[[Vorlage(InArbeit, 19.05.2009, unggnu)]] [[Vorlage(Getestet, jaunty, intrepid, hardy)]] {{{#!vorlage Wissen [:LUKS:Verschlüsselte Partitionen mit LUKS] [:Terminal: Ein Terminal öffnen] [:UUID#UUIDs-anzeigen: UUID anzeigen] [:Editor#Root-Rechte-Bearbeiten-von-Systemdateien: Einen Editor mit Root-Rechten öffnen] }}} {{{#!vorlage Hinweis Alle folgenden Befehle benötigen [:sudo: Root-Rechte]. Man sollte also entweder immer '''sudo''' vor das betreffende Kommando setzen oder mit '''sudo -s''' Root-Status erlangen! }}} [[Inhaltsverzeichnis]] Diese Anleitung geht auf die Konfiguration und Einbindung von verschlüsselten [:LUKS:LUKS-Datenträgern] mittels des Decrypted-Derived-Script ein. Es handelt sich um ein Script welches den Schlüssel aus einem bereits entschlüsselten LUKS-Gerät generiert und es somit ermöglicht mit einem Passwort mehrere verschlüsselte Datenträger zu öffnen. Der Vorteil ist, das kein Passwort im Klartext auf der Festplatte gespeichert werden muss. = Vorbereitung = Die Vorbereitung ist identisch mit der des [:LUKS#Vorbereitung :LUKS-Artikels]. Dieser sollte zuerst einmal durchgearbeitet und verstanden werden. {{{#!vorlage Warnung Sollte das Ursprungs-LUKS-Gerät beschädigt oder gelöscht werden, könnten die davon abgeleiteten LUKS-Datenträger nicht mehr geöffnet werden. Deshalb sollte zu jedem ein zusätzliches, bekanntes Passwort hinzugefügt werden! [1] }}} {{{#!vorlage Hinweis Mit '''''' ist der Mapper-Name gemeint. Also der, der unter '''/dev/mapper/''' angezeigt wird, z.B. '''root'''. Das Ursprungsgerät muss folglich vorher geöffnet werden. }}} == Schlüssel hinzufügen == Soll ein bestehendes LUKS-Gerät mit einem abgeleiteten Schlüssel geöffnet werden können, wird folgender Befehl eingesetzt [2]: {{{#!vorlage Befehl /lib/cryptsetup/scripts/decrypt_derived | cryptsetup luksAddKey --key-file - }}} == Neu Erstellen == Soll ein neues LUKS-Gerät mit einem abgeleiteten Schlüssel erzeugt werden, wird folgender Befehl eingesetzt [2]: {{{#!vorlage Warnung Alle bisherigen Daten auf dem betreffenden Gerät gehen verloren! }}} {{{#!vorlage Befehl /lib/cryptsetup/scripts/decrypt_derived | cryptsetup -c aes-xts-plain -s 512 luksFormat --key-file - }}} = Öffnen = {{{#!vorlage Hinweis Das Öffnen ist nur möglich, wenn das Ursprungsgerät vorher bereits freigeschaltet wurde [1]. }}} == Manuell == Mit diesem Befehl wird das abgeleitete LUKS-Gerät geöffnet [2]: {{{#!vorlage Befehl /lib/cryptsetup/scripts/decrypt_derived | cryptsetup luksOpen --key-file - }}} == Beim Startvorgang == Zum Öffnen eines abgeleiteten LUKS-Geräts beim Systemstart wird die folgende Zeile in angepasster Form [3] an die Datei '''/etc/crypttab''' angehängt [4]. {{{ UUID= luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived }}} #tag: System, Sicherheit, Installation