[[Vorlage(Getestet, jaunty, intrepid, hardy, dapper)]] {{{#!vorlage Wissen [:Pakete_installieren: Installation von Programmen] [:Terminal: Ein Terminal öffnen] [:Editor#Root-Rechte-Bearbeiten-von-Systemdateien: Einen Editor mit Root-Rechten öffnen] [:Paketquellen_freischalten: Bearbeiten von Paketquellen] }}} {{{#!vorlage Warnung Ohne ein sicheres Kennwort nutzt die stärkste Verschlüsselung nichts! Wie man Passwörter am besten wählt, steht hier: [:Sicherheits_1x1:Sicherheits 1x1] }}} {{{#!vorlage Hinweis Alle folgenden Befehle benötigen [:sudo: Root-Rechte]. Man sollte also entweder immer '''sudo''' vor das betreffende Kommando setzen oder mit '''sudo -s''' Root-Status erlangen! }}} [[Inhaltsverzeichnis(2)]] [[Bild(./logo.png, align=left)]] Diese Anleitung geht auf die Erstellung und Wartung von verschlüsselten Datenträgern mittels LUKS - [http://code.google.com/p/cryptsetup/ Linux Unified Key Setup] {en} - ein. Es handelt sich um das Standardverfahren zur Festplattenverschlüsselung unter Linux. Dabei werden alle nötigen Informationen zum Öffnen einer verschlüsselten Partition oder Container-Datei in dieser gespeichert. Das erlaubt es auch [:HAL:], beim Anschließen eines externen Datenträgers mit verschlüsselten Partitionen diese nach Passwortabfrage automatisch einzubinden. = Vorbereitung = Zuerst wird dieses Paket installiert [1]. * '''cryptsetup''' In Dapper muss dazu ''universe'' [4] aktiviert sein. Anschließend wird das benötigte Kernelmodul mittels des folgenden Befehls [2] geladen: {{{#!vorlage Befehl modprobe dm-crypt }}} Damit sollte die Vorbereitung abgeschlossen sein. Zukünftig werden alle benötigen Module automatisch geladen. = Verwendung = Hier wird ein Auszug der wichtigsten LUKS-Funktionen dargestellt. Für weitere Informationen, z.B. bezüglich der Verwendung von "Keyfiles" sei auf die entsprechenden Dokumentationen wie u.a. die [:man:Manpage] von cryptsetup verwiesen. == Erstellen == Zum Erstellen eines LUKS-Geräts wird eine zu überschreibende Partition [:Partitionierung:erzeugt] oder ausgewählt. Daraufhin wird dieser Befehl ausgeführt, wobei '''''' durch den entsprechenden Namen ersetzt werden muss, z.B '''/dev/sde9''': {{{#!vorlage Warnung Alle bisherigen Daten auf dem betreffenden Gerät gehen verloren! }}} {{{#!vorlage Befehl cryptsetup -c aes-xts-plain -y -s 512 luksFormat }}} {{{#!vorlage Experten [wikipedia_en:XTS:XTS] unterstützt Verwaltungsschlüssel von 128 oder 256 Bit. 512 heißt in dem Fall, dass sowohl [wikipedia:Advanced_Encryption_Standard:AES] als auch XTS die maximale Schlüssellänge von 256 Bit verwenden. Um eine höhere Lese-/Schreibgeschwindigkeit zu erzielen, kann auch stattdessen 256 eingesetzt werden - das entspricht einer 128 Bit Verschlüsselung. Dies ist z.B. für Systempartitionen und langsamere Systeme empfehlenswert. Alternativ ist es möglich, den Verschlüsselungsalgorithmus [wikipedia:Twofish:Twofish] zu verwenden. Dazu wird '''aes-xts-plain''' durch '''twofish-xts-plain''' ersetzt. }}} Da XTS erst ab Hardy zur Verfügung steht, ist unter Dapper stattdessen folgender Befehl nötig: {{{#!vorlage Befehl cryptsetup -c aes-cbc-essiv:sha256 -y -s 256 luksFormat }}} == Öffnen == Um ein LUKS-Gerät verwenden zu können, muss es erstmal wie im Folgenden beschrieben geöffnet werden, wobei der Name variabel ist, aber keine Sonder- und Leerzeichen enthalten sollte. Nach Eingabe des Passwortes wird die Partition unverschlüsselt auf '''/dev/mapper/''' abgebildet und kann mit dieser Bezeichnung beispielsweise zum Formatieren oder Ein-/Aushängen angesprochen werden. {{{#!vorlage Befehl cryptsetup luksOpen }}} Zum Laden eines LUKS-Geräts beim Systemstart wird diese Zeile in angepasster Form an die Datei '''/etc/crypttab''' angehängt [3]. Daraufhin wird bei jedem Startvorgang nach dem Passwort gefragt. {{{ none luks }}} Anstelle der Gerätebezeichnung ist es auch möglich und empfehlenswert die entsprechende [:UUID:] zu verwenden. '''''' würde dann durch '''UUID=''' ersetzt. == Schließen == Sobald das enthaltene Dateisystem nicht mehr eingehängt ist oder anderweitig verwendet wird, kann das LUKS-Gerät wie folgt geschlossen werden: {{{#!vorlage Befehl cryptsetup luksClose }}} [[Bild(./LUKS_Gnome.png, align=right)]] == GUI == Seit Hardy sollten LUKS-Geräte auch mit [:Nautilus:] eingebunden werden können, wenn die oben erwähnte Vorbereitung durchgeführt wurde. Des Weiteren gibt es auch die grafische Oberfläche [http://gdecrypt.pentabarf.de/ GDecrypt] {en}, mit der LUKS-Geräte erstellt und ein- bzw. ausgehängt werden können. Dazu wird ab Hardy das folgende Paket installiert [1]: * '''gdecrypt''' (''universe'', [4]) == Passwörter verwalten == LUKS bietet insgesamt acht Speicherplätze (genannt "Slot" 0-7) für änderbare Passwörter, die jeweils den Zugriff auf die Daten erlauben. Die belegten Speicherplätze und Headerinformationen lassen sich mittels dieses Befehl überprüfen: {{{#!vorlage Befehl cryptsetup luksDump }}} === Passwort hinzufügen === Zuerst das alte Passwort eingeben,dann das neue. {{{#!vorlage Befehl cryptsetup luksAddKey }}} === Passwort löschen === Ein bekanntes Passwort kann ab Intrepid mit folgendem Befehl entfernt werden: {{{#!vorlage Befehl cryptsetup luksRemoveKey }}} Will man hingegen einen bestimmten Slot löschen, kann man dies mit folgendem Befehl tun: {{{#!vorlage Befehl cryptsetup luksKillSlot }}} Alternativ muss in Dapper und Hardy wie folgt ein Slot entfernt werden: {{{#!vorlage Befehl cryptsetup luksDelKey }}} === Passwort ändern === Zum Ändern eines Passworts wird zuerst das neue Passwort hinzugefügt und anschließend das alte entfernt. = Links = * [http://code.google.com/p/cryptsetup/ Offizielle LUKS-Homepage] {en} * [http://de.gentoo-wiki.com/wiki/DM-Crypt#LUKS Ausführliche Informationen über LUKS aus dem Gentoo-Wiki] {de} * [http://linuxwiki.de/cryptsetup linuxwiki.de] {de} * [http://www.fedorawiki.de/index.php?title=Verschl%C3%BCsselte_Festplatten fedorawiki.de] {de} * [wikipedia:LUKS:Wikipedia über LUKS und dm-crypt] #tag: System, Sicherheit, Installation