[[Vorlage(Getestet, Natty)]] {{{#!vorlage Wissen [:LUKS:Verschlüsselte Partitionen mit LUKS] [:Terminal: Ein Terminal öffnen] [:UUID#UUIDs-anzeigen: UUID anzeigen] [:Editor#Root-Rechte-Bearbeiten-von-Systemdateien: Einen Editor mit Root-Rechten öffnen] [:Skripte/Gerät_mit_Pseudozufallszahlen_überschreiben:Gerät mit Pseudozufallszahlen überschreiben] }}} {{{#!vorlage Hinweis Alle folgenden Befehle benötigen [:sudo: Root-Rechte]. Man sollte also entweder immer '''sudo''' vor das betreffende Kommando setzen oder mit '''sudo -s''' Root-Status erlangen! }}} [[Inhaltsverzeichnis]] Diese Anleitung geht auf die Konfiguration und Einbindung von verschlüsselten [:LUKS:LUKS-Datenträgern] mittels des Decrypted-Derived-Scripts ein. Es handelt sich um ein Skript, welches den Schlüssel aus einem bereits entschlüsselten LUKS-Gerät (dem Ursprungsgerät) generiert und es somit ermöglicht, mit einem Passwort mehrere verschlüsselte Datenträger zu öffnen. Der Vorteil ist, dass kein Passwort im Klartext auf der Festplatte gespeichert werden muss. = Vorbereitung = Die Vorbereitung ist identisch mit der des [:LUKS#Vorbereitung:LUKS-Artikels]. Dieser sollte zuerst einmal durchgearbeitet und verstanden werden. Mit `` ist im Folgenden der Mapper-Name gemeint. Also der, der unter '''/dev/mapper/''' angezeigt wird, z.B. '''root'''. Das Ursprungsgerät muss folglich vorher geöffnet werden. = Einrichtung = {{{#!vorlage Hinweis Sollte das Ursprungs-LUKS-Gerät beschädigt oder gelöscht werden, könnten die davon abgeleiteten LUKS-Datenträger nicht mehr geöffnet werden. Deshalb sollte zu jedem ein zusätzliches, bekanntes Passwort hinzugefügt werden. [1] }}} == Bestehendes LUKS-Gerät == Soll ein bestehendes LUKS-Gerät mit einem abgeleiteten Schlüssel geöffnet werden können, müssen die drei folgenden Befehle ausgeführt werden [2]: {{{#!vorlage Befehl mkdir /mnt/ram && mount -t ramfs -o size=1m ramfs /mnt/ram && chmod 600 /mnt/ram /lib/cryptsetup/scripts/decrypt_derived > /mnt/ram/tmp.key && cryptsetup luksAddKey /mnt/ram/tmp.key && rm /mnt/ram/tmp.key umount /mnt/ram && rmdir /mnt/ram }}} Das ursprüngliche Passwort ist einzugeben. == Neues LUKS-Gerät == {{{#!vorlage Hinweis Es ist aus Sicherheitsgründen empfehlenswert die Partition ein mal mit Zufallszahlen zu überschreiben, vor allen Dingen, wenn auf dieser vorher unverschlüsselte Daten gespeichert waren. [5] Ansonsten sind unter Umständen viele Dateien nach dem Verschlüsseln noch auslesbar. }}} Soll ein neues LUKS-Gerät mit einem abgeleiteten Schlüssel erzeugt werden, wird folgender Befehl eingesetzt [2]: {{{#!vorlage Warnung Alle bisherigen Daten auf dem betreffenden Gerät gehen verloren! }}} {{{#!vorlage Befehl /lib/cryptsetup/scripts/decrypt_derived | cryptsetup -c aes-xts-plain -s 512 luksFormat }}} = Öffnen = Zum Öffnen der abgeleiteten LUKS-Geräte muss vorher das Ursprungsgerät freigeschaltet werden [1]. == Manuell == Mit diesem Befehl wird das abgeleitete LUKS-Gerät geöffnet [2]: {{{#!vorlage Befehl /lib/cryptsetup/scripts/decrypt_derived | cryptsetup luksOpen }}} == Beim Startvorgang == Zum Öffnen eines abgeleiteten LUKS-Geräts beim Systemstart wird die folgende Zeile in angepasster Form [3] an die Datei '''/etc/crypttab''' angehängt [4]. {{{ UUID= luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived }}} Anschließend müssen noch mit folgendem Befehl die Startdateien aktualisiert werden: {{{#!vorlage Befehl update-initramfs -u -k all }}} = Entfernen = Um den abgeleiteten Schlüssel wieder zu entfernen, muss man dessen Speicherplatz löschen: {{{#!vorlage Befehl cryptsetup luksKillSlot }}} Alternativ: {{{#!vorlage Befehl cryptsetup luksDelKey }}} Das vorhandene Kennwort des LUKS-Gerätes ist jeweils einzugeben. #tag: System, Sicherheit, Installation