[[Vorlage(InArbeit, 19.05.2009, unggnu)]] [[Vorlage(Getestet, jaunty, intrepid, hardy)]] {{{#!vorlage Wissen [:LUKS:Verschlüsselte Partitionen mit LUKS] [:Terminal: Ein Terminal öffnen] [:UUID#UUIDs-anzeigen: UUID anzeigen] [:Editor#Root-Rechte-Bearbeiten-von-Systemdateien: Einen Editor mit Root-Rechten öffnen] }}} {{{#!vorlage Hinweis Alle folgenden Befehle benötigen [:sudo: Root-Rechte]. Man sollte also entweder immer '''sudo''' vor das betreffende Kommando setzen oder mit '''sudo -s''' Root-Status erlangen! }}} [[Inhaltsverzeichnis]] Diese Anleitung geht auf die Konfiguration und Einbindung von verschlüsselten [:LUKS:LUKS-Datenträgern] mittels des Decrypted-Derived-Script ein. Es handelt sich um ein Script welches den Schlüssel aus einem bereits entschlüsselten LUKS-Gerät generiert und es somit ermöglicht mit einem Passwort mehrere verschlüsselte Datenträger zu öffnen. Der Vorteil ist, das kein Passwort im Klartext auf der Festplatte gespeichert werden muss. = Vorbereitung = Die Vorbereitung ist identisch mit der des [:LUKS#Vorbereitung :LUKS-Artikels]. Dieser sollte zuerst einmal durchgearbeitet und verstanden werden. {{{#!vorlage Warnung Sollte das Ursprungs-LUKS-Gerät beschädigt oder gelöscht werden, könnten die davon abgeleiteten LUKS-Datenträger nicht mehr geöffnet werden. Deshalb sollte zu jedem ein zusätzliches, bekanntes Passwort hinzugefügt werden! [1] }}} {{{#!vorlage Hinweis Mit '''''' ist der Mapper-Name gemeint. Also der, der unter '''/dev/mapper/''' angezeigt wird, z.B. '''root'''. Das Ursprungsgerät muss folglich vorher geöffnet werden. }}} == Schlüssel hinzufügen == Soll ein bestehendes LUKS-Gerät mit einem abgeleiteten Schlüssel geöffnet werden können, ist wie folgt vorzugehen: {{{#!vorlage Warnung Da hier der interne Schlüssel des Ursprungsgeräts bzw. Passwort der anderen Datenträger in die Zwischenablage kopiert wird, ist dieser Schritt am besten von einer Live-CD auszuführen, da es zahlreiche Programme gibt, die die Zwischenablage und damit das Passwort im Klartext auf der Festplatte speichern. Dies ist natürlich nicht nötig, wenn das gesamte System verschlüsselt ist. Trotzdem sollte danach der Cache der entsprechenden Programme geleert werden. }}} Da zum hinzufügen eines Schlüssels ein bereits vorhandener eingegeben werden muss, kann das Passwort nicht übergeben werden, es muss also manuell kopiert werden. Der folgenden Befehl [2] gibt den abgeleiteten Schlüssel aus: {{{#!vorlage Befehl /lib/cryptsetup/scripts/decrypt_derived }}} Diesen ohne Leerzeichen und dergleichen markieren und kopieren. Nach Eingabe des Befehls {{{#!vorlage Befehl cryptsetup luksAddKey }}} das ursprüngliche Passwort eingeben und anschließend zweimal bei der Passwortabfrage das kopierte Passwort einfügen. == Neu Erstellen == Soll ein neues LUKS-Gerät mit einem abgeleiteten Schlüssel erzeugt werden, wird folgender Befehl eingesetzt [2]: {{{#!vorlage Warnung Alle bisherigen Daten auf dem betreffenden Gerät gehen verloren! }}} {{{#!vorlage Befehl /lib/cryptsetup/scripts/decrypt_derived | cryptsetup -c aes-xts-plain -s 512 luksFormat --key-file - }}} = Öffnen = {{{#!vorlage Hinweis Das Öffnen ist nur möglich, wenn das Ursprungsgerät vorher bereits freigeschaltet wurde [1]. }}} == Manuell == Mit diesem Befehl wird das abgeleitete LUKS-Gerät geöffnet [2]: {{{#!vorlage Befehl /lib/cryptsetup/scripts/decrypt_derived | cryptsetup luksOpen --key-file - }}} == Beim Startvorgang == Zum Öffnen eines abgeleiteten LUKS-Geräts beim Systemstart wird die folgende Zeile in angepasster Form [3] an die Datei '''/etc/crypttab''' angehängt [4]. {{{ UUID= luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived }}} #tag: System, Sicherheit, Installation