kannst alle mappings gleichzeitig entfernen mit:
dmsetup remove_all
! Denk dran: cryptsetup remove niemals nicht vergessen oder aber Stecker ziehen 
!
Variante II - cryptsetup-luks (neu )
Pakete installieren
apt-get -t testing install cryptsetup hashalot
(cryptsetup-luks ist derzeit (Juni 02006) nicht in Debian/stable verfügbar)
Cryptopartition einrichten
Als Erstes benötigst du eine freie Partition. Alle Daten auf der Partition gehen verloren!
Mit dem Aufruf von cryptsetup wird die neue Cryptopartition angelegt (die Cryptopartition darf dabei nicht gemountet sein):
cryptsetup luksFormat /dev/$DEVICE
Danach kannst du die neue Partition mappen:
cryptsetup luksOpen /dev/$DEVICE $CRYPTDEVICE
Das neue Device formatieren:
mkfs.ext3 /dev/mapper/$CRYPTODEVICE
Und schliesslich probeweise mounten (per Hand):
mount /dev/mapper/$CRYPTODEVICE $MOUNT
Täglicher Gebrauch
Trage deine Cryptopartition in /etc/crypttab ein, bspw:
# <target device> <source device> <key file> <options> $CRYPTODEVICE /dev/$DEVICE none luks,check=ext2,retry=5
Trage in /etc/fstab das Device (/dev/mapper/$CRYPTODEVICE $MOUNT) mit deinen Dateisystemoptionen ein:
/dev/mapper/$CRYPTDEVICE $MOUNT auto defaults 0 0
/etc/init.d/cryptdisks kümmert sich nun um die Initialisierung beim Booten. Bei Falscheingabe, wirst du mehrmals (siehe retry in der /etc/crypttab) erneut gefragt. Falls es weiterhin fehlschlägt, wird der Bootvorgang ohne mounten fortgesetzt.
Luks ermöglicht es dir, mit verschiedenen Schlüsseln auf die Partition zuzugreifen. Mit folgendem Befehl fügst du einen weiteren hinzu:
cryptsetup luksAddKey /dev/$DEVICE
Dazu musst du das Passwort eines schon vorhandenen Schlüssels eingeben. Analog dazu kannst du mit luksDelKey ein Schlüssel wieder entfernen.
Paranoia
Mit dmsetup info lassen sich benutzte devicemappings anzeigen. Taucht hier ein Teil als ACTIVE auf, so hat jedermensch darauf Zugriff (auch wenn es nicht gemountet ist, könnte - wer die nötigen Rechte hat - das Teil ohne passendes Cryptokennwort mounten) - es ist in diesem Zustand quasi entschlüsselt!
Deswegen immer nach dem unmounten, das mapping entfernen (sonst gibt's (erfahrene Beamte vorausgesetzt) evtl. Stress bei der Hausdurchsuchung):
umount $MOUNT cryptsetup luksClose $CRYPTODEVICE
Du kannst alle mappings gleichzeitig entfernen mit:
dmsetup remove_all
! Denk dran: cryptsetup luksClose niemals nicht vergessen oder aber Stecker ziehen (bzw. den Rechner herunterfahren) !
Hinweise
Wir haben ein Webfrontend für cryptsetup-luks entwickelt. Ist es einmal eingerichtet können damit auch unerfahrene AnwenderInnen Festplatten verschlüsseln, was sich besonders bei externen USB-Laufwerken gut macht. Es ist als Serverpaket und Live-CD erhältlich und nennt sich CryptoBox. Auf der Projektwebseite findest du eine englische Dokumentation. Als deutschsprachige Einsteigshilfe dient die CryptoBoxServerInstallation Seite und die darin verlinkten Unterseiten.
Da die CryptoBox/CryptoNAS nicht mehr weiterentwickelt wird (Stand: 2011) gibt es ein Miniprojekt mit ähnlicher Zielsetzung: CryptoBottle
weitere Informationen und Tipps: http://www.saout.de/tikiwiki/tiki-index.php
noch eine ausführliche Anleitung: http://deb.riseup.net/storage/encryption/dmcrypt/
FAQ
- Wie kann ich Dateien/Skripte auf der verschluesselten Partition ausfuehren?
In /etc/fstab wurde der Partition die Option user uebergeben. Fuege hinter user exec ein:
# <file system> <mount point> <type> <options> /dev/mapper/$CRYPTODEVICE $MOUNT ext3 defaults,user,exec
- Wie kann ich das Passwort aendern?
- beim Start von Gnome werde ich nach dem Passwort für die (bereits gemountete) Home-Partition gefragt
Das Problem liegt bei 'hal' - der Status gemounted wird bei luks-Partitionen derzeit (April 02006) nicht korrekt erkannt. Füge folgende Zeilen in die Datei /etc/hal/fdi/policy/preferences.fdi ein:
<device> <match key="block.device" string="$DEVICE"> <merge key="volume.is_mounted" type="bool">true</merge> </match> </device>vielleicht hilft folgende Anleitung], die ein Auszug hiervon] ist
- Wie kann ich die Verschlüsselung so einrichten, dass eine verschlüsselte Datei bei Login des users automatisch gemounted wird, also das Systempassword des users dazu benutzt wird, um seine verschlüsselten daten einzubinden? Ich finde, die ganzen Szenarien mit einer verschlüsselten Partition sind überhaupt nicht praxistauglich auf rechnern, auf denen mehrere Leute arbeiten sollen (Internetcafe, Clubhaus, Schule etc.). DANKE!
Eine Möglichkeit wäre, einen verschlüsselten Dateiserver einzurichten, auf den alle im Netzwerk zugreifen können. Schau dir dazu mal die CryptoBox an.
