ubuntuusers.de

Passwort und Headerverwaltung

Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:


Du möchtest den Artikel für eine weitere Ubuntu-Version testen? Mitarbeit im Wiki ist immer willkommen! Dazu sind die Hinweise zum Testen von Artikeln zu beachten.

Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:

In diesem Wikiartikel wird beschrieben, wie man bei der Verschlüsselungstechnik LUKS die Passwörter verwaltet. Außerdem wird auf die Header-Sicherung eingegangen. Voraussetzungen sind im Artikel LUKS aufgeführt. Im Folgenden bezeichnet GERÄTEDATEI die entsprechende verschlüsselte Partition, z.B. /dev/sdb1

Passwörter verwalten

LUKS bietet insgesamt acht Speicherplätze (genannt "Slot" 0-7) für änderbare Passwörter, die jeweils den Zugriff auf die Daten erlauben. Die belegten Speicherplätze und Headerinformationen lassen sich mittels dieses Befehl überprüfen:

sudo cryptsetup luksDump GERÄTEDATEI 

Passwort hinzufügen

Zuerst das alte Passwort eingeben, dann das neue.

sudo cryptsetup luksAddKey GERÄTEDATEI 

Passwort löschen

Ein bekanntes Passwort kann mit folgendem Befehl entfernt werden:

sudo cryptsetup luksRemoveKey GERÄTEDATEI 

Will man hingegen einen bestimmten Slot löschen, kann man dies mit folgendem Befehl tun:

sudo cryptsetup luksKillSlot GERÄTEDATEI SLOT 

Für SLOT muss die Nummer des Keyslots eingegeben werden. Diesen findet man am einfachsten heraus, wenn mit cryptsetup luksOpen -v einen Container oder eine Partition einhängt. Dort ist dann auch der Slot angegeben, der, basierend auf dem Schlüssel, benutzt wurde.

Passwort ändern

Das Ändern eines Passworts erfolgt durch den Befehl

sudo cryptsetup luksChangeKey GERÄTEDATEI 

Alternativ kann auch zuerst das neue Passwort hinzugefügt und anschließend das alte entfernt werden.

Header sichern

Um Informationen über die Partitionierung innerhalb des Containers und der Keyslots zu sichern, empfiehlt es sich, ein Backup vom LUKS-Header (außerhalb des verschlüsselten Containers) anzulegen. Wird dieses Backup entwendet, ist ein Zugriff auf den verschlüsselten Container trotzdem nur mit Schlüsselinformationen möglich.

Achtung!

Ein gesicherter Header hängt von den Passwörtern ab, die gerade zu dem Zeitpunkt der Sicherung aktiv sind. Das erfordert einerseits, dass man zur Nutzung der Sicherung diese noch kennen muss. Andererseits bedeutet es auch, dass bekannt gewordene Passwörter, selbst wenn sie am Gerät geändert wurden, mit der Sicherung noch für den Zugriff auf das Gerät verwendet werden können.

Entsprechend ist es empfehlenswert, die Sicherung des Headers unter Verschluss zu halten und nach jeder Änderung am Gerät unmittelbar zu aktualisieren.

sudo cryptsetup luksHeaderBackup GERÄTEDATEI --header-backup-file BACKUP-DATEI 

Zur Wiederherstellung wird folgender Befehl verwendet:

sudo cryptsetup luksHeaderRestore GERÄTEDATEI --header-backup-file BACKUP-DATEI 

Diese Revision wurde am 1. November 2022 13:22 von nulllinie erstellt.
Die folgenden Schlagworte wurden dem Artikel zugewiesen: Verschlüsselung